hen007ry: CMS selber Programmieren?

0 44

CMS selber Programmieren?

  1. 1
  2. 0
  3. 0
    1. 0
      1. 0
        1. 0
      2. 1
        1. 0
          1. 1
            1. 1
              1. 1
                1. 0
                  1. 0
                    1. 0
                      1. 0
                    2. 0
                      1. 0
                        1. 0
                      2. 0
                        1. 0
                        2. 0
                          1. 0
                            1. 0
                              1. 0
                    3. 0
                      1. 0
              2. 1
                1. 0
                2. 0
                  1. 0
                    1. 0
                  2. 0
                    1. 0
                      1. 0
                      2. 0
      3. 0
        1. 0
          1. 0
        2. 0
          1. 0
  4. 0
  5. 0
    1. 0

Hallo!

Ich möchte einen Blog Programmieren und möchte für den Blogbetreiber ein kleines Content Management System Programmiern. Also es soll quasi eine kleine Website geben auf der man: Eine Überschrift, den Inhalt (Text) und ein Bild hochladen kann und die dann Automatisch als Neuer Blogbeitrag "eingesetzt" wird. Gibt es da schon fertige lösungen? Ist der Begriff "CMS" überhaupt richtig, für dass was ich vorhabe?

Beste Grüße

Henry

  1. Hej!

    Ruby on Rails Blog example

    ciao, Jeena

  2. Gibt es da schon fertige lösungen?

    Wieso fragst Du wenn Du selber programmieren willst?

    Und fertige Lösungen gibt es zum Ersticken. MFG

  3. Wie wäre es mit Wordpress oder Joomla?
    Meine Empfehlung geht ganz klar zu Wordpress.

    1. Moin,

      ALLE Webseiten von Kunden von mir, die vorher mit Wordpress gemacht wurden, sind gehackt worden. Erst nach der Umstellung auf ein geschlossenes System haben diese Kunden Ruhen. Meine Empfehlung geht ganz klar von Wordpress weg.

      Hinzu kommen die bereits vorher installierten Plugins, die teilweise nicht DSGVO-Konform sind.

      Lieber kleinere Systeme nutzen, die nicht so überladen sind.

      Gruß Bobby

      --
      -> Für jedes Problem gibt es eine Lösung, die einfach, sauber und falsch ist! <- ### Henry L. Mencken ### -> Nicht das Problem macht die Schwierigkeiten, sondern unsere Sichtweise! <- ### Viktor Frankl ### ie:{ br:> fl:{ va:} ls:< fo:) rl:( n4:( de:> ss:) ch:? js:( mo:} sh:) zu:)
      1. ALLE Webseiten von Kunden von mir, die vorher mit Wordpress gemacht wurden, sind gehackt worden. Erst nach der Umstellung auf ein geschlossenes System haben diese Kunden Ruhen. Meine Empfehlung geht ganz klar von Wordpress weg.

        Liegt ganz klar daran wenn der Webmaster einfach irgendwelche Plugins installiert oder zu faul ist regelmäßige Updates durchzuführen.

        1. Moin,

          Es sind oftmals Lücken im Core selbst. Wie vor ein paar JAhren die Möglichkeit des XSS-Angriffes in den Kommentaren. Diese Lücke hatte ich übrigens schon vorher entdeckt.

          Für mich klare Punkte die gegen Wordpress sprechen.

          Gruß Bobby

          --
          -> Für jedes Problem gibt es eine Lösung, die einfach, sauber und falsch ist! <- ### Henry L. Mencken ### -> Nicht das Problem macht die Schwierigkeiten, sondern unsere Sichtweise! <- ### Viktor Frankl ### ie:{ br:> fl:{ va:} ls:< fo:) rl:( n4:( de:> ss:) ch:? js:( mo:} sh:) zu:)
      2. Hinzu kommen die bereits vorher installierten Plugins, die teilweise nicht DSGVO-Konform sind.

        Soll jetzt ein Witz sein, wegen Rosenmontag? Was hindert dich daran die zwei Plugins die standardmäßig mit installiert werden wenn du keine One-Klick Installation machst einfach zu deinstallieren?

        Ich sag nur, deine armen Kunden!

        1. Moin,

          ich hatte das nicht eingerichtet. Das war von jemand anderem eingerichtet. Mit einem kleineren auf die Bedürfnisse zugeschnittenen CMS kommen meine Kunden definitiv besser.

          Die Webseiten laufen teilweise schon 12 Jahre und mehr und haben dabei jedem Angriff bisher standgehalten.

          Gruß Bobby

          --
          -> Für jedes Problem gibt es eine Lösung, die einfach, sauber und falsch ist! <- ### Henry L. Mencken ### -> Nicht das Problem macht die Schwierigkeiten, sondern unsere Sichtweise! <- ### Viktor Frankl ### ie:{ br:> fl:{ va:} ls:< fo:) rl:( n4:( de:> ss:) ch:? js:( mo:} sh:) zu:)
          1. Moin,

            und was machst du wenn ein Kunde irgendwann kommt und sagt er möchte gerne ein Kontaktformular und einen kleinen Shop haben? Programmierst du dieses dann für jeden Kunden individuell? Wenn du Wordpress hast, kannst du Woocommerce und Contact Form 7 nehmen. Oder noch schlimmer, dein Kunde entscheidet sich irgendwann dafür ein Mitgliederbereich einführen zu wollen, was machst du dann? Oder er möchte ein Newsletter mit Mailchimp haben, du musst jedesmal etwas neues programmieren.

            OK, wenn deine Kunden dieses bezahlen, Glückwunsch. Aber man muss das Rad nicht jedes Jahr xfach neu erfinden?

            1. Moin,

              Woocommerce hab ich schon in ner gehackten Version gesehen. Absolut abzuraten. Außerdem arsch langsam (nach meinen bisherigen Erfahrungen, kann sich geändert haben)

              Selbstverständlich erfinde ich das Rad nicht jedesmal neu. Ich bin aber weg von den open-Source-CMS, da diese immer ein Ziel für Angriffe bieten.

              da hab ich natürlich Module, die ich entsprechend an das CMS hänge. Und ja, meine Kunden bezahlen mir den Aufwand. Ich erstelle keine Webseiten für 100 € oder so. Solche Kunde lehne ich auch ab. Die können dann ja zu dir gehen.

              Ich bleibe bei der Meinung dass es besser geht als mit Wordpress oder Joomla. Und vor allem viel performanter und sicherer.

              Gruß Bobby

              --
              -> Für jedes Problem gibt es eine Lösung, die einfach, sauber und falsch ist! <- ### Henry L. Mencken ### -> Nicht das Problem macht die Schwierigkeiten, sondern unsere Sichtweise! <- ### Viktor Frankl ### ie:{ br:> fl:{ va:} ls:< fo:) rl:( n4:( de:> ss:) ch:? js:( mo:} sh:) zu:)
              1. Hallo bobby,

                Ich bleibe bei der Meinung dass es besser geht als mit Wordpress oder Joomla. Und vor allem viel performanter und sicherer.

                100% Zustimmung.

                Die große Frage ist allerdings, ob der OP das in Eigenleistung zustande bringt. Wenn er ein so erfahrener Programmierer wäre, dass ihm die Fehler in den OSS Produkten nicht unterlaufen, hätte er hier nicht eine solche Frage gestellt, sondern sie sich selbst beantworten können.

                Ich habe 35 Jahre Programmiererfahrung, allerdings nicht in öffentlichen Webseiten, und ich würde mir eine auf Anhieb unhackbare Version eines CMS nicht zutrauen. Ich kenne zwar etliche best practices, aber ich würde wetten, dass irgendwo trotzdem ein dummer Fehler drin ist.

                Rolf

                --
                sumpsi - posui - clusi
                1. Moin,

                  Fehler sind ÜBERALL drin... das Problem an großen OpenSource-Lösungen ist die weite Verbreitung und damit die genauere Analysemöglichkeit des Codes und somit die Attraktivität als Angriffsziel für Hacker.

                  So meine Erfahrung. Es gibt auch kleinere Systeme, die nicht auf Anhieb als diese erkennbar sind und eine unbekanntere Struktur haben. Diese würde ich dann eher dem OP empfehlen. Wobei ich auf Anhieb ehrlich gesagt kein Beispiel parat habe.

                  Gruß Bobby

                  --
                  -> Für jedes Problem gibt es eine Lösung, die einfach, sauber und falsch ist! <- ### Henry L. Mencken ### -> Nicht das Problem macht die Schwierigkeiten, sondern unsere Sichtweise! <- ### Viktor Frankl ### ie:{ br:> fl:{ va:} ls:< fo:) rl:( n4:( de:> ss:) ch:? js:( mo:} sh:) zu:)
                  1. Fehler sind ÜBERALL drin... das Problem an großen OpenSource-Lösungen ist die weite Verbreitung und damit die genauere Analysemöglichkeit des Codes und somit die Attraktivität als Angriffsziel für Hacker.

                    Ich sags mal so: Mein eigenes CMS kann man herunterladen und es wurde, obwohl ich viele besondere Freunde in computeraffinen, kriminellen Szenen habe, seit anno asbach (2003?) nie gehackt.

                    Versucht wurde das (hacken, DDoS, Tests mit Nessus) wohl...

                    Das kleine CMS erzeugt statische Dateien und kann nur was es soll. Erweiterungen im Sinne eines sehr starken Cachings (der Apache muss die Daten nicht mal mehr packen) gab es nur nach einer DDoS-Attacke besagter "Freunde". Die einfache Regel, dass aus vielen Codezeilen auch mehr Fehler folgen, gilt.

                    1. In meinen Logs finde ich regelmäßig Requests auf wp-login.php u.a. .php Ressourcen. Die es bei mir gar nicht gibt und auch nicht geparst würden wären sie vohanden: PHP disabled. MFG

                      1. In meinen Logs finde ich regelmäßig Requests auf wp-login.php u.a.

                        Sowas bekommt der Honeypot. Der gratuliert mehrsprachig und setzt die Remote IP auf die Verbotsliste. Damit kriegt man die Skript-Kiddies am Popo.

                    2. Ich sags mal so: Mein eigenes CMS kann man herunterladen und es wurde, obwohl ich viele besondere Freunde in computeraffinen, kriminellen Szenen habe, seit anno asbach (2003?) nie gehackt.

                      Hab 10 Minuten in deinen Code geschaut.

                      Datei: kommentar.speichern.php Zeile: 113:

                      location.href="<?php echo $_POST['GoTo']; ?>";
                      

                      $_POST['GoTo'] wird nicht escaped, auch vor dieser Zeile nicht. Das öffnet die Türen sperrangelweit für XSS-Angriffe. Wer im Glashaus sitzt…

                      Edit: Die gleiche Sicherheitslücke tritt auch noch in AdminBilderBackup.php:33 und AdminBilderUpdate.php:61 auf.

                      1. Moin,

                        wo kann man sich das ziehen?

                        Gruß Bobby

                        --
                        -> Für jedes Problem gibt es eine Lösung, die einfach, sauber und falsch ist! <- ### Henry L. Mencken ### -> Nicht das Problem macht die Schwierigkeiten, sondern unsere Sichtweise! <- ### Viktor Frankl ### ie:{ br:> fl:{ va:} ls:< fo:) rl:( n4:( de:> ss:) ch:? js:( mo:} sh:) zu:)
                        1. wo kann man sich das ziehen?

                          Auf https://www.fastix.org/. Ich hab einfach mal geraten, dass "Self-Nachtwächter" eine der Sockenpuppen von Jörg Reinholz ist, und lag damit scheinbar auch richtig. Denn unmittelbar danach hat sich die Sockenpuppe "ursus contionabundo" zu Wort gemeldet, von der ich ziemlich sicher bin, dass ebenfalls Jörg dahinter steckt.

                      2. location.href="<?php echo $_POST['GoTo']; ?>";
                        

                        $_POST['GoTo'] wird nicht escaped, auch vor dieser Zeile nicht. Das öffnet die Türen sperrangelweit für XSS-Angriffe. Wer im Glashaus sitzt…

                        Na?

                        Wen kann es denn erwischen? Nur den, der den POST gerade selbst gesendet hat, also den Angreifer selbst - oder?

                        1. Moin,

                          FALSCH... ein so manipuliertes Formular kann deine Webseite Nutzen um Spuren zu verwischen!

                          Das wurde zu Frühzeiten mit google zu hauf gemacht. Google hat dem einen Riegel vorgeschoben. Diese XSS-lücke ist kreuzgefährlich!

                          Gruß Bobby

                          --
                          -> Für jedes Problem gibt es eine Lösung, die einfach, sauber und falsch ist! <- ### Henry L. Mencken ### -> Nicht das Problem macht die Schwierigkeiten, sondern unsere Sichtweise! <- ### Viktor Frankl ### ie:{ br:> fl:{ va:} ls:< fo:) rl:( n4:( de:> ss:) ch:? js:( mo:} sh:) zu:)
                        2. Wen kann es denn erwischen? Nur den, der den POST gerade selbst gesendet hat, also den Angreifer selbst - oder?

                          Nein, es kann jeden treffen. Jeder kann eine Webseite mit einem Formular erstellen, das auf deine Kommentarseite verweist. Das Formular kann komplett mit hidden-Fields befüllt sein und der Absenden-Button könnte wie ein harmloser Link aussehen. Ein Nutzer, der diesem vermeintlichen Link folgt, landet auf deiner Seite und merkt gar nichts von der Code-Injection. Er sieht in die Adresszeile und sieht da deine angemietete URL, womöglich auch noch ein grünes Schloss, das suggeriert: Hier ist alles im grünen Bereich. Aber der Angreifer kann dem Nutzer nun alles in deinem Namen verkaufen oder im Namen des Nutzers beliebige Aktionen auf deiner Seite ausführen. Letzteres nennt sich dann Cross Site Request Forgery.

                          1. Jeder kann eine Webseite mit einem Formular erstellen, das auf deine Kommentarseite verweist. Das Formular kann komplett mit hidden-Fields befüllt sein und der Absenden-Button könnte wie ein harmloser Link aussehen.

                            Na gut.

                            Habe mich entschlossen, statt an $_POST['GoTo'] herumzukorrigieren, die (vermeintliche) URL auf den korrekten Beginn zu prüfen und dann auf genau die Zeichen, die htmlspecialchars(string, ENT_QUOTES) ersetzen würde. (In den echten URLs können diese Zeichen nicht vorkommen)

                            $GoToError = false;
                            if (! 0 === strpos( $_POST['GoTo'] , $_SERVER['REQUEST_SCHEME']  . '://' . $_SERVER['HTTP_HOST'] ) ) {
                                $GoToError = true;
                            } else {
                                foreach ( [ '"', '\'', '<', '>' ] as $badChar ) {
                            		    if ( false !== strpos( $_POST['GoTo'], $badChar ) ) {
                            			      $GoToError = true;
                                        break;
                                    } 
                                }
                            }
                            
                            if ( $GoToError ) {
                            	  http_response_code(418);
                            	  echo "<h1>Nice try.</h1>";
                            	  exit;
                            }
                            

                            Da eine Reparatur nicht sinnvoll ist (htmlspecialchars würde z.B. immer noch eine Weiterleitung zu fremden Ressourcen erlauben) schicke ich den Besucher aber in die "Nice try" – Wüste. Ich überlege noch ob und wie ich das logge.

                            1. if (! 0 === strpos( $_POST['GoTo'] , $_SERVER['REQUEST_SCHEME'] . '://' . $_SERVER['HTTP_HOST'] ) )

                              Sowohl $_SERVER['REQUEST_SCHEME'] als auch $_SERVER['HTTP_HOST'] werden aus dem Client-Request gelesen und lassen sich somit einfach manipulieren. Damit hast du nicht viel gewonnen. Etwas gewinnst du, weil der HTTP-Roundturn damit Gegenstand der Same Origin Policy wird, in Zeiten von In-App-Browsern ist das aber noch nicht genug.

                              Da eine Reparatur nicht sinnvoll ist […] schicke ich den Besucher aber in die "Nice try" – Wüste.

                              Natürlich wäre eine Reperatur sinnvoll. Fuschererei dagegen ist es nicht.

                              htmlspecialchars würde z.B. immer noch eine Weiterleitung zu fremden Ressourcen erlauben

                              Ja, deswegen solltest du serverseitig weiterleiten, und wenn du unbedingt die Return-URL über mehrere HTTP-Roundturns speichern möchtest, dann mach das ebenfalls serverseitig, z.B. in einer Session.

                              1. Sowohl $_SERVER['REQUEST_SCHEME'] als auch $_SERVER['HTTP_HOST'] werden aus dem Client-Request gelesen und lassen sich somit einfach manipulieren.

                                Also ich glaube, dass, wenn jemand $_SERVER['REQUEST_SCHEME'] manipuliert, gar nichts geschieht. Es kommt ein 400 oder 415er. Ist $_SERVER['HTTP_HOST'] falsch … dann könnte das zwar (unter der Bedingung, dass das CMS auf dem Default-Host läuft und der DNS oder das ganze OS des Nutzer manipuliert ist) gehen - aber dazu müsste alles andere als ein normaler Webbrowser oder ein sehr spezieller Proxy benutzt werden.

                                Das aber bedeutet: Der Angreifer braucht kein XSS mehr, weil er dem Nutzer des von ihm kontrolliertem DNS oder Betriebssystems - siehe admin-Rechte an der host-Datei, des manipulierten Browsers oder des von ihm manipulierten Proxys ohne XSS und also viel einfacher und ganz unabhängig von mir ein X für ein U vormachen kann.

                                Ohne solche vom Angreifer zuvor manipulierte Software wird das REQUEST_SCHEME und der HTTP_HOST korrekt gesendet. Daran ist mit HTML oder meinetwegen Javascript nichts zu ändern.

                                Verwendet der Angreifer selbst die Software, dann bekommt er selbst zurück, was er gesendet hat. Ich glaube fest daran, dass ich nicht mehr verantwortlich bin, wenn jemand mit einem Browser nicht in sondern aus der Piratenbucht surft.

                                Ja, deswegen solltest du serverseitig weiterleiten, und wenn du unbedingt die Return-URL über mehrere HTTP-Roundturns speichern möchtest,

                                Nein, nur eine Runde.

                    3. Moin,

                      Hm... was unternimmst du gegen Session-hijacking? Konnt ich auf Anhieb übers Handy nix finden!

                      Gruß Bobby

                      --
                      -> Für jedes Problem gibt es eine Lösung, die einfach, sauber und falsch ist! <- ### Henry L. Mencken ### -> Nicht das Problem macht die Schwierigkeiten, sondern unsere Sichtweise! <- ### Viktor Frankl ### ie:{ br:> fl:{ va:} ls:< fo:) rl:( n4:( de:> ss:) ch:? js:( mo:} sh:) zu:)
                      1. Hm... was unternimmst du gegen Session-hijacking? Konnt ich auf Anhieb übers Handy nix finden!

                        1.:https

                        2.a.: http wird via Weiterleitung verweigert

                        2.b:

                        ---request end---
                        HTTP-Anforderung gesendet, auf Antwort wird gewartet … 
                        ---response begin---
                        HTTP/1.1 200 OK
                        Date: Wed, 06 Mar 2019 20:24:05 GMT
                        Server: Apache
                        X-Frame-Options: deny
                        Strict-Transport-Security: max-age=15768000;includeSubDomains;preload
                        Cache-Control: public
                        Cache-Control: public
                        Expires: Wed, 13 Mar 2019 20:24:05 GMT
                        X-Content-Type-Options: nosniff
                        X-XSS-Protection: 1; mode=block
                        Content-Security-Policy: default-src 'self' www.fastix.org fastix.org 'unsafe-inline'; img-src *
                        X-Frame-Options: SAMEORIGIN
                        
              2. Hej bobby,

                da hab ich natürlich Module, die ich entsprechend an das CMS hänge. Und ja, meine Kunden bezahlen mir den Aufwand. Ich erstelle keine Webseiten für 100 € oder so. Solche Kunde lehne ich auch ab. Die können dann ja zu dir gehen.

                Für hundert Euro kann man auch keine Website mit WP erstellen — es sei denn das ist die Entschädigung für ein Ehrenamt.

                Für 1.000,- EUR kann man aber nur mit WP Seiten erstellen. Und ich finde es schade, wenn Leute, die nicht mehr Budget haben, nur vor die Wahl gestellt werden, eine FB-Seite oder nichts zu haben.

                Davon abgesehen kann man sich auch die Pflege (Updates einspielen, Hosting usw) bezahlen lassen. Das ist eine fairere Art der Kundenbindung, als die Zwangsheirat durch ein proprietäres System.

                Ich bleibe bei der Meinung dass es besser geht als mit Wordpress oder Joomla. Und vor allem viel performanter und sicherer.

                Das ganz bestimmt. Die Frage ist nur, ob du das hinbekommen hast. Regelmäßig gepatchte WP-Versionen stehen gar nicht so schlecht da. Vielleicht haben Deine Kunden nur deshalb Ruhe, weil an ihnen persönlich keiner Interesse hat. Hat denn schon mal jemand ernsthaft versucht, in Dein System einzudringen?

                Dank der geringen Verbreitung deines eigenen Systems ist es schlciht weniger interessant für automatische Angriffe, die auf massenhafte Verbreitung ausgelegt sind. Marktführer und promnente Marktteilnehmer wie TYPO3, Joomla oder Drupal sind da schlicht die interessanteren Ziele.

                "Seitdem ist Ruhe" sagt zwar etwas über die Zahl der gelungenen Angriffe aus (exponierte Ziele sind interessanter), aber nicht darüber, ob Dein System an sich sicherer ist. WP wird ja im Livebetrieb praktisch ununterbrochen auf Schwachstellen „getestet“.

                Dein System hat sich solch massenhaften Angriffe schlicht nie stellen müssen.

                Und wie gesagt: in die von mir ordentlich gepflegten Systeme ist bisher noch niemand eingebrochen. Der Hoster überwacht jede einzelne Installation automatisch und legt Anwendungen still, die sich „auffällig“ verhalten — hatte ich mal bei einem Kunden der statt WP ein eigenes Skripte-Sammelsurium verwendet hat. Seither hat er — dank WP — Ruhe…

                Marc

                --
                Ceterum censeo Google esse delendam
                1. Moin,

                  Für hundert Euro kann man auch keine Website mit WP erstellen — es sei denn das ist die Entschädigung für ein Ehrenamt.

                  Bieten aber tatsächlich Agenturen an und in Zeiten von "Webseiten sind ja keine Rocketsience" und "Deine Webseite in 3 Minuten mit Jimdo" denken auch Kunden/ Interessenten, dass es eine Webseite für 100 € gäbe

                  Für 1.000,- EUR kann man aber nur mit WP Seiten erstellen. Und ich finde es schade, wenn Leute, die nicht mehr Budget haben, nur vor die Wahl gestellt werden, eine FB-Seite oder nichts zu haben.

                  Also für 1000 € kann ich keine Webseite erstellen. Nichtmal mit Wordpress. Ich habe ein Tagessatz von mindestens 450 € und 3 Tage benötige ich schon mindestens

                  Davon abgesehen kann man sich auch die Pflege (Updates einspielen, Hosting usw) bezahlen lassen. Das ist eine fairere Art der Kundenbindung, als die Zwangsheirat durch ein proprietäres System.

                  Wenn aber dennoch etwas schiefgeht ist man als Agentur der Arsch. Auch wenn es sich um eine Lücke handelt für die es noch kein Fix gibt.

                  Das ganz bestimmt. Die Frage ist nur, ob du das hinbekommen hast. Regelmäßig gepatchte WP-Versionen stehen gar nicht so schlecht da. Vielleicht haben Deine Kunden nur deshalb Ruhe, weil an ihnen persönlich keiner Interesse hat. Hat denn schon mal jemand ernsthaft versucht, in Dein System einzudringen?

                  Ich habe versucht die gängigsten Sicherheitsmechanismen einzubauen. Ich behaupte ja nicht, dass da nicht eventuell Fehler drin sind. Ich hab aber Webseiten mit dem System über 8 Jahre laufen, die auch wirklich gut besucht werden und die dennoch nie gehackt wurden.

                  Dank der geringen Verbreitung deines eigenen Systems ist es schlciht weniger interessant für automatische Angriffe, die auf massenhafte Verbreitung ausgelegt sind. Marktführer und promnente Marktteilnehmer wie TYPO3, Joomla oder Drupal sind da schlicht die interessanteren Ziele.

                  Das habe ich ja als Vorteil genannt. Unbekannte Struktur mach potentiellen Angreifern viel zu viel Arbeit, als dass man diese effizient angreifen könnte.

                  Dein System hat sich solch massenhaften Angriffe schlicht nie stellen müssen.

                  Das ist nicht korrekt, und das sehe ich in den Logs. Ich loge Angriffsversuche außerdem noch zusätzlich mit. und da kommen schon einige Angriffe zusammen

                  Und wie gesagt: in die von mir ordentlich gepflegten Systeme ist bisher noch niemand eingebrochen. Der Hoster überwacht jede einzelne Installation automatisch und legt Anwendungen still, die sich „auffällig“ verhalten — hatte ich mal bei einem Kunden der statt WP ein eigenes Skripte-Sammelsurium verwendet hat. Seither hat er — dank WP — Ruhe…

                  so unterschiedlich ist das. Ich hatte mindestens 5, immer gepatchte, WP-Installationen, von anderen Firmen installiert, die gehackt wurden.

                  Gruß Bobby

                  --
                  -> Für jedes Problem gibt es eine Lösung, die einfach, sauber und falsch ist! <- ### Henry L. Mencken ### -> Nicht das Problem macht die Schwierigkeiten, sondern unsere Sichtweise! <- ### Viktor Frankl ### ie:{ br:> fl:{ va:} ls:< fo:) rl:( n4:( de:> ss:) ch:? js:( mo:} sh:) zu:)
                2. Für 1.000,- EUR kann man aber nur mit WP Seiten erstellen.

                  Das "nur mit WP" ist objektiv falsch.

                  1. Hallo ursus contionabundo,

                    Für 1.000,- EUR kann man aber nur mit WP Seiten erstellen.

                    Das "nur mit WP" ist objektiv falsch.

                    Damit ist nicht gemeint, dass man WP benutzen muss, um für 1000 EUR eine Seite erstellen zu können, sondern, dass man mit 1000 EUR hinkommt, wenn man WP (und nichts anderes) verwendet.

                    So habe ich das zumindest kontextbezogen gelesen.

                    Bis demnächst
                    Matthias

                    --
                    Pantoffeltierchen haben keine Hobbys.
                    ¯\_(ツ)_/¯
                    1. Hej Matthias,

                      Für 1.000,- EUR kann man aber nur mit WP Seiten erstellen.

                      Das "nur mit WP" ist objektiv falsch.

                      Damit ist nicht gemeint, dass man WP benutzen muss, um für 1000 EUR eine Seite erstellen zu können, sondern, dass man mit 1000 EUR hinkommt, wenn man WP (und nichts anderes) verwendet.

                      So habe ich das zumindest kontextbezogen gelesen.

                      Im Kopf hatte ich dabei tatsächlich individuelle Lösungen oder WP mit ordentlichem, individualisierten Layout.

                      Zwar kann ich auch ohne WP Seiten für 1.000 EUR erstellen (tatsächlich liege ich mit WP auch oft noch darunter bei meinem Stundensatz von 70,- EUR), allerdings sind die dann oft auch schlechter gestaltet. Denn ich bin kein Designer und wenn man ein eigenes individuelles Design nimmt, dann nimmt der Designer schon mehr als 1.000 EUR und wenn ich den Vorgaben folgen soll, komme ich auch nicht mehr in der üblichen Zeit hin und bin dann auch eher bei 1.500 EUR als bei 800 - entspricht also einem mehrfachen zu dem, was eine WCAG ready-responsive Seite mit WP kostet. Und der Kunde ist dann bei einer statischen Seite auch noch ziemlich sicher unfähig, irgendeinen Inhalt selber zu pflegen…

                      Mit anderen CMSen könnte das auch möglich sein, aber da hat man vor allem für Updates höhere Aufwände als bei WP. Kann einem Kunden was wert sein, muss es aber nciht. Und die großen Konkurrenten wie TYPO3 oder Joomla schneiden bei Sicherheitsvergleichen auch nicht besser ab, als WP.

                      Drupal steht IMHO sehr gut da, da ist ein major Update aber ähnlich aufwändig wie eine Neuentwicklung.

                      Marc

                      --
                      Ceterum censeo Google esse delendam
                  2. Hej ursus,

                    Für 1.000,- EUR kann man aber nur mit WP Seiten erstellen.

                    Das "nur mit WP" ist objektiv falsch.

                    Nein. Das „man“ ist falsch. Da hätte „ich“ stehen müssen.

                    Gut, eine kleine statische Seite mit gekauftem Layout von der Stange geht wohl auch. Aber das sind so die Ausnahmen, die die Regel bestätigen.

                    Meine günstigste übrigens: 3 Seiten mit der HTML-Boilerplate, Inhalte reinkopiert, ausgezeichnet und online gestellt in 1,5 Stunden. Immerhin besser als die vorherige Seite.

                    Marc

                    --
                    Ceterum censeo Google esse delendam
                    1. Hallo,

                      [Meine günstigste]

                      Flaggen als Symbole für Sprachen… tststs

                      scnr

                      Gruß
                      Kalk

                      1. Hej Tabellenkalk,

                        [Meine günstigste]

                        Flaggen als Symbole für Sprachen… tststs

                        scnr

                        Alles gut, der Hinweis ist naheliegend und eigentlich berechtigt. Da die direkt nach dem Satz stehen, dass in der Apotheke viele Sprachen gesprochen werden, sieht es so aus, als sollten diese Sprachen repräsentieren. Tatsächlich sind aber auf dem Schild vor der Apotheke und daher auch auf der Website einfach ganz viele Flaggen, um zu verdeutlichen, dass alle Nationen, die es in Bonn Tannenbusch gibt, willkommen sind. Auf dem hogen Schild steht auch in ca 10 Sprachen "herzlich willkommen" um jeden - egal aus welchem Land er kommt, in seiner Sprache zu begrüßen…

                        Ich habe mich übrigens vertan. Es waren nicht 1,5 sondern 2,5 Stunden - hatte damals einen Stundensatz von 60 EUR und die Seite hat 150,- EUR gekostet.

                        Und eine Stunde ging allein für das Bildmaterial einschließlich der Flaggen drauf…

                        Marc

                        --
                        Ceterum censeo Google esse delendam
                      2. Hallo,

                        Flaggen als Symbole für Sprachen… tststs

                        Besser als Zungen 😉

      3. Hej bobby,

        ALLE Webseiten von Kunden von mir, die vorher mit Wordpress gemacht wurden, sind gehackt worden.

        Keine einzige Website meiner Kunden, die alle mit Wordpress gemacht sind, wurden jemals gehackt.

        Was hast du denn gemacht, damit das passiert? Bei 1&1 gehostet? 😂

        Marc

        --
        Ceterum censeo Google esse delendam
        1. Moin,

          Zum Beispiel über woocommerce ist ein Angriff gelungen. konnte man nachvollziehen. Ist allerdings schon ein Weilchen her.

          Dann die Kommentar-XSS-Lücke die jahrelang offen wie ein Scheunentor war, wurde für Manipulationen genutzt.

          usw. usw. usw.

          Gruß Bobby

          --
          -> Für jedes Problem gibt es eine Lösung, die einfach, sauber und falsch ist! <- ### Henry L. Mencken ### -> Nicht das Problem macht die Schwierigkeiten, sondern unsere Sichtweise! <- ### Viktor Frankl ### ie:{ br:> fl:{ va:} ls:< fo:) rl:( n4:( de:> ss:) ch:? js:( mo:} sh:) zu:)
          1. Hej bobby,

            Zum Beispiel über woocommerce ist ein Angriff gelungen. konnte man nachvollziehen. Ist allerdings schon ein Weilchen her.

            Dann die Kommentar-XSS-Lücke die jahrelang offen wie ein Scheunentor war, wurde für Manipulationen genutzt.

            Mir scheint, du verwendest das für größere Webseiten, als das bei mir der Fall ist. Daher komme ich auch mit 1.000 EUR oft hin und benutze in der Regel wenige PlugIns.

            Mag ein Grund dafür sein, dass noch nichts passiert ist.

            Nicht falsch verstehen: ich will nicht sagen, dass bei WP alles toll ist. Das sind aber auch andere Systeme nicht. Auch proprietäre nicht.

            Die Vor- und Nachteile sind schlicht andere. So ist die weite Verbreitung von WP Fluch und Segen zugleich. Neben dem Problem mit der Attraktivität für Kriminelle (hatte deinen Hinweis dazu erst später gelesen) gibt es eben auch unzählige Fortbildungsangebote, Literatur, PlugIns, Themen usw…

            Für vermutlich jedes System gibt es gute Gründe, das zu nutzen. Bei Vergleichen von CMSen miteinander schneidet WP jetzt auch in Bezug auf Sicherheit nicht schlechter ab, als andere. Die meisten Lücken befinden sich in den PlugIns und da kann man ein bisschen vorsorgen durch die Auswahl der PlugIns und durch eine simple Reduzierung auf das notwendigste. Auch hier sind ja Eigenentwicklungen möglich.

            Ich persönlich bin seinerzeit auf WP umgestiegen, weil es lange Zeit das einzige System mit einem ziemlich zuverlässigen Update-Mechanismus war (vielleicht immer noch - bin da jetzt nicht mehr so drin, wie das bei der Konkurrenz aussieht).

            Marc

            --
            Ceterum censeo Google esse delendam
        2. Hi,

          gilt 1und1 generell als unsicherer Hoster, dessen Server stetig Sicherheitslücken aufweisen?

          mfg fritz

          1. Hej Fritz,

            gilt 1und1 generell als unsicherer Hoster, dessen Server stetig Sicherheitslücken aufweisen?

            Man hat da öfters was gehört. Aber haben die sich ja umfirmiert und vielleicht ist alles noch billiger und schlechter oder besser geworden. IONOS oder so heißen die jetzt. War 1&1 schon immer doof ui schreiben, ist es jetzt auch noch doof auszusprechen …

            Langer Rede kurzer Sinn. Ich habe mit denen schlechte Erfahrungen gemacht und es gab mal eine Kombination von altem Joomla und altem PHP und nicht eingespielten Sicherheit-Patches, die ausgenutzt wurden. Diese Lücken bestehen sicher nciht mehr, und ich kann über den aktuellen Stand nichts sagen.

            Ich bin selber bei domainfactory, da gab es letztes Jahr ein Problem, weil viele Daten gestohlen wurden. Hier habe ich verfolgt, was für umfangreiche Maßnahmen danach getroffen wurden, um das zukünftig zu erschweren.

            Aber richtig sicher ist natürlich nichts, was im Netz stehen muss.

            Unterschiede gibt es, Tests sind allerdings nur Momentaufnahmen. Insofern: nichts genaues weiß man nicht.

            Marc

            --
            Ceterum censeo Google esse delendam
  4. Ist der Begriff "CMS" überhaupt richtig, für dass was ich vorhabe?

    Alles was mit Publizieren im WEB zu tun hat ist Content Management. Wenn Du was mit Bildern machen willst, hier eine Idee fürs Backend/Bilderblog. Da werden die Bilder gleich im Browser skaliert vor dem Hochladen und serverseitig samt Beschreibung gespeichert. MFG

  5. Hej hen007ry,

    Ich möchte einen Blog Programmieren und möchte für den Blogbetreiber ein kleines Content Management System Programmiern.

    Bevor ich die anderen Antworten gelesen habe: nicht machen!

    Egal wie klein das Blog ist, brauchst du dieselben Schutzmechanismen wie für ein großes Blog. also viel Arbeit für ganz wenige Funktionen.

    Und der zweite Punkt: sobald der Nutzer sich eingewöhnt hat, vielleicht aber schon bei der ersten Vorführung, wird er sich neue Features wünschen. Und du bist ganz schnell an dem Punkt, wo du denkst, da hättest du dir die ganze Arbeit sparen und gleich was fertiges nehmen können…

    Marc

    --
    Ceterum censeo Google esse delendam
    1. Es ist tatsächlich so, daß ein CMS selbst das Sicherheitsproblem darstellen kann. Aber nicht das CMS an sich sondern nur die Komponenten die Inhalte auf dem Remotesystem anlegen, verändern, löschen usw. In WP gibt es sehr viele solche Komponenten aber das nur mal so nebenbei.

      Es gibt CMS die legen Inhalte lokal an und nutzen FTP zum publizieren. FTP ist unsicher weil keine Verschlüsselung stattfindet. Man nehme SCP oder sFTP und schon ist das Problem gelöst und siehe da, mit dem CMS hat das gar nichts zu tun.

      Eine Aussage wie nicht machen ist zu pauschal. Jeder Entwickler kocht auch nur mit Wasser und wer aus seinen Fehlern lernen kann darf auch welche machen.

      Und mit HTTP verhält es sich genauso wie mit FTP: Ja, man kann auch verschlüsselt übertragen.

      Wenn die Frage der Verschlüsselung nun klar sein sollte, kommt als nächstes die Frage des Vertrauens: Wem gebe ich einen Zugang, welche Person/Gruppe darf Inhalte anlegen!? Und siehe da, auch diese Antwort hat mit einem CMS gar nichts zu tun.

      MFG