Neues Setup des WordPress-Servers. Lessons learned.

Nach der letzten Hackattacke hatte ich mich noch einmal an diesen WordPress Server gesetzt und ein paar Tools und Einstellungen auf den neusten Stand gebracht.

Damit sich nicht jeder durch das ganze Internet klicken muss hier mein Fazit:

Apache vs. nginx

Selbstverständlich ist der nginx Webserver in allen Belangen performanter und einfacher zu konfigurieren und toller und morderner und … leckt mich. Ich bleibe bei diesem Blog beim Apache. Aus Nostalgie. Mit der Firma sind wir schon überall auf nginx (danke Fabi!) und das Ding ist ganz toll. Aber ich mag einfach die staubige Apachen-Logik.

Jetpack

Ja, ja und nochmals ja. Das neue in die WordPress Serverwelt tief integrierte Jetpack ist einfach toll. Insbesondere Publizise zum crossposten (siehe letzter Artikel) und die neuen Stats sind einfach gut. Aber auch die Sharing Buttons unter den Posts sind konfigurierbar und funktionieren einfach. Ich habe nur etwas Bammel ab wann die dafür Geld nehmen werden und wieviel.

Publizise mit Multipage Setup

Auf diesem Blogserver laufen inzwischen acht Blogs. Publizise hatte bei mir die ersten Crosspostings mit der IP Adresse des Servers versehen.

Screen Shot 2013-10-11 at 22.13.42Um das zu vermeiden muss man in den Domain Mapping Einstellungen des Network-Admins den Haken bei:

 Redirect administration pages to site’s original domain (remote login disabled if this redirect is disabled)

 

entfernen. Dann sind die Admin Interfaces wieder unter der Domain des Blogs und nicht unter der IP des Blogservers und alle Links laufen auch wieder.

Ach ja: Man sollte auf jeden Fall ein Bild in dem Post haben. Sonst wählt Publizise offenbar diesen selten dämlichen Smiley. Den wird man allerding auch über ein Setting los.

Go into your Dashboard -> Jetpack -> WordPress.com Stats and click the configure button. Check "Hide the stats smiley face image."

Security

Das nervt natürlich bei meiner guten alten Apache, MySQL, PHP (WTF) Nostalgie. Wenn man ein Loch zuhält entstehen drei neue. Das WordPress Login System suckt total und ist einfach nicht cool in den Griff zu bekommen.

Aber: Ich habe jetzt mod_security in den Apachen hineingeklemmt und zunächst die Default Settings aktiviert. Man sollte gleich die Werte für File-Upload und POST-Data hochsetzen. Sonst kann man keine Bilder mehr auf WordPress hochladen. Dann habe ich noch eine spezialisierte Brute-Force Protection hineingesetzt. Welche genau schreibe ich hier nicht weil ich das Setup noch nicht vollständig verstehe und nicht weiß, ob das Ding noch eine Schwachstelle hat. Aber das Netz ist voll von Beispielen. hier, hier und hier.

Also Hackers … bring it on 🙂

WordPress

Creative Commons License Adriano Gasparri via Compfight

This entry was posted in Me, Tech. Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *