Was seit etwa 15 Jahren als Grundregel für die Auswahl von sicheren Passworten gehalten wurde, ist nun endlich überarbeitet worden: möglichst Sonderzeichen, gemischte Groß- und Kleinschreibung sowie Zahlen sollte man verwenden, das Passwort möglichst alle 90 Tage ändern – so stand es in einer Richtline des National Institute of Standards and Technology (NIST). Bill Burr, der Erfinder dieser Richtlinien hat sich letztens dafür entschuldigt. Die Regeln des NIST (PDF) wurden letztens grundlegend überarbeitet. Keine Rede mehr von Sonderzeichen: längere, leicht zu merkende Phrasen sind offenbar sicherer, am besten mehrere Worte, die im normalen Sprachgebrauch nicht gemeinsam verwendet werden.

Der Grund: nach heutigem Stand der Technik kann ein Passwort mit 7 Stellen wie cFgHzTs in maximal etwa 8 Minuten erraten werden (und keine Sau kann sich das sinnvoll merken!) – bei WordPressIstFlauschig dauert das 16.044.779.517.127.800.000 Jahre(!) und Du hast es dir bereits gemerkt ;-)
Drüben bei 1pw.de gibts eine vollständige Zusammenstellung über den Zusammenhang zwischen Passwortlänge und maximal benötigter Zeit, die ein aktueller PC braucht, um das Passwort zu erraten.

Weiterhin sollte man allerdings nicht dasselbe Passwort für verschiedene Dienste verwenden(!!!) – wenn das Passwort in falsche Hände gerät oder die Datenbank EINES Anbieters gehackt wird, hat man sonst ein massives Problem! Um sich die verschiedenen Passworte zu merken, ist ein Passwortmanager sehr empfehlenswert. Ich verwende seit Jahren Lastpass und bin sehr zufrieden damit!

Dieser xkcd-Comic hat diese „neue“ Erkenntnis schon vor einigen Jahren thematisiert – „wir haben uns 20 Jahre lang angewöhnt, Passworte zu verwenden, die für Menschen schwer zu merken, aber für Computer einfach zu knacken sind“:

Update mit Hintergrundinformation: in diesem Video wird sehr gut erklärt und eindrucksvoll demonstriert, wie Passworte aus einer gehackten Datenbank ausgelesen werden können, obwohl sie dort üblicherweise verschlüsselt gespeichert sind – und wie das für das Knacken weiterer Datenbanken helfen kann (danke an Franz Strohmeier für den Hinweis!):

Nachdem ich bereits einige Jahre gebloggt hatte, begann die damals verwendete Blogsoftware Sunlog an ihre Grenzen zu stoßen. Eines der Hauptprobleme war, dass zu dieser Zeit Kommentarspam begann, ernsthaft zu einem Problem zu werden. Ich musste manuell 20, 30, manchmal 50 Kommentare pro Woche händisch löschen (aktuell sinds auf diesem Blog 400, die automatisch gefiltert werden – pro TAG!).  Weiters wurde die Datenbank immer fetter, das Blog wurde immer langsamer. Als schließlich der Entwickler von Sunlog die Weiterentwicklung endgültig einstellte, war ich auf der Suche nach einer Alternative. Die pragmatische Lösung war, alle damals verfügbaren Kandidaten (ich erinnere mich an WordPress, MovableType, Textpattern und Serendipity) auf meinem Server installiert und probiert, wo die bisherigen Sunlog-Einträge am elegantesten zu importieren wären. Dass es WordPress wurde, war aber letztlich eine Bauchentscheidung. Nach einigen Wochen Herumprobieren, bis ich die Template-Logik halbwegs begriffen hatte, habe ich am 22.2.2006 mein altes Weblog mit Sunlog vom Netz genommen und WordPress freigeschaltet.

Lange Zeit blieb allerdings das Weblog der einzige Bereich meiner Website, der mit WordPress betrieben wurde – die Kundenprojekte gingen halt immer vor. Im Laufe der Jahre lernte WordPress neue Dinge, für viele davon bin ich ziemlich dankbar. Etwa den Menü-Editor – es war am Anfang etwas umständlich, Menüs in den Seitenvorlagen zu definieren. Und bei mehreren Menüs wars überhaupt ziemlich mühsames Gefrickel. Auch die automatischen Updates des WordPress-Kerns haben anfangs nicht immer reibungslos funktioniert und führten zu weißen Websites – sonst wurde nix mehr angezeigt. Mittlerweile kann man sich ruhig trauen, diese Funktion eingeschaltet zu lassen, denn wenn es tatsächlich Sicherheitsupdates gibt, werden diese so automatisch installiert. Ich hatte seither nie mehr(!) Einbrüche in WordPress-Websites, die über Lecks im Kern stattgefunden haben! Dafür, dass manche Plugin-Entwickler Blödsinn verzapfen, kann WordPress nix ;-)

Mittlerweile sind es weit über 200 WordPress-Websites, an denen ich arbeiten durfte: als Komplettdienstleister, als Programmierer, als Webdesigner oder auch als Pannenhelfer nach Einbrüchen oder Server-Crash. Die besten Ideen, was man mit WordPress alles machen kann, kamen von meinen Kunden – herzlichen Dank dafür. Durch eure Anregungen und Ideen bin ich tief in die Eingeweide von WordPress abgetaucht, mittlerweile gibts kaum eine Herausforderung, die ich damit nicht lösen könnte (mit Ausnahmen – siehe FAQ).

Ich freue mich auf DEINE Anfrage: Frag mich, vielleicht gehts!

Der Tipp der Expertin: man sollte nur Themes aus zuverlässigen Quellen verwenden. Beispielsweise kann man auf diesen  Websites fündig werden:

• Theme Shaper
• ThemeLab
• Theme Hybrid
• Arras Theme
• Smashing Magazine

Mit den folgenden Plugins kann man Themes auf möglichen Schadcode prüfen:

• Theme Authenticity Checker
• Exploit Scanner
• Theme Check

Wenn man base64-codierte Zeilen in einem Theme entdeckt hat, kann man diese mit folgenden Tools decodieren:

• $o= Ottoâ€s decoder
• $_F=__FILE__:
• eval(gzinflate(base64_decode('...')));:
• eval(str_rot13(' ... '));
• Other codes
• Manual base64 decode

Eine sichere Quelle für dein persönliches WordPress-Theme ist die EGM-Website-Werkstatt. Denn meine Vorlagendateien sind zwar nicht kostenlos, dafür sind sie auf dich oder deine Firma maßgeschneidert und enthalten keinerlei Schadcode. Garantiert :-)

• 30 gratis FBML Facebook Templates inkl. PSD | Social Media Marketing, SEO Blues & Rock ’n‘ Roll –
• How to Write a Great Blog Post in Just 15 Minutes | Social Media Examiner
• Social Networks – Threats and Trends – Folien zum BitDefender-Vortrag am Barcamp Wien
• Blogger können leidlich gelassen bleiben | law blog – Kommentar zum JWStV
• russos: LBA-2009 | 350 метров счастья, подъем на боян. – Fotos der Besteigung eines verlassenen russischen TV-Sendemastes mitten im Nirgendwo (Galich)
• Mit einem WordPress Blog viele Blogs unter selbständigen Domains betreiben – wie man die Multisite-Funktion einrichtet
• praegnanz.de: Essentielle WordPress-Plugins für Nicht-Blogs
• Wallpapers – BBC TopGear – Hintergrundbilder aus der britischen TV-Show
• Themen: ELektronik-KOmpendium.de – umfangreiche Wissensdatenbank
• Webdesign Preise und Kosten in Deutschland, Österreich und der Schweiz – Erhebung von webdesign-preise.net – Was kostet eine Website? Kalkulator auf Basis umfangreicher Daten aus DE/AT/CH
• Mehrere Sidebar-Templates in WordPress | WordPress-Buch – wie man in WordPress mehrere Sidebars einbindet – der Trick liegt im Dateinamen!
• WordPress: im Backend den Hintergrund der Website ändern | WordPress-Buch
• Silbentrennung und bedingter Zeilenumbruch in HTML-Dokumenten | hyperkontext | Weblog
• How To Make A Dynamic jQuery Feature Post Slider For WordPress | Tweeaks Design

• PHPBuilder.com: PHP Filters – an important security feature – Artikel über php-Filter zur Validierung von Eingaben
• Turn any webform into a powerful wizard with jQuery (FormToWizard plugin) – Webformulare mit jQuery in mehrere Schritte unterteilen
• Showcase: Kontakt-Formulare von Portfolio Sites | Dr. Web Magazin – Ideensammlung für Kontakt-Formulare auf Websites
• Realtime Related Tweets Bar: Another jQuery Plugin – Twitter-Feeds in Echtzeit in Websites einbinden
• bassistance.de » jQuery plugin: Validation – jQuery-Plugin zum Validieren von HTML-Formularen