WordPress Sicherheitsupdate
Seit gestern gibt es ein Sicherheitsupdate für WordPress 2.1.x und 2.0.x. Es wird dringend empfohlen die neuen Dateien aufzuspielen: offizielle Ankündigung.
Add comment April 4th, 2007
Backdoor in WordPress 2.1.1
Der Server von wordpress.org wurde gehackt, bzw. jemand hat soweit Zugang erlangt, dass er den Code der Downloadversionen 2.1.1 von WordPress manipulieren konnte. Der Entwicklercode im SVN selbst soll nicht betroffen sein: offizielles Statement von WordPress. Derartige Hacks passieren immer wieder. Am bekanntesten dürfte wohl die Manipulation am Debian Code Ende 2003 sein.
Jedenfalls verliert das Projekt bei solchen Vorfällen einiges an Vertrauen. Mein Blog scheint war zwar nicht betroffen, weil ich das Update schon früher gefahren habe, sicher ist das jedoch nicht. Jedenfalls dürfen wir uns auf das eine oder andere Defacement und auf ein paar neue Bots mit 100 MBit Netzanbindung freuen.
Add comment März 3rd, 2007
WordPress Sicherheitsupdate
Seit gestern gibt es ein Update (2.0.6) für WordPress. Es wird wegen zwei schweren Sicherheitslücken ein sofortiges Update empfohlen.
Add comment Januar 6th, 2007
Spambots koennen nicht Kopfrechnen
… meine Besucher hingegen schon. Hoffe ich zumindest 
. Im Hintergrund von Anderscht? läuft der Spamfresser Spam Karma. Die Software arbeitet eigentlich sehr gut und lässt praktisch nichts durch. Konkret: Bei derzeit 4100 bemerkten Spameinträgen musste ich nur einen Eintrag aus der Spamliste retten. Jedoch liegt mein Blog auf einem Shared Hosting Server und ist daher etwas langsam. Die zusätzliche Belastung durch die Spambots will ich mir jetzt ersparen.
Daher wurde nun zusätzlich das Math Comment Spam Protection Plugin installiert. Jeder der einen Kommentar hinterlassen will muss nun eine kleine Rechenaufgabe wie 3 + 4 rechnen. Kein Aufwand, oder ? Meine Zweifel an der Funktionsfähigkeit werden hoffentlich nicht bestätigt. Ich freue mich auf das Rechentalent der Leser(innen).
3 comments November 4th, 2006
Security Update fuer WordPress
Seit zwei Tagen gibt es die Version 2.0.4 von WordPress. Da es sich nicht nur um ein Bufix-Release handelt, ueber 50 Bugs, sondern auch um ein Sicherheitsupdate, empfehlen die Entwickler ein sofortiges Update. Ich habe das gerade gemacht und es funktioniert ohne Probleme.
Add comment Juli 31st, 2006
Spamschutz mit Rechenaufgaben?
Dr. Web berichtet im Blog von einem "neuen" Verfahren zur Spambekämpfung in Blogs und E-Mailformularen. Der Nutzer muss somit keine nicht-barrierefreien und schlecht leesbaren Captchas einsetzen.
Der entscheidende Nachteil des ganzen ist, dass die Rechnaufgabe, zum Beispiel "Summe 4 + 7" als Text im Formular steht. Somit braucht der Spambot nur gesagt bekommen: Finde [number] [mathSymbol] [number], berechne die Formel und setze das Ergebnis ein. Ein Aufwand von vielleicht einer halben Stunde. Solange die Bots das aber nicht beherrschen sollte es den Spam den ein trotzdem dahinter laufendes Spam Karma zu bearbeiten hat gewaltig reduzieren.
Zukunftssicher ist es aber aus zwei Gründen nicht. Der Erste wurde bereits genannt und der Zweite ist PISA .
Add comment Juli 6th, 2006
WP Stats ermittelt bessere Statistiken als Popularity Contest
Vor kurzem habe ich Popularity Contest installiert, um die beliebtesten Beiträge anzuzeigen. Nur leider ist das Plugin meiner Meinung nach nicht zu gebrauchen. Die Verrechnung von Views, Kommentaren, Trackbacks und so weiter erscheint zwar auf den ersten Blick sinnvoll, nur lässt sich kein Zeitraum dafür festlegen. Daher wurden haufenweise Beiträge vom Januar angezeigt.
Seit gut einer Woche läuft WP Stats im Hintergrund und sammelt fleissig Klicks. Und gerade eben habe ich die Anzeige der "Meistgelesenen Artikel" rechts eingebaut. Es werden noch ein paar mehr Statistiken generiert, am interssantesten erscheint mir aber eben diese.
Add comment Juni 23rd, 2006
Popularity Contest zeigt beliebte Artikel in WordPress an
Habe soeben Popularity Contest von Alex King installiert. Das Plugin für WordPress zeigt ab sofort in der rechten Leiste die beliebtesten Posts. Da sich individuelle Posts nicht manipulieren lassen, basiert die Berechnung jetzt ausschließlich auf Kommentaren und Trackbacks, von denen ich immer noch viel zu wenig habe 
. Jedenfalls wird sich das im Laufe der Zeit geben.
Add comment Juni 17th, 2006
404 Fehler richtig abfangen und eigene Fehlerseiten anzeigen
Dr. Web hat die Top 20 Blogs nach den Deutschen Blogcharts auf die Anzeige der 404 Fehlerseiten überprüft. Das Ergebnis ist ziemlich ernüchternd. Die Mehrheit behandelt den "Seite nicht gefunden" Fehler gar nicht, bzw. überlässt es dem Provider. Dabei ist das mit moderner Blogsoftware wie WordPress kein Problem.
Dr. Web verweist auch nocht auf das 404 Research Lab. Diese Seite sammelt bereits seit Jahren originelle Fehlerseiten. Mit den wenigsten kann ein normaler Internetnutzer jedoch etwas anfangen. Inspirieren lassen kann man sich aber trotzdem . Zuletzt wird noch gezeigt, wie man mittels .htaccess eigene Fehlerseiten definieren kann:
ErrorDocument 404 http://www.eigenedomain.de/fehler.html
Da ist dem Autor aber ein entscheidender Fehler unterlaufen, den Martin im siebten Kommentar aufgreift. In der obigen Variante sendet der Server keinen 404 Header sondern einen 302. Damit erkennen Suchmaschinen und Co den Aufruf nicht als Fehler sondern als "Moved Temporarily". Fehlerhafte Verweise werden dadurch nicht erneuert und in den Logs finden sich Zugriffe auf die fehler.html Seite, ohne, dass der Ursprung des Fehlers bekannt ist. Besser ist also:
ErrorDocument 404 /fehler.html
So werden im Übrigen auch andere 40x Seiten definiert.
Add comment Juni 6th, 2006
WordPress Hashcash durch Spam Karma ersetzt
Wie bereits in den Beiträgen WordPress Anti Spam Plugin und Barrierefreies Captcha fuer Menschen und leider auch Maschinen beschrieben habe ich in "Anderscht?" bisher auf WordPress Hashcash gesetzt. Nur leider haben moderne Spambots Javascript Unterstützung eingebaut. Und somit erhalte ich trotz Hashcash täglich mehrere Dutzend Kommentarspams. Seltsamerweise immer auf den gleichen Beitrag.
Jedenfalls wurde mir das jetzt zu dumm und daher habe ich das ultimative Anti Spam Plugin Spam Karma installiert. Dies bewertet einen Kommentar auf mehrere Arten und errechnet aus den einzelnen Werten einen Spamscore. Ist dieser zu hoch, wird der Kommentar als Spam klassifiziert und ich bekomme das aktiv gar nicht mehr mit. Zwar erschlägt einen die Optionsvielfalt im Verwaltungsbereich, aber ich lasse erst einmal alles auf Standard.
Ich bitte alle Leser hier Testweise einen Kommentar zu hinterlassen. Sollte etwas nicht gehen, so bitte ich um eine kurze Mail mit Betriebssystem und Browserversion.
9 comments Mai 1st, 2006