Zum Inhalt springen

Archiv für "Wordpress" (Seite 12)

Eat this, Kommentarspam

So, ich habe die Faxen dicke. Ich bin doch nicht der Spamförster, der ständig den Scheiss aus der Moderationswarteliste und/oder der Datenbank rausfischt!

Da die meisten Spam-Attacken auf die Kommentarfunktion alter Eiträge abzielen, habe ich mir ein Plugin besorgt, das die Kommentarfunktion nach einer von mir einstellbaren Zeit dicht macht. Im gleichen Regal lag noch ein verwandtes Plugin, welches auf die Anzahl der Links im Kommentar schaut und extrem pissig auf BBCode reagiert - die Mehrheit der hier abgesonderten Spamkommentar enthalten Links auch als BBCode, bleiben also künftig auch aussen vor.

Mal kurz antreten zur Inspektion, meine kleinen Blogwächter:

Bad Behaviour ...

WordPress Umlaute Datenbank Voodoo

So, aus aktuellem Anlass gibt es noch einen Beitrag zu WordPress, der Zeichensatzcodierung der Datenbanktabellen und dem Spaß, den man damit bekommen kann.

Je weiter der WordPress Versionssprung von 2.1.3 zu 2.1.4/5 zurück liegt, umso größer wird die Wahrscheinlichkeit, dass die WordPress-Anwender in die Umlautfalle stolpern. Denn:

Bis zur Version 2.1.3 legte WordPress bei einer Neuinstallation die Datenbanktabellen mit der Zeichensatzcodierung ISO-Latin an.
Jede neuere Version legt aber die Datenbanktabellen bei einer Neuinstallation mit der Zeichensatzcodierung UTF-8 an.
Importiert man einen Dump der alten Datenbanktabellen in eine frisch angelegte Installation (zb nach einem Providerumzug), dann werden danach im Blog alle Sonderzeichen ...

Meldung vom Maschinendeck

Ich habe gerade einen kleinen Datenbankumzug gemacht, dabei auf MySQL 5.x aktualiert und auch ein wenig in den WordPress-Datenbanktabellen aufgeräumt, sowie, wie in dem BlogSecurity.net-Interview empfohlen, die default WordPress-Tabellen-Prefixe abgeändert. Und das geht so:

Zunächst einmal ein Backup/Dump mit phpMyAdmin gemacht, dabei bei den Export-Einstellungen "vollständige Inserts" ausgewählt. Als Option "senden" und "gzip" gewählt, kurz darauf landet die XXXXXX.sql.gzip Datei auf dem Rechner.

Diese wird entpackt und mit einem vernünftigen Text-Editor aufgemacht. Wichtig ist hierbei, dass er Suchen/Ersetzen kann, und vor allem Unicode Kodierung beherrscht ACHTUNG: WordPress bis 2.1.3 legte ISO-Latin codierte Datenbanktabellen an, neuere WordPress Versionen legen ...

WordPress Security

WordPress ist mittlerweile eines der am häufigsten eingesetzten Blog-Systeme, was nicht zuletzt daran liegt, dass es auch für webtechnisch eher ungeübte Anwender sehr einfach zu installieren und zu bedienen ist. Ausserdem ist es durch die Plugin-Architektur extrem erweiterbar und lässt sich so für fast jedes Webseiten-Projekt verwenden. Mit der zunehmenden Beliebtheit des Systems rückt es aber auch naturgemäss in das Blickfeld von Leuten, die sich mal ganz gerne Zugang zum Server verschaffen möchten.

Die Vielzahl von Plugins vervielfachen dabei die Chancen, eine Sicherheitslücke aufzureissen. Hinzu kommt auch noch, dass die "offiziellen" WordPress-Entwickler nicht gerade sehr gesprächig ...

Meine eigene kleine Vorratsdatenspeicherung

Hm. Da schimpfe ich in einer Tour über die Datensammelwut und das Überwachungsbegehren in unserem Land, und dabei sammelt meine WordPress-Installation munter Daten der Kommentatoren, Trackbacks und Pingbacks: IP-Adresse, Browser-User-Agent-String und E-Mail-Adresse.

Diese Daten sind zwar durchaus sinnvoll, wenn jemand die Publikationsmöglichkeiten, die die Blog-Software bereitstellt, missbraucht oder wenn man per E-Mail Kontakt zu einem Kommentator aufnehmen will. Aber die Daten sind für alte Kommentare nutzlos - und werden also einfach nur mal so noch mit in der Datenbank rumgeschleppt.

Daher habe ich soeben das Plugin "Delete Comment IP" installiert, welches bei Erscheinen eines neuen Kommentares die überflüssigen Daten ...

WordPress 2.2.1 Update

So, bin gerade aus dem Blogkeller zurück und habe den Blogmotor mit neuem Blogöl versorgt, dabei ein paar Schrauben angezogen und hinten im Blogschrank die aten Klamotten entsorgt. Dabei ist mir aufgefallen, dass das eine Fenster hinten zum Bloghof nicht richtig geschlossen war, und auch das Schloss in der Blogkellertür war nicht richtig fest. Da hätte ja sonstwas passieren können...

:-)

Solltet Ihr auch mal zeitnah machen, falls bei Euch auch WordPress im Blogkeller tuckert.

WordPress 2.2 Update

In wenigen Minuten geht es los, ich aktualisiere auf die neue WordPress-Version. Da ich dazu alle Plugins deaktivieren werde, kann es sein, dass die Seite hier etwas merkwürdig aussieht oder garnicht erreichbar ist... hoffentlich nur vorübergehend. :-)

Also bis gleich, mit neuem Getriebe hinter dem Blogmotor.

[Nachtrag]
So, welcome back. Scheint soweit alles zu funktionieren, lediglich das "clean-umlauts"-plugin lässt sich nicht mehr aktivieren ("Das Plugin kann nicht aktiviert werden, da es einen fatalen Fehler erzeugt") und die Permalinks für die Tags zickten mal wieder kurz rum - wie beim letzten Mal.

[Nachtrag 2]
Das ist ja spannend. WordPress bietet jetzt ...

WordPress 2.2 erschienen

Dingdong, neue WordPress-Version ist da. Ich werde ausnahmsweise ein wenig warten mit dem Update, zumindestens bis die guten Geister von WordPress-Deutschland ihre lokalisierte Version am Start haben. Toll ist, dass ich gerade gestern erst eine komplett neue frische Installation für einen Kunden eingerichtet habe... grrr. :-)

WordPress Themes XSS anfällig

Gerade eben bin ich über einen Artikel auf heise.de gestolpert, der über einen Report im Bugtrack auf insecure.org berichtet. Demzufolge sind einige WordPress-Themes anfällig gegen XSS-Attacken.

Wegen einer ungeprüften Verwendung von $_SERVER['PHP_SELF'] in der sidebar.php und der searchform.php kann bei Blogs, die über eine eigene, aus WordPress heraus angezeigte 404-Fehler-Seite verfügen, über die URL eingeschleuster Code ausgeführt werden. Durch eine einfache kleine Änderung in der Theme-Datei wird diese Lücke geschlossen.

Ich habe das gerade mal bei meinen und anderen WordPress-Installationen ausprobiert, und die betroffenen Blogbetreiber per Mail unterrichtet.