Was kostet eine Website

Wer sich mit den Gedanken trägt, eine eigene Website ins Netz zu stellen, dem stehen eine Vielzahl von Optionen zur Verfügung. Angefangen von der Frage, um was für eine Website es sich grundsätzlich handeln soll über die Wahl der Domain und des Webhosters bis hin zur grundlegenden Entscheidung, ob man diese Website komplett selber entwickelt oder ob man auf ein Baukastensystem zurückgreift oder ob man sogar auf einen Dienstleister wie einen Freelancer oder eine Agentur zurückgreift bzw. zurückgreifen muss, da die eigenen Fähigkeiten nicht ausreichen, die gewünschte Internetpräsenz selber zu erstellen. Und hier fängt dann nicht nur das Dilema an, herauszufinden, wer der geeignete Partner überhupt sein könnte, sondern sich auch selber die Frage zu beantworten: was kostet eine Website eigentlich resp. wieviel bin ich bereit in das Projekt zu investieren? Und wie so häufig im Leben gibt es weder eine pauschale noch eine einfache Antwort auf diese Fragen.

Als mit der Begründung des Internets in den 90er Jahren sukzessive auch die ersten Websites entstanden, also der virtuelle Auftritt von z.B. Privatpersonen oder Unternehmen, handelte es sich nur um eine kleine Anzahl von Internetauftritten. Die Erstellung einer Website setzte damals noch einen hohen manuellen Aufwandes und entsprechende Kenntnisse im Coden dieser Websites voraus. Dazu kam, dass das Interesse an derartigen Websites noch sehr gering war, so das diese in der Regel der reinen Selbstdarstellung dienten und wenig echte Mehrwerte für die Besucher beinhalteten. Doch das hat sich bekanntermaßen geändert, inzwischen ist es fast schon ein No-Go keine Website zu betreiben. Weiterlesen

WordPress 4.5 „Coleman“ veröffentlicht

Wordpress 4.5 Coleman veröffentlichtDie neueste Version 4.5 der Open-Source-Blogsoftware WordPress, die nach dem 1969 verstorbenen Jazz-Musiker Coleman Hawkins benannt wurde, beinhaltet vor allem Verbesserungen von bestehenden Funktionalitäten, z.B. beim Editor, eine bessere Bildkomprimierung sowie eine Preview für Responsive Design direkt im Customizer.

Im Editor wurde eine vereinfachte Möglichkeit zum Setzen von Inline-Links integriert. Anstelle eines modalen Dialoges erkennt der Editor nun direkt die Eingabe einer URL und schlägt eine Verlinkung vor, über ein Zahnrad-Symbol lassen sich dann noch ergänzend manuell Target- und Titel-Attribute setzen. Ferner wird automatisch bei Eingabe dreier Bindestriche eine horizontale Linie eingefügt, das Apostrophieren eines Textes fügt einen Code-Tag ein und das Einschliessen eines Textes in zwei Sternchen generiert Fettschrift. Dank der neuen Live-Responsive-Preview können nun direkt im Customizer die Mobile-, Tablet- und Desktop-Version einer Website gepürft werden. Und es wurde eine neue Theme-Option eingeführt, mit welcher ebenfalls direkt im Customizer per Funktion das Integrieren und Hochladen eines Logos freigeschaltet werden kann – die Default-Themes Twenty Sixteen und Twenty Fifteen unterstützen diese Option.

Eine wichtige Optimierung des Core-Codes wurde bei dem mit WordPress Version 4.4 eingeführten Image-Resizing-Features vorgenommen. Durch die Reduzierung des Bild qualitätfaktors von 90 auf 82 können die Dateigrössen der Bilder um bis zu 50% verkleinert werden – ohne dass dies in der Regel optisch für den Betrachter wahrnehmbar ist. Daneben wurden Verbesserungen am Skript-Loader vorgenommen und es gibt eine neue Funktion zum einfachen Einfügen von Inline-JavaScripts: wp_add_inline_script().

Alle Highlights der neuen WordPress Version 4.5 wurden in einem offizielle Blogpost von Release-Lead Mike Schroder zusammengefasst, zu dem es auch eine deutschsprachige Variante gibt.

WordPress Security-Fix auf v. 4.4.1

WordPress Security-Fix auf Version 4.4.1Das Schliessen einer XSS (Cross-Site-Scripting) Sicherheitslücke sowie das Beheben von 52 Bugs – das ist das Ergebnis eines aktuellen Updates der Open-Source-Blogsoftware WordPress, welche gestern veröffentlicht wurde. Zu den Bugfixes gehören ein verbesserter Emoji-Support, um die neuesten Emojis zu unterstützen, sowie ein zeitweilig auftretender Defekt bei der URL-Weiterleitung.

Die XSS-Lücke betrifft alle WordPress-Ausgaben bis einschließlich Version 4.4 – Nutzer der automatischen WordPress-Update-Funktion dürften das Sicherheitsupdate bereits eingespielt haben. Allen anderen wird schnellstmöglich eine manuelle Installation empfohlen, die hier heruntergeladen werden kann. Wer noch eine ältere WordPress-Version nutzen sollte, muss die jeweiligen WordPress-Patches 4.3.2, 4.2.6, 4.1.9, 4.0.9, 3.9.10, 3.8.12 oder 3.7.12 einspielen.

WordPress Version 4.4 erschienen

WordPress Version 4.4 erschienenDie Open-Source-Blogsoftware WordPress hat ein umfangreiches Update auf die Version 4.4 erhalten, das den Beinamen Clifford trägt – benannt nach dem Jazztrompeter Clifford Brown (1930-1956).
Und die neue Version hat wieder eine Reihe von Neuerungen im Gepäck:

Passend zum Jahreswechsel kommt die neue Standard-Theme Twenty Sixteen (2016), die nach dem Mobile First Approach-Ansatz designed wurde, also zunächst für die Anzeige auf mobilen Geräten optimiert und dann wurde aus der mobilen eine Desktop-Version entwickelt. Twenty Sixteen wird im Gegenzug zu den früheren Themes nicht auch automatisch beim Update auf die neue Version installiert, sondern nur bei einer Neuinstallation. Jeder Nutzer kann die Theme aber direkt bei wordpress.org herunterladen resp. in seiner WordPress-Version installieren.

Zwei neue Features in WordPress 4.4 betreffen den Umgang mit Responsive Images sowie das Einbetten von Inhalten mittels oEmbed-Technik:

Um die Darstellung von Bildern generell in Abhängigkeit von der Display-Auflösung des Besuchers zu gewährleisten, also insbesondere auf Smartphones und Tablets, werden unabhängig von der jeweils genutzten Theme die Attribute srcset und sizes in Thumbnails oder Bildergalerien hinzugefügt. Somit werden nun diese eingebetteten Images automatisch an die Displaygröße des Endgeräts angepasst ohne dass hierfür externe Scripte oder Dienste zum Einsatz kommen müssen. Und auch das Einbetten weiterer Inhalte per URL, so wie man es z.B. bereits mit YouTube Videos, Twitter-Tweets, Facebook-Posts oder Instagram Bildern handhaben konnte, wurde integriert. Diese neuen Dienste sind Cloudup, Reddit, ReverbNation, Speaker Deck, VideoPress und vor allem auch WordPress-Beiträge von anderen Seiten! Letzteres sorgt dafür, dass Titel, ein Teil des Contents inkl. Post-Thumbnail, Website-Icon sowie Links zum Kommentieren und Teilen angezeigt werden.

Selbstverständlich gibt es ferner noch eine Reihe von Änderungen in der Core-Struktur von WordPress. Dazu zählen umfangreiche Änderungen der Taxonomie, die nun auch um Metadaten ergänzt werden können, interne Anpassungen der Kommentarfunktion, deren Performance durch Cache-Handling verbessert wird, sowie die Integration der Infrastruktur des Plugins WordPress REST API direkt in den WordPress Core. Eine Übersicht aller Änderungen findet Ihr natürlich auf der offiziellen WordPress-Website.

WordPress Sicherheitsupdate auf Version 4.2.2

WordPress Sicherheitsupdate auf Version 4.2.2Für die Open-Source-Blogsoftware WordPress ist ein wichtiges Update auf die Version 4.2.2. veröffentlicht worden, da erneut eine XSS Cross-Site-Scripting-Sicherheitslücke gefunden wurde. Das Sicherheitsunternehmen Sucuri hatte die DOM-basierte Softwarelücke entdeckt und vor den Folgen eines Angriffs gewarnt. Mit dieser Schwachstelle ist es Angreifern möglich das Document Object Model (DOM) im Browser des Opfers durch das Original-Script zu modifizieren und bösartige JavaScript-Schadcodes auszuführen. Sollte der Nutzer dabei als WordPress-Administrator eingeloggt sein, könnte der Angreifer sogar die komplette Website übernehmen.

Verursacher dieser Sicherheitslücke ist die Beispieldatei des Genericons-Icon-Sets, die sowohl im Default-Theme Twenty Fifteen vorkommt sowie über das Plugin Jetpack integriert wird. Makaber dabei ist, dass diese Beispielsatei vollkommen unnötig ist und lediglich für Tests der Entwickler benötigt wird.

Mit dem WordPress 4.2.2 Sicherheitsupdate wird die Beispieldatei automatisch entfernt und WordPress versucht weiterhin zu erkennen, ob andere installierte Themes oder Plugins diese verwundbare Datei mitliefern. Wer die automatische Update-Funktion in seinen WordPress-Einstellungen aktiviert hat, dürfte das Sicherheitsupdate bereits eingespielt haben. Allen anderen wird eine manuelle schnellstmöglich Installation empfohlen!

Externes Projekt sportnahrung-thorhauer.de

Relaunch sportnahrung-thorhauer.deAn diesem Wochenende ist ein weiteres externes Porjekt online gegangen, an dem ich die letzten Wochen mitgearbeitet habe: der Relaunch von Sportnahrung-Thorhauer.de.

Die Frau eines Kollegen betreibt in Nordhausen (Thüringen) ein Ladenlokal für Produkte im Segment Sportnahrung / Ergänzungsmittel. Um das Geschäft regional bekannter zu machen, wurde in den letzten Monaten eine entsprechende Website online gestellt mit Produktnachrichten etc. Hierfür wurde ein statisches Baukastensystem des Providers genutzt, was schnell an seine Grenzen kam: ein wenig ansprechendes und non-responsive Layout, hoher manueller Pflegeaufwand sowie kaum Möglichkeiten zur Nutzung von Web 2.0-Features sind hier als Schlagwörter zu nennen. Daher kam man auf mich zu, um einen kompletten technischen Relaunch umzusetzen. Innerhalb kürzester Zeit zeigte sich, dass als Basis der neuen Website WordPress zum Tragen kommt, weil es nahezu alle notwendigen Features bereits bereitstellt oder diese unkompliziert via Plugins erreicht werden können. Und auf Themeforest fanden wir gemeinsam mit Kallyas eine bereits fertige, aber sehr flexible Theme, die schnell und einfach an die Wünsche der Kundin angepasst werden konnte und auch bereits für den Einsatz auf mobilen Endgeräten (responsive Design) vorbereitet ist.

Meine Aufgabenfelder bei diesem Projekt waren:

  • Beratung und Schulung zum Einsatz von WordPress
  • Übertragung der vorhandenen Grundstrukturen und Artikel aus den statischen Dateien in die Blogsoftware
  • Selektion, Installation und Einrichtung der benötigten Plugins
  • Anpassen der Theme an die Wünsche der Kundin
  • Vorbereiten der Menue- und Artikelstrukturen
  • Umrouten der bisherigen Linkstruktur auf die neuen Links im Rahmen der Suchmaschinenoptimierung (SEO) der Website

Nachdem nun alle Inhalte der bisherigen Website übertragen werden konnten, ging die neue Website online – deutlich moderner, frischer und besser auf die kommenden Themen vorbereitet: die Integration eines Onlineshops mittels WooCommerce. Die technischen Voraussetzungen hierfür sind geschaffen, nun muss die Kundin aber erst noch alle Artikel erfassen etc. Aber so ist das nunmal mit einer Website – man wird nie wirklich fertig 🙂

Externes Projekt Schule-fuers-Leben.de

Externes Projekt Schule-fuers-Leben.deHeute ist ein neues Webprojekt online gegangen: Schule-fuers-Leben.de, die Website zur Bildungsinitiative der FDP-Fraktion im Thüringer Landtag.

Neben Großflächenplakaten und Pressekampagnen wurde hierfür auch eine Website benötigt. Diese sollte schnell umgesetzt werden, einfach zu bedienen sein und vor allem ein Responsive Design besitzen, damit auch mobile User speziell angesprochen werden können.

Als Basis habe ich daher WordPress genutzt, da es eine gute Akzeptanz besitzt und eine Vielzahl von hervorragenden Plugins genutzt werden können. Aufgrund der Kürze der zur Verfügung stehenden Zeit habe ich kein komplett neues Design entwickelt sondern habe auf die qualitativ hervorragende Theme Choice zurück gegriffen. Durch die umfangreichen Theme-Optionen war es möglich, die Theme an die Layoutvorlagen der Printkampagnen anzupassen.

TimThumb: Potentielle Sicherheitslücke in einigen WordPress-Themes

TimThumb: Potentielle Sicherheitslücke in einigen WordPress-ThemesDa spielt man regelmäßig die Updates von WordPress und den Plugins ein, um ja keine Sicherheitslücken offen zu haben, und trotzdem hat mich diese Woche mein Provider darauf aufmerksam gemacht, dass bei einem meiner Web-Projekte ein Malware-Schädling aufgetreten ist. Anhand der Log-Files konnte ich dann auch schnell den Übeltäter identifizieren und war etwas überrascht. Die Sicherheitslücke verursachte weder der Core-Part von WordPress noch irgendein Plugin, nein, der Übeltäter ist war ein kleines, aber feines Tool namens TimThumb, welches Bestandteil der in dem Projekt genutzten Theme ist.

Dieses PHP-Script kann Bilder auf beliebige Grössen zuschneiden und wählt dabei den bestmöglichen Ausschnitt. TimThumb wird vielen kostenlosen wie -pflichtigen Plugins und Themes verwendet, da es für die Entwickler einen geringeren Arbeitsaufwand bedeutet. Nur leider exisitiert in älteren Versionen dieses eigentlich sinnvollen Scripts eine Sicherheitslücke, mit der beliebige PHP-Dateien in dessen Cache-Verzeichnis eingeschleust und ausgeführt werden können. Und da dieses Script nicht automatisch durch WordPress auf eine notwendige Aktualisierung überprüft werden kann, fällt diese Sicherheitslücke meistens erst auf, wenn es zu spät ist!

Was kann resp. muss man nun also machen? Wenn man das Script nicht durch eine neuere Version ersetzen will, sollte man einfach die folgende Zeile suchen:

$allowedSites = array (
'flickr.com',
'picasa.com',
'blogger.com',
'wordpress.com',
'img.youtube.com',
);
und ersetzen mit

$allowedSites = array ();

Sinnvoller ist es aber natürlich, sich die neueste Version von TimThumb herunterzuladen und auf den Server zu spielen! Das habe ich gemacht und parallel dazu das WordPress Plugin Timthumb Vulnerability Scanner installiert. Mittels dieses Plugin können alle veralteten TimThumb Skripte angezeigt und automatisch auf den neuesten Stand gebracht werden. Und natürlich habe ich den Aufruf von Dateien auf externen Seiten komplett deaktiviert. Damit kann dieses Schlupfloch gar nicht mehr genutzt werden!

Auch wenn diese TimThumb-Sicherheitslücke nun bereits seit fast genau einem Jahr bekannt ist, hatte ich bisher davon nichts gelesen. Daher poste ich diesen Artikel heute, um eventuell anderen WordPress-Nutzern eine Hilfestellung zu geben resp. für dieses Thema zu sensibilisieren.

WordPress Sicherheitsupdate auf Version 3.4.1 veröffentlicht

WordPress Sicherheitsupdate 3.4.1 veröffentlichtKnapp zwei Wochen nach dem Release der Open-Source-Blogsoftware WordPress 3.4 haben die Entwickler nun ein Sicherheits-Update veröffentlicht welches 18 Fehler behebt sowie einige Sicherheitslücken schliesst, darunter eine, die als bedeutend eingestuft wird!

Die Sicherheitslücke betrifft Multi-Site-Installationen, bei denen Anwender ungefiltertes HTML ggf. für Cross-Site-Scripting (XSS) ausnutzen konnten lässt. Darüber hinaus wurde ein Fehler behoben, durch den Besucher ggf. Meldungen sehen konnten, auf die sie eigentlich keinen Zugriff haben sollten wie Entwürfe und private Beiträge. Ferner wurden Probleme beim Auffinden des Seitentemplates und mit der Permalink-Struktur der Kategorien behoben. Eine Übersicht aller Änderungen und Neuerungen sowie den Download der deutschen Version findet Ihr über die nachfolgenden Links:

Changelog WordPress 3.4.1
Zum Download von WordPress 3.4.1 (deutsch)

WordPress 3.4 erschienen

WordPress 3.4 erschienenFür die Blogsoftware WordPress steht inzwischen die neueste Version 3.4. Green zum Download bereit, die nach dem Jazz-Gitarristen Grant Green benannt wurde. Auch diese Version bringt wieder einige interessante Änderungen mit sich, wie z.B. eine Theme-Vorschau und das Einbinden von Tweets.

Sofern ein Theme es unterstützt, kann mittels des neuen Theme Customizer ein Theme vor der Aktivierung bearbeitet werden. Es stehen hierfür Bearbeitungsfunktionen für Farben und Hintergrundbilder ebenso wie für die Header-Grafiken bereit; weitere Optionen sollen in den kommenden Veröffentlichungen folgen. Auch kann im ACP nun eingestellt werden, wie groß und breit die Headergrafik sein soll und auch Bilder aus der eigenen Mediathek lassen sich künftig als Kopfzeilenbild verwendet werden können.

Neu ist ferner die Funktion zum Einbinden von Tweets in WordPress-Artikel, die dann automatisch mit Links zum Retweeten und Favorisieren versehen werden. Und in den Bildunterschriften ist jetzt auch einfaches HTML möglich, so dass sich beispielsweise Links zu Fotografen und Lizenzen setzen lassen. Weiterhin wurde die Datenbankabfragen optimiert, um die Performance zu verbessern. Eine Übersicht aller Änderungen und Neuerungen sowie den Download der deutschen Version findet Ihr über die nachfolgenden Links:

Changelog WordPress 3.4
Zum Download von WordPress 3.4 (deutsch)