Gogs beerdigen

Es ist mal wieder so weit. Der Gogs-Entwickler Jiahua Chen (aka Unknwon) ist untergetaucht. Issues und Pull-Requests bleiben unbeantwortet. Schon seit über einem Jahr scheint es so, als wäre Gogs nur noch im Wartungsmodus. Dabei hatte ich mir durch den Fork Gitea auch im ursprünglichen Projekt durchaus neue Dynamik erhofft.

Am Ende sorgt das kindische Verhalten von Unknwon (keine Community zulassen, außer ihm keine anderen mit Commit-Rechten) dafür, dass Gogs in der Bedeutlungslosigkeit versinkt. Ist natürlich sein gutes Recht, aber auch ein bisschen Schade. Ich habe Gogs trotz meines Wechsels zu Gitea weiterhin im Auge behalten. Das gebe ich jetzt auf.

Wie man an den Commits und Pull-Requests bei Gitea sehen kann, ist inwischen wohl auch die chinesische Gogs-Communty zu Gitea gewechselt. Etwas bedenklich finde ich, dass das Go-Framework auf dem Gitea aufbaut, ebenfalls unter der Regentschaft von Unknwon steht. Will Gitea weiter wachsen ist auch da ein Fork oder gar der Umstieg auf ein populäreres Framework nötig. Immerhin sind die anderen Komponenten (wie z.B. das ORM XORM) sehr lebendig und z.T. arbeiten deren Entwickler auch an Gitea mit.

Bin auf jeden Fall gespannt, was 2018 für Gitea bringt.

WordPress Sicherheit

Auf be-jo.net gibt es gerade ein paar Tipps zum Absichern von WordPress. Dazu hier noch mal ein paar ergänzende Tipps:

  • Im Admin-Backend ausschließlich TLS nutzen, oder einfach gleich auf der ganzen Seite.
  • BACKUPS!!!!11!!!!1elf
  • Nicht admin als Admin-Username benutzen
  • Datenbank-Tabellen einen (zufälligen) Prefix geben. Da WordPress bis heute darauf verzichtet auf sichere Art und Weise mit der Datenbank zu kommunizieren (s.g. prepared statements) können immer wieder SQL-Injection-Lücken auftauchen, sowohl bei WordPress selbst, wie auch bei den genutzen Plugins (und das passiert auch bis heute regelmässig). Um nicht Opfer von (billigen) automatisierten Angriffen zu werden reicht häufig ein Prefix
  • Zugriff auf wp-config.php webserverseitig verbieten. Aus unterschiedlichen Gründen könnte PHP mal nicht laufen. Per default würde die wp-config.php dann einfach als Text ausgeliefert werden, so dass extern die Datenbank-Passwörter und Security-Keys bekannt wären.
  • Dateirechte so weit wie möglich begrenzen. Je nach Webserverkonfiguration sind z.B. diese Werte sinnvoll:
    755 für alle Ordner, 644 für alle Dateien, 600 für wp-config.php
  • Mit iThemes Security das WordPress-Backend verstecken bzw. unter einer anderen URL zugänglich machen als wp-login.php bzw wp-admin. Das ist ganz klar security-by-obscurity, sollte man aber gerade bei prominenten Seiten machen, um sich schon mal einige Idioten vom Hals zu halten.