Mit Hilfe des Services, der aktuell unter der URL https://api.wordpress.org/secret-key/1.1/salt/ zu erreichen ist, kann man sich 8 neue Schlüssel erstellen lassen und nutzt diese bzw. auch nur die letzten vier. Die neue Schlüssel sind vorrangig für die Multiuser-Funktionalität und werden klassisch wenig genutzt - ein Nachteil sind sie aber nicht und werden auch in der Funktion wp_salt() genutzt, die sich um die Sicherheit kümmert und diverse Hashes erstellt.

define('AUTH_KEY',         'q]ntdiiS9%&y%W&. M%JH+mUK=!j_CL|TZ ]0X$/cO]HrL6jMdc$0tx1|o+R.J#2');
define('SECURE_AUTH_KEY',  'Y}qq3FZH+~;,{H5w;jW=&gt;s$hB,P^kra#U?HtP]32w^5r*h|]|yTc~D?78M +z<HR>/qZ +FTi&gt;iKhudd');
define('LOGGED_IN_KEY',    '4i>/~Ox[JG0O|AK`vt@Vh5#D;r=E@Xsl-SR>XXgz0Np/&b;)|c(@t9yPtKaxj%N&');
define('NONCE_KEY',        ' j2H|0N[q%q||[mB1V;pj4v TO6I&amp;-NqEc=J&gt;G|!t#wZI |v+Q=d[@9@heM!I[d[');
// die neuen Schluessel
define('AUTH_SALT',        'yce=M 5@R^3q!`v_`o1[hh05kMY2l=k=|7Xdvg+zj`-bcw2qu;d*37?');
define('SECURE_AUTH_SALT', ';3^JS^3d-4JaX@{-~t*L');
define('LOGGED_IN_SALT',   'G#whJOmaws-PsnY/i8(G!gq)A?:elIE8cPTYL[0H]OX^&gt;-f.0#7+V82)J]&amp;] }b+');
define('NONCE_SALT',       '!yl]=f1]vrB mwtr|?#_-KvCIM}kBR&gt;rq:CV/MnTQb(!X/|;LB&gt;.3qhU:(Xni/{L');

Einige kurze Anmerkungen: Die Schlung möchte ich recht offen gestalten und nicht pur meinen Text runter rattern. Im Grunde stelle ich mir ein Miteinander vor.
Ich brauche nicht in der Oberfläche erklären, wenn die die Teilnehmer bestens kennen. Daher würde ich das im Vorfeld mit den Teilnehmern abklären und dann die Schulung entsprechend abstimmen; so dass jeder etwas an Wert mit nimmt und nicht das Buch aus meinem persönlichen Wortschatz hört.

Termin: 17.–19.06.2010 in München

Anmelden/ mehr Lesen: via dieser Seite auf den Seiten der Open Source School

Zielgruppe: Diese Schulung richtet sich an Interessierte, die ein eigenes Blog einrichten und betreiben möchten.

Vorkenntnisse: Es werden Grundkenntnisse in HTML, CSS und Webtechnologien vorausgesetzt.

Inhalt: Die folgenden Themen sind Inhalt dieser Schulung:

• Installation und Wartung
• Aufbau der Site-Struktur
• Gestaltung einzelner Seiten und Beiträge
• Einfügen der Inhalte
• Erweiterung des Systems mit Plugins
• Individuelle Gestaltung mit Themes
• Tipps und Tricks für das eigene Blog

Schulungsunterlage:

Zu dieser Schulung erhalten Sie ein Exemplar des Buches "WordPress – Vom Blog zum Content-Management-System" von Frank Bültge und Thomas Boley.

Hinweise: Diese Schulung hat einen starken Workshop-Charakter. Vor der Schulung werden alle Teilnehmer kontaktiert, um den Workshop bestmöglich an ihre Wünsche und Erwartungen anzupassen.

Im Zusammenhang mit Bildern gibt es einige andere Lösungen, die ich für besser und schneller halte. Eine Sammlung meiner Erfahrungen habe ich in einem Blogbeitrag zusammen gefasst, zu finden unter WordPress Attachments, Bilder und Metadaten nutzen.

Die folgenden Ansätze zeigen Lösungen, die dafür sorgen, dass es in allen Versionen von funktioniert.

<?php
function get_config() {

	$root = dirname(__FILE__);
	while ( !file_exists($root . '/wp-load.php') &&
 !file_exists($root . '/wp-config.php') ) {
		$root = dirname($root)
	}

	return $root;
}

// oder
$root = dirname( dirname( dirname(dirname(__FILE__)) ) );
if ( file_exists($root . '/wp-load.php') ) {
// WP 2.6
require_once($root . '/wp-load.php');
} else {
// vor 2.6
require_once($root . '/wp-config.php');
}

// Pre-2.6 Kompatibilität mit Konstanten
if ( !defined('WP_CONTENT_URL') )
	define( 'WP_CONTENT_URL', get_option('siteurl') . '/wp-content' );
if ( !defined('WP_CONTENT_DIR') )
	define( 'WP_CONTENT_DIR', ABSPATH . 'wp-content' );

// location
$plugin_path = WP_CONTENT_DIR . '/plugins/'.plugin_basename( dirname(__FILE__) );
$plugin_url = WP_CONTENT_URL . '/plugins/'.plugin_basename( dirname(__FILE__) );
?>

Wichtig beim Einsatz der Permalinks und dem Bloggen in deutscher Sprache ist der Einsatz des Plugins „WP-CleanUmlauts“4 . Es sorgt dafür, dass Ihre Permalinks keine Umlaute enthalten bzw. dass die Umlaute aus dem Titel in der URL nicht gelöscht werden. Der Titel „Über Bücher“ wird dann korrekt zu ./uebr_bueher/..
Seite 123 im Buch "Das WordPress-Buch – Vom Blog zum Content-Management-System"

WordPress erlaubt es, dass Sie das Backend und Frontend in anderen Sprachen nutzen, als das im Core von WordPress hinterlegt ist. Dafür gibt es eine Schnittstelle, die die Sprachdatei lädt. In diesem Zusammenhang kann man auch, wie in Themes und Plugins, eigene Funktionen einbringen und so bestimmte Anpassungen zur Sprache vornehmen. Dies wird in anderer Priorität gezogen und ist nur dann aktiv, wenn man im Backend arbeitet. Daher ist die nun vorgestellte Lösung performanter und auch im Sinne von WordPress so gedacht.

Fazit: Nutzen Sie nicht das im Buch angesprochenen Plugin um die Umlaute der Permalinks anzupassen, sondern nutzen Sie die erarbeitete Lösung von Heiko Rabe, der aktuell die Datei pflegt. Die Datei kann in seinem Beitrag "Permalinks mit Umlauten" geladen werden und gehört dann in den Sprachordner /wp-content/languages/ abgelegt. Zur Buchveröffentlichung hatten wir die Lösung noch in einigen Tests und so möchte ich die Leser gern auf diesem Wege nachträglich informieren.

Ein E-Book (auch „eBook“ oder „ebook“, von engl. electronic book), auch eingedeutscht E-Buch (von elektronisches Buch) versucht im weitesten Sinne, das Medium Buch mit seinen medientypischen Eigenarten in digitaler Form verfügbar zu machen.

Wikipedia

Damit ist das Buch zu WordPress auch für sehbehinderte Leser nutzbar und natürlich für alle, die lieber eine Variante auf dem Rechner haben.
Der Preis für das E-Book beläuft sich bei 29,90€ und ist direkt beim Verlag zu bestellen.

Ich für meinen Teil freue mich darüber, macht es doch den Zugang zum Buch auf unterschiedliche Ebene möglich.

Einen kleinen Einblick in das gedruckte Werk sollen die folgenden Screenshots verdeutlichen. Leseprobe und Inhaltsverzeichnis kann natürlich ebenso eingesehen werden.

Leseprobe & Inhaltsverzeichnis

• Leseprobe ( 270 kByte, PDF Dokument )
• Inhaltsverzeichis ( 91 kByte, PDF Dokument )

Die Downloads und zusätzlichen Inhalte werden in den kommenden Tagen und Wochen das Blog hier befüllen.

Um schon jetzt einen kleinen Einblick zu haben und sich eine Eindruck zu verschaffen, steht das Inhaltsverzeichnis und eine Leseprobe bereit, alles auf der Seite zum Buch "Das WordPress-Buch – Vom Blog zum Content-Management-System" zu finden. Zusätzliche Hinweise und Syntaxbeispiele, sowie Downloads, die im Buch angesprochen werden, werden wir in den kommenden Tagen frei schalten.

Buch Aktualisierung?

Das Buch ist derzeit nicht auf dem aktuellsten Stand von WordPress - was auch sehr schwer zu halten ist. Die aktuelle Version 2.7 von WordPress soll nun eine längere Laufzeit bekommen und gerade im Bereich Oberflächenbeschreibung ist das Buch damit ein wenig veraltet, auch wenn sich in den eigentlichen Funktionen nur wenig geändert hat. Eventuell kann ich mit der kleinen Liste von Links aus meinem Fundus ein wenig gut machen und die treuen Leser auf das kommende Werk vertrösten, was noch ein wneig Zeit benötigt. Dies liegt zum einem am Tribut, dass man ein Buch in der Freizeit schreibt und zum anderen daran, dass nicht immer alles planbar ist.
Ansonsten versuche ich euch, die Leser des Buches, auch mit frischen Infos zu WordPress auf mein privates Blog zu informieren.

WordPress Schulung?

Alternativ und ganz neu wird es eine Schulung zu WordPress mit mir geben. Diese möchte ich recht offen gestalten und nicht pur meinen Text runter rattern. Im Grunde stelle ich mir ein Miteinander vor. Ich brauche nicht in der Oberfläche erklären, wenn die die Teilnehmer bestens kennen. Daher würde ich das im Vorfeld mit den Teilnehmern abklären und dann die Schulung entsprechend abstimmen; so dass jeder etwas an Wert mitnimmt und nicht das Buch aus meinem persönlichen Wortschatz hört.
Wer Interesse hat, der kann sich gern bei mir melden und die Schulung direkt auf der zugehörigen Seite buchen. Mehr Infos folgen in naher Zukunft gibt es in mein privates Blog im zugehörigen Beitrag.

Plugin/Core API Reference

• Action reference
• Filter reference
• Function reference
• Template tags
• Shortcode API
• Sidebar Widgets API
• Erweiterte Themen Kategorien im Codex

Datenbank API

• wpdb class - WP Datenbank Abstraktion Layer
• Datenbank Beschreibung & Tabellenübersicht

Feeds

• Feed Action reference
• Magpie RSS / Wie geht's - RSS/Atom Parser, welcher im WordPress-Core verwendet wird
• Atom Publishing Protocol

XML-RPC - Remote Control

• XML-RPC Website
• IXR (Incution XML-RPC Library) - Die XML-RPC Library, welche WordPress einsetzt

Trackbacks & Pingbacks

• Pingback Specification
• Trackback Specification
• Für Codetipps hilft am besten der Blick in den Code der Funktionen trackback() und pingback() in der wp-includes/comment.php.

TinyMCE Rich Text Editor (WYSIWYG)

• TinyMCE Codex Seite
• Relevante Hooks
• Officiele TinyMCE Doku

Externe Ressourcen

• Akismet API Documentation
• Plugin Information API (api.wordpress.org) - zusätzliche Infos
• PHPdoc zum WordPress Trunk
• WordPress Funktionshistorie
• WordPress Hooks (Action und Filter) zu allen Versionen

Wie hoffen, dass das Buch die Erwartungen erfüllen kann und arbeiten mit größter Sorgfalt. Dabei achte ich insbesondere darauf, dass wir immer mit der aktuellsten Version von WordPress arbeiten, das heißt in unserem Fall immer die Entwickler-Version, der wir auch in der Diskussion Änderungen und Verbesserungen beisteuern.

Am 14.Februar 2009 ist das zweite WordCamp im deutschen Sprachraum, mitten im Herzen Deutschlands, in Jena. Hintergründe und Anmeldung zum Camp gibt es auf der zugehörigen Site. Bis dahin soll das Buch im Verkauf sein und der Verlag spornt uns zusätzlich an, in dem er das Event unterstützt. Wir arbeiten beide mit Hochdruck, schreiben aber noch immer nur in der Freizeit und wollten schon längst fertig sein. WordPress macht es uns dabei nicht einfach, denn die kommende Version 2.7 wird in vielerlei Hinsicht anders und die Roadmap ist enorm schnell. Die kommende Version 2.7 wird sicher die beste Version, die WordPress je hatte - so viel kann man jetzt schon sagen und die vielen Diskussionen mit den Entwicklern haben sich hoffentlich gelohnt. Perfekt wird es sicher nie und die Entwicklung von WordPress wird weiterhin so rasant voran gehen. Nichtsdestotrotz wird unser Buch sicher ein Werk, was den Einstieg, das Lernen und das Nachschlagen zu Themen erleichtert. Kurz und Knapp, soll die folgende Beschreibung einen Einblick in das kommende Buch geben.

Das WordPress-Buch

Vom Blog zum Content-Management-System
Frank Bültge, Thomas Boley

WordPress ist weit mehr als eine Blog-Software. Dies beweist die stetig wachsende Zahl komplexer Webauftritte auf der Grundlage dieses Systems. Die große Entwicklergemeinde und der konsequent modulare Aufbau machen WordPress in der neuen Version 2.7 zu einer ernsthaften Alternative, wenn die Programmierung von Webseiten mit HTML/PHP zu aufwändig, ein "großes" Content Management Systems jedoch überdimensioniert ist.

Nach seiner erfolgreichen Einführung in WordPress - die ebenfalls bei Open Source Press erschienen ist - widmet sich Frank Bültge nun gemeinsam mit Thomas Boley fortgeschrittenen Aspekten des (mobilen) Bloggens wie auch den zunehmend komplexen Einsatzszenarien von WordPress im Bereich der "klassischen" Webpräsenz. Besonderes Gewicht legen die Autoren auf Fragen der Sicherheit, der Performance- sowie der Suchmaschinenoptimierung.

Entwickler profitieren besonders von den Kapiteln zur Erstellung widgetfähiger Themes und zur Erweiterung von WordPress durch eigene Plugins. Die Autoren gehen hier detailliert auf die zur Verfügung stehenden Template Tags und Conditional Tags ein.

Zahlreiche Code-Beispiele bereichern die praxisnahe Darstellung und zeigen Ihnen schnelle und sinnvolle Ansätze, um WordPress zu erweitern. So bietet dieses Buch Einsteigern wie fortgeschrittenen Anwendern einen tiefen Einblick in die Blog- und CMS-Funktionalitäten von WordPress.

• WordPress sicherer machen
• WordPress Templates sicherer machen

Die WordPress-Community ist sehr groß und es gibt viele gute Entwickler in diesen Bereich. Dementsprechend gibt es nun eine ganze Reihe an Plugins, die die Sicherheit auf verschiedene Art und Weise erhöhen. Im Beitrag "WordPress Plugins für mehr Sicherheit" sind diese Plugins nachzulesen. Sie sind zum Teil sehr nützlich und leicht einzusetzen, in jedem Fall einen Blick wert.

Der Open Source Press Verlag, in dem das Buch "WordPress - Weblogs einrichten und administrieren" erschienen ist, steht in einem Interview Rede und Antwort und gibt einige Einblicke in die Entstehung und Zukunftsausrichtung des Verlages.
Geführt wird das Interview mit Ulrich Wolf, der das Buch durch seine Lektorentätigkeit besser gemacht hat.

Zustande gekommen ist das Interview aufgrund der Sponsorentätigkeit des Verlages beim WordPress-Themecontest des Sajonara Internetmagazin. Die Preise des Contest sollte Mann/Frau sicher näher ansehen - verlockend. Und damit meine ich natürlich nicht nur das meinige Buch, welches auch als Preis bereit steht!

Wer also schon Ideen umgesetzt hat oder einfach ein wenig über den Verlag erfahren möchte, dem sei das Interview mit Ulrich Wolf vom Open Source Press Verlag empfohlen.

Egal ob die Verwendung eines freien, kommerziellen oder selbst erstellten Themes in deinem Weblog zur Verwendung kommt, man kann mittels PHP viele schöne und nützliche Funktionen einbauen. Aber durch diese Mächtigkeit kann man ebenso einfach und unbewusst Sicherheitslücken in das System holen.

Damit soll keine Angst vor dem Erstellen und Ändern von Themes und Templates geschürt werden, sondern Bewusstsein und Verantwortung für das Verwenden von Themes und Templates erzogen werden.

Daher in wenigen Punkten, einige Tipps und Tricks, die es gilt zu beachten bzw. zu prüfen.

1. echo $_SERVER prüfen

   Die direkte Ausgabe von Variablen, welche durch ungeprüfte Eingabe/ Übergabe gefüllt werden, is t nicht mit den PHP-Sicherheitsregeln in Einklang zu bringen.

   Eine ganze Reihe von Themes nutzen den folgenden Syntax:

   <?php echo $_SERVER['REQUEST_URI']; ?>
   

   Beispielsweise in der searchform.php

   
   <form method="get" id="searchform" action="<?php echo $_SERVER['REQUEST_URI']; ?>">
   

   Diese Ausgabe gehört da nicht hin, die Übergabe gehört gefiltert. Daher ist folgender Syntax zu nutzen.

   
   <form method="get" id="searchform" action="<?php bloginfo('url'); ?>/">
   

   Muss unbedingt mir $_SERVER gearbeitet werden, dann ist die Filterung der Daten anzuraten.

   
   <form method="get" id="searchform" action="<?php echo htmlspecialchars($_SERVER['REQUEST_URI']); ?>">
   

2. echo $s prüfen

   Ähnlich verhält es sich mit der Ausgabe des Suchsyntax. Dabei handelt es sich um eine Übergabe von Nutzerwerten, die schnell zu einer XSS-Lücke werden. Daher gilt auch hier das Filtern der Eingabe.

   Vielfach in der searchform.php einiger Themes zu finden.

   
   <input type="text" value="<?php echo $s; ?>" name="s" id="s" />
   

   Die Lösung könnte, mit Sicherheitsmöglichkeiten von WordPress genutzt, wie folgt aussehen.

   
   <input type="text" value="<?php echo attribute_escape($s, 1); ?>" name="s" id="s" />
   

   Alternativ kann auch die Verwendung der Funktion the_search_query() genutzt werden.

   
   <?php the_search_query(); ?>
   

3. Konstanten nutzen

   Es empfiehlt sich die Nutzung von Konstanten und nicht die Übergabe einer Variable als Pfadangabe. WordPress stellt dafür im Standard eine ganze Reihe von Möglichkeiten zur Verfügung.

   • TEMPLATEPATH
     Ordner des aktiv genutzten Theme
   • STYLESHEETPATH
     Ordner des Stylesheets des aktiv genutzten Themes
   • ABSPATH
     Order der WP-Installation, dort, wo die wp-config.php liegt
   • WPINC
     Ordner wp-includes
   • PLUGINDIR
     Ordner wp-content/plugins

4. Prüfen

   Der WP-Scanner von BlogSecurity prüft die genannte Sicherheitslücke aus Punkt 1. Es empfiehlt sich diesen Scanner zu nutzen.

   Um das eigene Blog zu scannen, muss lediglich ein Kommentar in der header.php bzw. index.php, falls es keine header.php gibt, hinterlegt werden.
   <!-- wpscanner -->

Weitere Artikel und Referenzen

• BlogSecurity: Common WP Theme Vulnerabilities
• WordPress Installation und Betrieb sicherer machen
• WordPress Sicherheitsmöglichkeiten und PHP

Ein Thema, welches ich im Buch leider vernachlässigt habe, ist das Thema Sicherheit. Dieses Thema ist aber immer relevanter, gerade weil WordPress immer populärer wird und damit auch immer interessanter für Hacker und Andere, die sich unbefugt Zutritt zu einer Web-Applikationen geben wollen.

Nicht zuletzt ist der Artikel also eine Aufforderung vieler Leser, die mir per E-Mail oder Online-Rezension, einen Hinweis darauf hinterlassen habe und denen ich mit diesem Artikel ein wenig helfen möchte, ihre WordPress-Installation sicherer zu machen.

Kurz & Knapp - so werde ich also im folgenden einige Tipps für ein sicheres Weblog mit WordPress geben.

Sicherheit - einen Zustand, der frei von unvertretbaren Risiken der Beeinträchtigung ist oder als gefahrenfrei angesehen wird.

Wikipedia

Aber Achtung, damit will und kann ich nicht die Eigenverantwortung des jeweiligen Administrators herabsetzen oder abnehmen. Das Thema wird immer wieder präsent sein und die Sicherheitsregeln werden sich ändern. Nichtsdestotrotz kann man mit einigen wenigen Schritten die Installation recht sicher gestallten.

1. User-Name

   Nach jeder Installation ist der Standard-User-Name des Administrators admin. Diese Login-Name gehört als erstes geändert. Dieser Login-Name ist bekannt und sorgt dafür, dass eine unberechtigte Person nur noch an einem Wort tüfteln muss - dem Zugangspasswort. Mit einem eigenen Login-Namen erhöht man die Sicherheit des Systems.

   Ist der Blog schon eine weile im Betrieb, so hat das Login sicher einiges an Daten - Artikel, Kommentare. Aber keine Angst, WordPress erlaub beim Löschen eines Users die Übernahme aller Daten auf einen anderen User.

   1.1. User ID

   Wer sich nicht vor dem Zugriff und dem Ändern in der Datenbank scheut, dem sei das Ändern der ID zu empfehlen. Die Standard-IDs 1 und 2 werden am ehesten von Hackern genutzt.
   Achtung, dazu muss die user_id in den Tabellen _users und _usermeta gleich sein! Ebenso gilt es die Tabelle _posts, _links mit dem neuen ID zu versehen, Spalte post_author.
   UPDATE `wp_users` SET `ID` = “815″ WHERE `wp_users`.`ID` = 1;
UPDATE `wp_usermeta` SET `user_id` = '815' WHERE `wp_usermeta`.`user_id` = 1;
UPDATE `wp_posts` SET `post_author` = '815' WHERE `wp_posts`.`post_author` = 1;
UPDATE `wp_links` SET `link_owner` = '815' WHERE `wp_links`.`link_owner` = 1;

   Tipp

   Ich habe das Plugin Search & Replace erweitert und nun kann man mit einem Klick die User-Id und das User-Login einfach ändern, Kenntnisse im Bereich SQL sind nicht erforderlich.

2. Tabellen-Präfix

   Der Tabellen-Präfix von WordPress ist im Standard wp_. Dieser ist in der wp-config.php hinterlegt.

   Neuinstallation

   Bevor WordPress installiert wird, sollte dieser Präfix geändert werden, in einen beliebigen Präfix, der nicht einfach auch das System schließen lässt.
   In der Regel hat WordPress bei vielen Anwendern sicher eine eigene Datenbank und so muss der Präfix nicht auf das System schließen lassen.

   
   // Wenn du verschiedene Präfixe benutzt kannst du innerhalb einer Datenbank
   // verschiedene WordPress Installationen betreiben
   $table_prefix  = 'wp_';   // Nur Zahlen, Buchstaben und Unterstriche bitte!
   

   $table_prefix = '08xyz15_'; // Nur Zahlen, Buchstaben und Unterstriche bitte!

   Bestehende Installation

   Was nun aber, wenn das Blog schon aufgesetzt und in Betrieb ist. Auch dann empfiehlt sich die Änderung des Präfix in eine kryptische Variante.

   Natürlich muss auch dazu der Präfix in der wp-config.php geändert werden. Nun weis WordPress zwar, wie der neue Präfix lautet, aber die bestehenden Tabellen in der Datenbank haben diesen neuen Präfix noch nicht und das Blog kann somit nicht funktionieren.

   Mit Hilfe eines SQL-Kommandos ist aber auch dies recht schnell zu beheben. Dazu nutzt man am besten phpMyAdmin, welches bei vielen Webhostern vorinstalliert ist.
   Die folgende SQL-Anweisung benennt die Tabelle links um.
   RENAME TABLE wp_links to 08xyz15_links;

   Diese Anweisung führt man für jede bestehende Tabelle aus. Dabei hat WordPress, ab Version 2.3, im Standard 10 Tabellen: comments, links, options, postmeta, posts, terms, term_relationships, term_taxonomy, usermeta, users.

   
   RENAME TABLE wp_comments to 08xyz15_comments;
   RENAME TABLE wp_links to 08xyz15_links;
   RENAME TABLE wp_options to 08xyz15_options;
   RENAME TABLE wp_postmeta to 08xyz15_postmeta;
   RENAME TABLE wp_posts to 08xyz15_posts;
   RENAME TABLE wp_terms to 08xyz15_terms;
   RENAME TABLE wp_term_relationships to 08xyz15_term_relationships;
   RENAME TABLE wp_term_taxonomy to 08xyz15_term_taxonomy;
   RENAME TABLE wp_usermeta to 08xyz15_usermeta;
   RENAME TABLE wp_users to 08xyz15_users;
   

   Im Anschluss ist man nicht fertig! In den Tabellen options und usermeta müssen noch 4 Felder geändert werden. Dazu kann man folgenden Ql-Syntax nutzen.
   UPDATE 08xyz15_options SET option_name = REPLACE(option_name, 'wp_', '08xyz15_');
UPDATE 08xyz15_usermeta SET meta_key = REPLACE(meta_key, 'wp_', '08xyz15_');

   Sollte es aus irgendwelchen Gründen, z.B. ein Plugin, noch weitere Felder mit dem alten Präfix geben, dann kann man diese mit der folgenden Anweisung finden.
   SELECT * FROM 08xyz15_options WHERE option_name LIKE 'wp_%';
SELECT * FROM 08xyz15_usermeta WHERE meta_key LIKE 'wp_%';

   Handelt es sich um eine Installation kleiner WordPress Version 2.3, dann müssen folgenden 10 Tabellen berücksichtigt werden: categories, comments, link2cat, links, options, post2cat, postmeta, posts, usermeta, users.

   Natürlich gibt es auch für diese Arbeit ein Plugin, welches einem Anwender die Arbeit erleichtert und die Ändern schnell durchführt: WP Prefix Table Changer.

3. Plugin Verzeichnis schützen

   Das WordPress-Entwickler-Team empfiehlt die Sicherung durch einen einfachen Schutz, kopiere eine leere index.html in das Plugin-Verzeichnis /wp-content/plugins/. Damit ist man auf der sicheren Seite, falls der Apache das Anzeigen von leeren Verzeichnissen zulässt.

4. WordPress Version verschleiern

   WordPress hinterlegt in den Core-Daten die Version der Installation und der Datenbank. Bisher hat man in der Regel im Theme die Version eingepflegt. Diese dient lediglich statistischen Erhebungen, denn darüber konnte man ein wenig die jeweils aktuell verfügbaren Installationen recht einfach erkennen.

   Die Entwickler von WordPress empfehlen seit geraumer Zeit, dass man diesen Tag aus dem Theme entfernt um die Identifizierung zu erschweren. Dazu ist im Theme in der Regel die header.php zu ändern, in einigen Themes auch die index.php.

   <meta name="generator"
   content="WordPress <?php bloginfo('version'); ?>" />

   Die obige Zeile also entfernen.

   Allerdings sollte man nicht verschweigen, dass man trotzdem die Version von WordPress in der einen oder anderen Funktion benötigt und das man die Version beispielsweise im Feed auslesen kann. Einige Plugins beispielsweise greifen auf die Version zu und können so auf unterschiedliche Installationen reagieren. Die Version der WordPress-Installation und der Datenbank ist immer in /wp-includes/version.php zu finden. Wer also die Version komplett verschleiern will, der ändert den Eintrag in dieser Datei. Sollte es dann aber zu Problemen mit dem einen oder anderen Plugin oder Theme kommen, dann sollte man sich zumindest an diesen Eingriff erinnern.

   $wp_version = '2.2.3';
   
   $wp_db_version = 5183;
   

   Ebenso ist darauf zu achten, nach jedem Update der Installation ist diese Datei wieder hergestellt.

   Mit dem Löschen bzw. Ändern des Eintrags funktioniert außerdem der automatische Hinweis auf eine neue Version und der Hinweis auf neue Plugin-Versionen, der seit WordPress Version 2.3.1 vorhanden ist, nicht mehr zuverlässig bzw. gar nicht.

   Tipp

   Ich habe ein Plugin erstellt, was die Version von WordPress ersetzt, entweder mit einer Zufallszahl oder ab Version 2.4 wird der komplette Tag gelöscht. Damit werden keine Informationen nach außen getragen und man muss nach einem WP-Update nicht die Core-Dateien ändern.
   Weitere Information und Download des Plugins sind auf meinem Privaten Blog im Artikel WordPress Version verschleiern (Plugin) zu finden.

5. WordPress User-Logins reduzieren

   Im Normalfall hat das Backend nur so viele User, wie man auch wirklich Personen hat, die im System arbeiten. Test-User oder Überbleibsel gehören gelöscht.
   Ein Augenmerk gehört den Rechten. Es ist zu überprüfen, welche Rechte jeder User hat und ob diese wirklich notwendig sind. Es ist kein Zeichen von Angst oder Geiz, wenn die Rechte der User eingeschränkt sind, auf die jeweiligen Anforderungen und Bedürfnisse zugeschnitten.

   Ein Tipp

   Mit Hilfe des Plugins Role Manager lassen sich hervorragend Benutzerrechte erstellen. So lassen sich einfach und übersichtlich entsprechend zugeschnittene Rollen für die jeweiligen Nutzer-Aufgaben erstellen, falls die Rollen im Standard nicht ausreichen.

6. WordPress aktualisieren

   WordPress Core

   Nicht zu letzt ist es wichtig, dass die Installation immer auf dem aktuellen Sicherheitsstand ist, das heißt: Spiele immer das aktuelle Release ein! Die aktuelle Release-Version sichert die Sicherheit von WordPress.
   Das heißt nicht, dass man immer die aktuellste Version von WordPress installiert haben muss. Aber das aktuellste Release der verwendeten Version sollte eingespielt sein.

   Um auf dem aktuellen Stand zu bleiben, bietet es sich an, den Feed von WordPress zu abonnieren bzw. immer mal den Tellerrand des eigenen Blogs zu lesen, denn dort wird der Feed-Inhalt dargestellt.
   Ab der Version WP 2.3.1 weist das System darauf hin, dass es eine neue Revision/ Version gibt. Wer den Zugriff nicht ermöglich will, der findet eine Reihe von Plugins im offiziellen Plugin-Verzeichnis, die diese Verbindung unterbrechen.

   WordPress Plugins

   Gleiches gilt für Plugins. Plugins stellen neue Funktionalitäten innerhalb des Systems und können damit neue Sicherheitslücken einbringen. Vertraue nicht jedem Plugin und versuche die Plugins immer auf dem aktuellen Stand zu halten, auch wenn meist neue Versionen neue Funktionalitäten einbringen.

   Im weiteren gehören nicht genutzte Plugins nicht in das laufende System. Werden sie nicht benötigt, dann gehören sie entfernt.

   WordPress Theme

   Auch Themes können Sicherheitsprobleme aufweisen! Themes mit ihren Templates nutzen PHP-Funktionen und können neue Funktionen im Bauch haben. Damit können Sicherheitslücken auftauchen. Es gilt also ebenfalls, auch Updates des Autors achten.

7. WP Plugins minimieren

   Wie schon im vorherigen Punkt erwähnt, Plugins können neue Sicherheitslücken in das System einbringen. Daher sollte immer die Überlegung gelten, muss es wirklich dieses Plugin sein. Bringt es Mehrwert und eventuell sollte man prüfen, wie gut ist das Plugin. Natürlich ist es schwer, vor allem wenn man keine PHP-Kenntnisse hat, den Code zu inspizieren und damit ein eventuell bestehendes Problem zu finden. Aber trotzdem kann man ein wenig die Seriosität des Plugin-Autors prüfen. Hat der Autor eine Anleitung zum Plugin, gibt es negative Schlagzeilen bzw. Blogeinträge und Kommentare und ist das Impressum des Autors gepflegt? Kleinigkeiten, die aber einiges über den Autor und das Plugin aussagen können.

   1. Die Grundregel lautet jedoch: Verwende so wenig wie nötig Plugins.
   2. Un die zweite Regel: Teste Plugins nicht im Live-System, ein Vorabtest in einer lokalen Installation kann viele Probleme verhindern.

Auch der zweite Punkt hat wichtige Relevanz. Immer wieder holen sich User Problem und unnötige Daten in ihr System. Viele Plugins benötigen Einstellungen, die in der Tabelle options abgelegt werden. Diese Daten bleiben bei den meisten Plugins auch nach dem deaktivieren des Plugins in der Tabelle bestehen!

8. Eingeschränkter Login auf wp-admin

   Ist der Zugriff auf das Backend nur von einem oder wenigen Rechnern gesichert, so kann man den Zugriff einschränken und damit die Sicherheit weiter steigern. Der Zugriff ist einfach per .htaccess zu beschränken. Information zu .htaccess gibt es viele im Internet. Die Zugriffssperre könnte zum Beispiel für zwei IPs wie folgt aussehen.

   AuthUserFile /dev/null
   AuthGroupFile /dev/null
   AuthName "Access Control"
   AuthType Basic
   Order deny,allow
   Deny from all
   # Whitelist IP Adresse
   Allow from 255.08.15.1
   Allow from 255.08.15.2
   

   Diese Syntax in eine leere Datei ablegen und die eigenen IPs hinterlegen und die Datei als .htaccess speichern. Die Datei im Anschluss im Ordner /wp-admin/ ablegen.

   Ob man den Zugriff einschränken muss und will, das muss jeder Anwender selbst entscheiden.

   Aber es damit ist natürlich die schöne Funktionalität einer Web-Applikation dahin, von überall auf das System zugreifen zu können.

   via Plugin

   Alternativ kann man dies auch per Plugin realisieren, was einfacher und schneller für den Laien zu bewerkstelligen ist. Als Plugin dient das Login Lockdown Plugin oder AskApache Password Protect.

9. Eingeschränkter Zugriff auf wp-content und wp-includes

   Mit Hilfe einer .htaccess kann man ein ganze Reihe von Daten schützen. Mit Hilfe dieser Methode empfiehlt es sich den Zugriff nur auf bestimmte Datei-Formate, wie Bilder, Stylesheets und JavaScript zu beschränken.

   Order deny,allow
   Deny from all
   <Files ~ ".(xml|css|jpe?g|png|gif|js)$">
   Allow from all
   </Files>

   Der obige Syntax wird wieder in einer .htaccess gespeichert und die Ordner /wp-content/ und /wp-includes/ kopiert. Die Datei-Endungen im Syntax müssen natürlich angepasst werden, je nach dem, auf was für Dateien man zugreifen muss.

   Aufpassen, das eine oder andere Plugin benötigt den Zugriff auf php-Dateien. Daher den Syntax in dem Fall um php erweitern. Zumindest für die .htacces in /wp-content/ empfiehlt sich die Aufnahme von php. Ähnlich verhält es sich, wenn man den Cache von WordPress aktiv hat, dann muss man den Zugriff auf lock erlauben.

   # Allow only css,jpe*g,png,gif,js
   Order deny,allow
   Deny from all
   <Files ~ ".(php|lock|xml|css|jpe?g|png|gif|js)$">
   Allow from all
   </Files>
   

   Im weiteren ist darauf zu achten, dass man nur eine .htaccess-Datei im Ordner hat. Sollte man also ebenfalls den Zugriff per .htaccess aus Punkt 8 nutzen, so muss der Syntax in einer Datei untergebracht werden.

10. Schütze die wp-config.php

    Ein weiterer Schutz ist der Zugriff auf die wp-config.php, in der alle Daten zum einloggen in die Datenbank hinterlegt sind. Im Grunde gibt es diesen Zugriff nicht, aber mit dieser kleinen Erweiterung in der .htaccess im root-Verzeichnis der Installation, geht man auf Nummer sicher.

    # protect wp-config.php
    <files wp-config.php>
    Order deny,allow
    Deny from all
    </files>
    

    Viele weitere Informationen dazu mit einigen Beispielen und Diskussionen findet man im zugehörigen Artikel auf meinem privaten Blog.

11. Sicherheit prüfen

    Das Team von BlogSecurity bietet die Online-Version des WP-Scanners schon eine geraume Zeit an und aktualisiert diesen auch immer wieder.

    Nicht immer liegt es an den Dateien von WordPress, auch das Theme kann Sicherheitslücken enthalten.

    Um das eigene Blog zu scannen, muss lediglich ein Kommentar in der header.php bzw. index.php, falls es keine header.php gibt, hinterlegt werden.
    <!-- wpscanner -->

    Der Scan ist kritisch zu sehen aber er hilft und erleichtert die Arbeit.

Es gibt eine ganze Reihe der sogenannten Conditional Tags. Ab und dann hat WordPress die Conditional Tags erweitert und es gibt mehr, als es die Doku (Codex) von WordPress glauben mache will. Im Buch wird eine Auswahl an Tags im Kapitel 7.2.3 erklärt.

Nun wurde mir die Frage schon mehrfach zugetragen, wie erkennt man denn um welche Ausgabe es sich handelt und welchen Tag man einsetzen muss. Viele der Tags erklären sich schon am Namen und den Zusammenhang zum Template.

Beispiel:
is_single() --> single.php
Dabei handelt es sich um die Ausgabe eines Artikels.

Will man aber an einem bestehenden Theme die Ausgabe prüfen oder die Tags besser verstehen, so bietet sich ein kleines Werkzeug an, welches ich auf meinem privates Blog zur Verfügung stelle und eine Reihe an Informationen gebe.

Aktuell kommt WordPress Version 2.3.2 mit folgenden Tags im System.

• is_admin Wenn im Adminbereich
• is_archive Ob ein Archiv dargestellt wird
• is_attachment Anhang im Beitrag oder Seite
• is_author Autorenseite
• is_category Kategorie Archiv oder Parameter
• is_tag Tag-seite
• is_comments_popup Kommentar per Popup Funktion
• is_date Archivseite auf Basis Datum
• is_day Archivseite auf Basis Tag
• is_feed wenn es ein Feed ist
• is_home Startseite (nicht nur die statische Seite)
• is_month Archivseite auf Basis Monat
• is_page statische Seite
• is_paged Seite/ Weblog wurde „geblättert”
• is_preview Vorschau
• is_robots
• is_search Suchseite
• is_single einzelner Beitrag
• is_singular
• is_time Archivseite auf Basis Zeit
• is_trackback wenn es es sich um Pingback oder Trackback handelt
• is_year Archivseite auf Basis Jahr
• is_404 Fehlerseite 404

Soll die Ausgabe von einigen Inhalten auf dem Blog nur Personen zugänglich sein, die entsprechende Rechte in Ihrem Weblog haben, so kann man innerhalb des Templates eine Abfrage hinterlegen.

Mit folgendem Code wird geprüft, ob der User eingeloggt ist und ob er die entsprechende Berechtigung hat, dabei stehen die User_Level 0-10 zur Verfügung.

Wie sich die einzelnen Berechtigungen auswirken ist im Codex ausführlich nachzulesen.

<?php if (intval($userdata->user_level) >= 9 ) {
function();
. . .
?>

Update:
Tobias weist mich darauf hin, Danke. Ich bringe gleich mal ein Update, denn WordPress gibt den Nutzer dafür seit geraumer Zeit eine Funktion in die Hand.

<?php if( current_user_can('level_10') ) {
function();
. . .
?>

In einem Template könnte man es dann wie folgt nutzen.

<?php if( current_user_can('level_10') ) { echo 'Level 10'; } else { echo '< LEVEL 10'; } ?>

Das obige Beispiel gibt Level 10 aus, wenn der angemeldete User über Adminrechte verfügt, alternativ wird < LEVEL 10 ausgegeben.

Benötigt man zusätzlich das User-ID, dann ist es wie folgt zu lösen. Die obige Version sollte aber in den meisten Fällen ausreichen.

<?php global $user_ID; if( $user_ID ) : ?>

<?php if( current_user_can('level_10') ) : ?>

<p>Inhalt, nur fuer den Admin (Level 10)</p>

<?php else : ?>

<?php endif; ?>

<?php endif; ?>

Folgende Tabelle stellt eine Übersicht der Berechtigungen in WordPress dar.

Das Erstellen eines eigenen WordPress Themes wurde schon im Buch in einem kleinen Abschnitt in Tutorialform angerissen. Dabei wird aber nur in einem kleinen und einfachen Rahmen auf das Erstellen eines eigenen Themes eingegangen. Grund genug für mich, ein Tutorial zu erstellen, was die ganze Tiefe zeigt und die Mächtigkeit von WordPress aufzeigt, nicht nur im Sinne der klassischen Verwendung als Weblog.

In diesem Tutorial soll der Leser von der kleinen Idee bis zum fertigen und recht umfangreichen Theme sehen, wo und wie ein Theme entsteht und auszusehen hat. Da ich das Tutorial auf meinem privatem Blog starte, hinterlege ich hier den Hinweis und Link zu den einzelnen Abschnitten des Tutorials.

Ich hoffe und wünsche, dass die Leser trotzdem den Prozess verfolgen und eventuell daraus lernen und Spaß am Erstellen eines Theme für WordPress haben.

1. Teil 1 - Wir legen los, Voraussetzungen, Grundlagen, Layout
2. Teil 2 - Das statische Design wird WordPress-fähig
3. Teil 3 - WP - Noch mehr Daten aus dem Backend
4. Teil 4 - Der Loop
5. . . .

Beim Entwickeln von Themes für WordPress ist das Verständnis des CSS Boxmodells unerläslich. Alles im Internet ist eckig, auch wenn man mit allerlei Tricks diese Eigenschaft nicht immer sieht. Das Boxmodell beschreibt einen Raum, der vom Browser interpretiert wird.

Im Internet gibt es eine ganze Reihe schöner und informativer Seiten zum Thema. Besuchen Sie diese Seiten. Ohne das Verständnis des CSS Boxmodells sind alle WordPress-Kenntnisse im Hinblick auf das Layout nur schwer zu realisieren. Das Buch kann und will nicht auf die Grundlagen von xHTML und CSS eingehen. Dazu stehen eine ganze Reihe guter Bücher und Internetseiten bereit.

Damit Sie aber immer ein Boxmodell vor Augen haben und Ihnen damit die Arbeit leichter fällt, stellt ich Ihnen das CSS Boxmodell zum Download bereit. Drucken Sie aus und arbeiten Sie damit.

boxmodell.pdf 15 kByte

Weiterführende Links:

• Douglas Livingstone Interactives 3D CSS Boxmodell
• Jens Meiert Das CSS-Boxmodell
• W3C Box model
• CSS 4 You Workshop: Boxmodell
• Jon Hicks CSS Box Model Hierarchy

Der Conditional-Tag is_home() fragt die Startseite ab - richtig. Allerdings ist es so, wenn man die Startseite über das "Blättern" der Seiten verlässt, dann ist im Sinne von WordPress noch immer die Startseite aktiv.
Damit die Information wirklich nur auf der Startseite untergebracht ist, muss man mit einem weiteren Tag kombinieren.

Ein Beispiel

Die Abfrage der Startseite könnte im Template folgendermaßen aussehen:

<?php if ( is_home() ) { ?>
<p>Informationen stehen auf der Startseite und allen weiteren Seiten, die durch das Baettern erreicht werden.</p>
<?php } ?>


Damit die Ausgabe auch wirklich nur auf der Startseite erscheint, muss abgefragt werden, ob es sich NICHT (!) um eine Seite handelt, die durch "Blättern" erreicht wurde.

<?php if ( is_home() && !is_paged() ) { ?>
<p>Informationen stehen nur auf der Startseite.</p>
<?php } ?>


Update

Mit der Einführung von WordPress 2.5 gibt es einen neuen Conditional Tag der diese Aufgabe exakt übernimmt, kein umständliches abfragen mehr.
is_front_page()

Das obige Beispiel sieht dann wie folgt aus.

<?php if ( is_front_page() ) { ?>
<p>Informationen stehen nur auf der Startseite.</p>
<?php } ?>


Passwörter sind so eine Sache, einerseits sorgen sie für einen einfachen geschützten Zugriff, andererseits muss man sich die "Dinger" auch merken.

Wenn Sie das Passwort Ihres Weblogs vergessen haben, dann kommen Sie vorerst nicht an die Administartionsoberfläche heran. Eine einfache Möglichkeit, Ihr Blog mit einem neuen Passwort zu versehen bzw. das alte Passwort wieder herzustellen, ist die direkte Eingabe in der Datenbank, und zwar in der Tabelle users.

Nutzen Sie dazu Ihr mySQL-Administrations-Werkzeug, wie z.B. phpMyAdmin. Lassen Sie den Inhalt der Tabelle users anzeigen und suchen Sie die Spalte user_pass. In der Zelle ist ein 32stelliger Zahlencode zu finden, Ihr Passwort, welches md5-verschlüsselt ist. Die Zeile muss natürlich Ihrem Benutzernamen entsprechen, falls Sie mehrere Benutzer im Weblog eingerichtet haben.

Nutzen Sie einen freien Service im Internet und erstellen Sie ein neues Passwort mit md5-Verschlüsselung. Dafür eignet sich z.B. php-einfach.de. Ebenso können Sie es auch hier mit Hilfe von JavaScript generieren, dazu habe ich einen Service hinterlegt.

Alternativ und ohne extra Tools können Sie bei aktuellen Versionen von phpMyAdmin den Schlüssel direkt in der Administration mit md5 verschlüsseln. Nutzen Sie dazu das Auswahlfeld im Bearbeitungsmodus.

Danke an Micha für die Ergänzung.

<title>
<?php bloginfo('name'); ?> <?php if ( is_single() ) { ?> » Blog
Archiv <?php } ?> <?php wp_title(); ?>
</title>

Mit Hilfe der is-Abfrage können Sie den Titel in eine sinnvollere Form bringen.

<title>
<?php if ( is_archive() ) { ?> Kategorie <?php } ?>
<?php wp_title(''); ?><?php if ( is_archive() ) { ?> auf <?php } ?>
<?php if ( is_single() ) { ?> auf <?php } ?> <?php bloginfo('name'); ?>
</title>

In der ersten Zeile wird abgefragt, ob es sich um eine Archivseite handelt, also um die Auflistung aller Beiträge in einer Kategorie. Ist dass der Fall, dann schreibe vor den Titel der Kategorie das Wort "Kategorie" und nach dem Titel das Wort " auf ". Dem folgt dann der eigentliche Titel des Blogs: Die Ausgabe des Titel des jeweiligen Beitrags erfolgt mit folgendem Template-Tag.

wp_title();

Werden bei diesem Template Tag keine Parameter übergeben, dann ist vor dem Titel immer das Sonderzeichen » zu finden. Deshalb ist die Übergebe des Parameter explitit auf leer gesetzt '', so dass kein Zeichen vor dem Titel erscheint.

wp_title('');

Im weiteren wird erfragt, ob es sich um die Darstellung eines Beitrags is_single() handelt, also ob das post-Template genutzt wird. Wenn ja, dann schreibe auch hier vor den Titel das Wort " auf ".

Nun sieht es in Titelzeile des Browsers folgendermaßen aus:

• Titel des Beitrag 1 auf Name des Weblog
• Titel der Seite 2 auf Name des Weblog
• Titel der Kategorie 3 auf Name des Weblog

Das ist wesentlich benutzerfreundlicher, auch wer ein Bookmark für eine Seite im Browser anlegen will, sieht so besser, worum es sich handelt.

Achten Sie auf die Verwendung des Bindestriches, die ist wichtig für die Indizierung durch Suchmaschinen. Bindestriche haben bei Google in der URL die eindeutige Aufgabe, Keywords zu trennen. Sie beeinflussen also die Ergebnisse der Suchanfragen.

Ein weiteres Beispiel sehen Sie im folgendem Code, der in diesem Blog zum Buch Verwendung findet.

<title>
<?php if ( is_archive() ) { ?> Kategorie <?php } ?><?php wp_title(''); ?><?php if ( is_archive() ) { ?> | <?php } ?><?php if ( is_single() ) { ?> | <?php } ?><?php if ( is_page() ) { ?> | <?php } ?> <?php bloginfo('name'); ?>
</title>

Update:

Die Version 2.5 von WordPress bringt einige positive Veränderungen des Template Tag wp_title(), daher lohnt ein Blick auf den Artikel "WordPress 2.5 und der neue Title Template Tag", dort werden die neuen Code-Schnipsel erklärt.

WordPress allgemein

• offiziele WordPress-Entwicklerseite (englisch)
• deutschsprachige WordPress-Community, einschließlich Forum, News, Blog, Dokumentation, Download-Bereich und Theme-Browser
• offizielle WordPress-Dokumentation (englisch)
• Übersetzung der offiziellen WordPress-Dokumentation
• häufig gestellte Fragen und die passenden Antworten
• Theme-Entwicklung (englisch)
• Dokumentation der Template Tags
• Dokumentation der Template Tags, die man für die Templates benötigt (englisch)
• Dokumentation der Conditional Tags, mit denen im Template Abfragen gemacht werden können (englisch)
• offizielle Dokumentation der WordPress-API (englisch)
• Übersicht aller WordPress-Hooks (englisch)
• Liste aller verfügbaren Action Hooks (englisch)
• Liste aller verfügbaren Filter Hooks (englisch)
• Download der aktuellsten Version
• Multi User Version von WordPress, zum Beispiel für Hoster (englisch)

Themes

• komfortables Betrachten von deutschsprachigen Themes für WordPress
• Theme-Liste der offiziellen WordPress-Entwicklerseite
• Theme Viewer von "the undersigned"
• WordPress-Themes-Liste
• WordPress Theme Generator, Theme erstellen ohne Kenntnisse in PHP, HTML und CSS
• Blog Flux Themes, nicht ausschließlich WordPress-Themes
• 80 besonders hochwertige Themes, ausgewählt und gelistet von Dr. Web Weblog
• YAML, das Framework von Dirk Jesse, für die Entwicklung eigener Webseiten mit WordPress
• Sandbox Designs Competition

Plugins

• offizielles zentrales Plugin-Verzeichnis
• WordPress-Plugin-Datenbank (englisch)
• Liste mit Plugins auf der offiziellen WordPress-Seite (englisch)
• WordPress Plugin Repository
• Red Alt Download Interface

Die folgende Liste soll das Kapitel 9 nicht ersetzen, sondern bereichern und den Zugang zu den Add-ons erleichtern.

• Web Developer
  Das Add-on Web Developer ist wohl die meistgenutzte Erweiterung von Webdesigner und Programmieren. Ich nutzt das Add-on sehr viel und gern. Die Möglichkeiten sind so umfangreich und trotzdem ist das Werkzeug leicht zu nutzen. Ein besonderes Highlight für das Erstellen von Webseiten mit CSS ist das Life-Editieren des Stylesheets. Damit wird jede Änderung sofort sichtbar.
• Firebug
  Mit diesem Werkzeug erhalten Sie so mächtiges Tool, dass es schon fast an ein Wunder grenzt, dass es kostenlos ist. Damit kann die Entwicklungszeit verkürzt werden. Allein die Analysefunktion bereichern den Entwickler um tolle Werkzeuge. Die Konsole des Firebug kann innerhalb und ebenso in einem extra Fenster des Firefox genutzt werden. Ebenso kann das Add-on an die eigenen Bedürfnisse angepasst werden. Editieren von HTML und CSS on the fly, live, sind nur einige Vorzüge.
• HTML Validator
  Perfectes Webdesign beginnt mit validem Code, der dem Standard des W3C entspricht. Mit diesem Add-on ist es ein leichtes den Code live zu prüfen und es findet nicht nur eine Prüfung statt, sondern es werden auch Hinweise zum Beheben des Problems gegeben. Das Add-on kann mit verschiedenen Einstellungen angepasst werden.
• CSSViewer
  Dieses Add-on macht die CSS-Attribute eines Elementes sichtbar, einfaches MouseOver direkt auf der Webseite genügt und Sie wissen, welche CSS-Eigenschaften wirken. Die Informationen werden in einem Fenster übersichtlich dargestellt.
• MeasureIt
  Oft muss man das eine oder andere in der Größe prüfen - dazu kann man viele Techniken anwenden, die einfachste und schönste - MeasureIt, messen direkt im Browser. Prüfen Sie schnell die Box und passen Sie das CSS-Stylesheet an.
• ColorZilla
  Dieses kleine Add-on macht die Analyse von Farben sehr einfach. Laden Sie ein Bild in den Browser oder möchten Sie die Farbwerte eines bestehenden Designs wissen, damit wird diese Aufgabe zum Kinderspiel.
• Screengrab!
  Einen Screenshot bzw. Webshot einer Webseite zu erzeugen, war noch nie so komfortabel. Egal wie lang oder breit die Seite ist, man kann einen kompletten Screenshot haben.
• IE Tab
  Die Webseite soll in der Regel auf jedem Browser gleich aussehen - von dieser Einstellung sollten Sie sich schnellstens verabschieden. Allerdings sollte sie im gewissen Maße ähnlich sein. Damit Sie nicht gleichzeitig im Internet Explorer von Microsoft kontrollieren müssen, gibt es das Addon IE Tab, mit dem Sie direkt im Firefox auf die Darstellung und Interpretation des IE zurück greifen können. Ein Klick und Sie befinden sich im IE, inmitten des Firefox.
• WordPress Helper
  Die Erweiterung erleichtert es WordPress-Entwicklern, schnell und einfach über das Firefox Kontext Menü (Win: rechte Mousetaste) auf Entwickler-relevante Dokumente des WordPress Codex zuzugreifen. So hat man alle wichtigen Hilfen stets schnell zur Hand.
  Auch die Suche nach markiertem Text auf allen WordPress-Seiten ist möglich. Ein Werkzeug, welches das Nachschlagen von WordPress Informationen enorm vereinfacht und beschleunigt.

Die nötigen Downloads, um Ihnen das lästige und unnötige Abtippen abzunehmen, sind verfügbar - Seite Downloads.

Außerdem stehen Leseprobe und das Inhaltsverzeichnis als PDF-Dokument zur Verfügung.

• Leseprobe (119 kByte)
• Inhaltsverzeichis (85 kByte)

Ich habe meine Ausgaben heute erhalten und hoffe, dass ich nicht der Einzige Leser bleibe. Ich bin gespannt ob es jemand kauft und wie es gefällt.

• Buch direkt beim Verlag bestellen
• Buch bei Amazon bestellen
• Buch bei Buch.de bestellen

Leseproben und Inhaltsverzeichnis gibt es vorerst nur in PDF-Form auf der Verlagswebsite und kommen in den nächsten Tagen auch hier als HTML rein.