Irrlichternde WordPress-Plugins
Mein Content Management System macht mich gerade mal wieder ein bisschen mürbe.
- Seit einigen Beiträgen habe ich schon keine Mail mehr vom Newsletter-Plugin erhalten, dass es hier was Neues gibt. Können diejenigen von euch, die die Benachrichtigungen abonniert haben, das bestätigen? Vielleicht arbeitet das Progrämmchen ja auch bloß neuerdings mit AI, und die sagt sich, wieso sollen wir dem Admin der Site auch eine Mail schicken, der bekommt doch sowieso alles mit …?
- Das Dashboard des Sicherheits-Programms wird quasi täglich noch überfüllter mit Warnmeldungen. Ist ja an sich schön, dass es seine Arbeit macht; aber wenn man sieht, wie de facto im Minutentakt Leute oder Bots versuchen, diese Site für ihre dubiosen bis kriminellen Zwecke zu knacken, dann kann einem der Spaß an der Sache schon mal verleidet werden.
- Aber was mich grade noch etwas nervöser macht, ist der Umstand, dass es im Backend einen neuen Plugin-Eintrag gibt (nicht in der Plugin-Liste, sondern nur in der Randspalte), den ich definitiv nicht selbst hinzugefügt habe und der sich auch nicht löschen lässt: ACF, Advanced Custom Fields. Himmel, ich weiß nicht mal, was im WP-Kontext diese Felder sein sollen; und ich finde auch nicht raus, auf welchem Ticket dieses Ding bei mir reingekommen sein kann. Der Anbieter ist jedenfalls nicht identisch mit einem meiner anderen Plugins oder Themes. Falls jemand weiß, wie ich den Krempel wieder loswerde: Danke im voraus!
- Ansonsten muss ich wohl auch mal sorry sagen für das Hin und Her mit dem anonymen Like-Button unter den Artikeln. Jetzt ist er jedenfalls wieder da, auch wenn er natürlich objektiv wenig Nährwert hat – aber ich merke halt auch an mir selbst, dass ich beim Bloglesen nicht immer die Energie aufbringe, einen vollwertigen Kommentar zu schreiben, aber so ein „Mag ich“ anzuklicken, das geht meistens.
Ansonsten stelle ich hier mal wieder fest, dass ich ein unfassbares Gewohnheitstier bin. Seit es diesen Gutenberg-Krams gibt, habe ich im Prinzip nur sechs Blöcke oder so benutzt (Absatz, Bild, Galerie, Weiterlesen, Abstandhalter, Spalten … oh, und die Trennlinie, also sieben) und nun schon seit ewig auch nicht mehr geguckt, was es da sonst noch gibt. Das Layoutelement „Medien und Text“ wie im vorigen Beitrag zum Beispiel hab ich tatsächlich erst vor ein paar Tagen entdeckt. – Dabei war ich eigentlich für meine neue Beitrags-Kategorie auf der Suche nach einem Blockelement, das es mir erlauben würde, einen Textblock mit feinem Rahmen drumrum zu erstellen, der unabhängig von der Länge des vertikal und horizontal zentrierten Textinhalts immer dasselbe Seitenverhältnis beibehält. Hab aber nix Passendes gefunden, und seine eigenen Blocks zu erstellen – die Anleitungen, die ich dafür gefunden habe, überstrapazierten mich signifikant. Dabei konnte QuarkXPress sowas ja schon voriges Jahrhundert, meinjanur …
Und damit zu Cat Content – damit machste nix falsch, hoffentlich.
3 Comments
ben_
ACF, Advanced Custom Fields ist in der Tat ein verbreitetes Plugin, das v.a. erlaubt, zu Content-Typen neue Felder hinzuzufügen. Mir ist aber auch neu, dass Plugins (oder Themes) andere Plugins nachinstallieren könnten. So oder so ist das vergleichsweise seriös. Sollte Dein WordPress schon gehackt sein, würde ein Hacker seinen Code aber nicht als ACF tarnen. Sobald man PHP-Code auf den Server bekommt, kann man sich ja überall unauffälliger einklinken.
Das Like-Plugin wäre aber ein guter Kandidate für eine abhängige installation, weil es sich ja irgendwo merken muss, welcher Artikel welche Likes hat. Inzwischen kann man bestimmte Sub-Libraries auch als „Vendor“-Zeugs mitbringen. Von Aussen ist leider nicht zu erkennen, ob das anderswo „mitgekommen“ ist.
Was gegen automatisierte Angriff hilft: Das ganze Backend und den Login-Bereich über eine htaccess / einen Basic-Auth zumachen. Das ist technisch nicht gaaanz einfach, aber auch nicht wirklich schwierig. Dann hat man viel Ruhe.
Christian Wöhrl
Oh hi, danke!, das zu ACF klingt schon mal etwas beruhigend 🙂 Und das übers zugemachte Backend auf jeden Fall interessant. Ich behelfe mir dafür ja bisher mit der Arme-Leute-Variante: Das Sicherheits-Plugin hier, WP Cerber, erlaubt es, einen individuellen URL fürs Login zu erstellen und den normalen wp-login-Weg außer Betrieb zu nehmen. Wer es darüber versucht, wird dann direkt geblockt. Würde man aus Profisicht sagen, hmnja, besser als nix, oder hat das arge Nachteile (außer dem offensichtlichen, wenn ich den Custom URL vergesse, komme ich auch selbst nicht mehr rein)?
Aebby
Zum ACF weiß ich auch nicht mehr.
Ich habe das WP Security Plugin im Einsatz, das für ziemlich viel Ruhe sorgt, wenn man mal 1 Stunde in die Konfiguration investiert hat. Das hat auch einen Scanner integriert, der in einstellbarer Regelmäßigkeit alle Dateien der Installation scannt, Änderungen protokolliert und ein Warn-Mail verschickt wenn sich etwas geändert hat.
An meiner Tatstatur sitzt auch so ein Gewohnheitstier 😉