Blog | German Amateur Radio Station DG9VH

Ruhig geworden im Blog

… ist es. Das dürften einige festgestellt haben. Der Grund liegt nicht darin, dass ich bezogen auf den Amateurfunk kürzer getreten bin, sondern eher in der anderen Richtung: Durch diverse Dinge zu Gusten des Amateurfunk bin ich nicht mehr so recht dazu gekommen, mehr als nur die routinemäßigen Wartungsarbeiten am Blog zu machen.

Da gibt es aktuell mehrere Projekte, die mich zeitlich binden und die Zeit auffressen. Zum einen ist das der Support der beiden Dashboards für den MMDVMHost bzw. dem YSFReflector, wie auch die Unterstützung verschiedener solcher Installationen, die die Zeit beansprucht.

Dann ist da noch die experimentelle Firmware für das Tytera MD-380, deren Support ebenfalls ein wenig meine Zeit vertreibt.

Ende diesen Monats (also am 24.09.2016) findet dann noch der Distrikt-Service-Tag der Distrikte Saar und Rheinland-Pfalz statt, wo ich auch im Hintergrund ein klein wenig was mitwirke.

Also man sieht, ich bin nicht untätig so generell betrachtet, habe nur keine Zeit, darüber zu berichten 🙂

Zusätzliche Absicherung des Logins der WordPress-Installation

Wer sein Blog seit Jahren betreibt, kennt das Problem: Immer wieder gibt es Attacken auf das Blog, bei dem durch Brute-Force versucht wird, sich ins System einzuloggen. Hier bei mir versuchen einige Plug-Ins der Sache Herr zu werden, bisher eigentlich erfolgreich. Dumm wird’s halt dann, wenn die Sache dann schon ein Bisschen in Richtung „Denial-of-Service“ entgleitet, man also im Grunde vor lauter Attacke selbst nicht mehr zum Login durch kommt. So ist es mir dieser Tage geschehen.

Als alter Systemadministrator ist mir da natürlich relativ zügig die Lösung eingefallen – was auch prima funktioniert seit dem: Ich sperre per .htaccess-Eintrag den Zugriff auf die Login-Seite von WordPress! Bedeutet für mich, dass ich zur Anmeldung vorher halt noch einmal Benutzername und Passwort angeben muss, um eben die htaccess-Geschichte hinter mich zu bringen, aber da ich damit leben kann, dass mein Browser diese Nutzer/Passwort-Kombi abspeichert, ist das auch nur ein einziger Mausklick. Seit diesem Eingriff hat sich die Sache bei mir jedenfalls mit den Attacken gelegt!

Was habe ich gemacht? Nun, im Verzeichnis der WordPress-Installation existiert ja in der Regel (wenn man die URL umschreiben lässt und so weiter) eh schon eine .htaccess-Datei. Diese wird mit folgender Passsage erweitert:

AuthUserFile "/path/to/password-file"
AuthType Basic
AuthName "Admin-Login"
<Files "wp-login.php">
require valid-user
</Files>

Was passiert hier nun? Ganz einfach erklärt:

In der ersten Zeile wird festgelegt, wo (absolute Pfadangabe) im Dateisystem des Servers für den Webserver lesbar das Passwort-File liegt, welches mit htpasswd -c erzeugt wird.

Die zweite Zeile wiederum sagt an, dass nun eine Basic-Passwortabfrage abgeschossen werden soll.

Im AuthName wird einfach nur die Fensterüberschrift definiert. Also vollkommen belanglos eigentlich.

Die interessanten Zeilen kommen eigentlich jetzt, denn hier wird zunächst die mit dem Passwort zu schützende Datei angegeben (wp-login.php in dem Fall) und mit dem require valid-user sagt man, dass eben eine gültige Benutzername/Passwort-Kombination anzugeben ist.

Die letzte Zeile schließt einfach den Files-Block wieder ab.

Damit war im Grunde der ganze Zauber behoben und es kommt niemand mehr an die Login-Seite ran, er nicht Benutzername und Passwort kennt. Und dass hier natürlich nicht die gleiche Kombi gilt wie für den Login selbst, ist wohl auch jedem klar.

Update auf WordPress 3.8

Gerade erst erschienen und jetzt schon auf meinem Blog installiert: WordPress 3.8.

Mal sehen, was sich unter der Haube so getan und verändert hat.

Caching im Blog

Inspiriert durch diesen Blogeintrag meines Hosters habe ich in meinem Blog mal das W3Total Cache-Plugin installiert und teste einfach mal die Performance des Blogs damit aus. Da ich ja nicht wirklich täglich etwas schreibe und viele Änderungen hier auch eher sporadischer Natur sind, sollte es nicht ganz so wild sein, wenn mal Informationen ein paar Minuten/Stunden später auf der Homepage erscheinen 🙂

Ich hoffe, die Ladezeit bei euch wird sich entsprechend auch steigern, so dass zumindest in diesem Punkt ein gewisser Vorteil entsteht.

Mehr Sicherheit im Blog – Google Authenticator beim Login

Da man mit einer Website immer beliebtes Angriffsziel böser Menschen ist, habe ich heute mein Blog ein wenig sicherer gemacht, indem ich ein neues Plugin installiert habe: Google Authenticator for WordPress.

Dieses Plugin fügt dem Login-Fenster ein weiteres Text-Feld hinzu, in das ein von einer App auf meinem Handy generierter Zahlencode eingegeben werden muss. Nur wer die App und den passenden Sicherheitscode für die Generierung der Zahlen kennt, kann also die passenden Zahlencodes generieren. Das Ganze nennt sich „Zwei-Faktor-Authentisierung“ und wird z.B. von Google ebenfalls als erweiterte Sicherheitsvariante für die Google-Konten angeboten.

Ich persönlich finde die Sache mal nicht schlecht, da so das Eindringen durch erraten des Passwortes doch wieder etwas schwieriger gestaltet wird.

Dass mein Blog immer mal wieder Opfer von Login-Attacken wird, das offenbarte mir ein zweites Plugin, welches ich schon seit einigen Monaten einsetze: Login Security Solution

Dieses Plugin sperrt den Login eines Benutzers nach einer gewissen Anzahl falscher Passworteingaben für eine einstellbare Zeit und berichtet natürlich auch über erfolgte Angriffe.

Also alles in Allem betrachte ich mein Blog jetzt als relativ sicher, was das Einfallstor „Login“ angeht 🙂

Lange nix gemacht – aber ich lebe noch!

Regelmäßige Besucher meines Blogs hier haben sicher schon festgestellt, dass es sehr ruhig geworden ist um mich. Das hat auch seine Gründe – ihr braucht euch aber keine Sorgen zu machen.

Zum einen fordert mich unser Nachwuchs hier im Hause ziemlich, weshalb ich auch keine Zeit habe, mich irgendwie der Funkerei zu widmen, andererseits gab es für mich auch berufliche Veränderungen, so dass ich mich erst einmal an das neue Umfeld gewöhnen wollte und auch mit den neuen Aufgaben vertraut werden wollte.

Demnächst wird es vielleicht wieder etwas mehr Leben hier auf meiner Website geben. Versprechen kann ich es aber nicht. Bis dahin würde ich also sagen, schaut einfach ab und zu mal hier rein, dann verpasst ihr auch nicht, wenn ich mal wieder was schreibe 🙂

In diesem Sinne: Vielleicht hört man sich mal wieder auf den Bändern!