Archiv der Kategorie: wordpress

WordPress: Neue oder alte Sicherheitslücke? (Update 1-2)

von Stefan Evertz am 27.07.06 um 9:37 Uhr |

Der Schöpfer des Anti-Spam-Plugins „Spam Karma 2“ (unknowngenius.com/blog[1]), Dr. Dave, hat gestern vor einer generellen Sicherheitslücke in WordPress gewarnt, die mit der Benutzerverwaltung zusammenhängt (siehe auch unknowngenius.com/blog[2], englisch):

If you are running WordPress as your blogging platform and if you have been trusting enough to leave User registration enabled for guests, DISABLE IT IMMEDIATELY (in wp-admin >> options: make sure „Anyone can register“ is not checked).
Additionally, delete or disable ANY guest account already created by people you are not sure about.

Darren Browse berichtet ergänzend von einer eher beschwichtigenden Rückmeldung des WordPress-Chefentwicklers Matthew Mullenweg (siehe auch www.problogger.net, englisch):

Just spoke with Matt. He’s not aware of the issue and can’t tell by the post if it’s something worth being worried about or not – but he’s going to contact Dr Dave to see. He also mentioned that 2.0.4 will be out shortly and it could be something that is resolved in that upgrade. All seems to be in hand.

Und ich frage mich die ganze Zeit, ob es sich dabei möglicherweise um die bereits für WordPress 2.0.2 gemeldete Sicherheitslücke handelt, die eigentlich mit WordPress 2.0.3 behoben werden sollte. Falls die Sicherheitslücke weiterhin besteht, könnten Blogs, die das Plugin “Filosofo Enroll Comments” (oder ähnliche Plugins) benutzen, weiterhin durch die Sicherheitslücke betroffen sein, da das Plugin auf die Benutzerverwaltung von WordPress setzt

Ãœber sachdienliche Hinweise würde ich mich jedenfalls freuen 🙄

(via www.sichelputzer.de, da Mike offenbar häufiger als ich auf die News-Seite des Plugins schaut…)

Update 27.07.06, 12:50 Uhr
Die Faktenlage ist weiterhin unklar, da bisher keine „Stellungnahme“ der WordPress-Entwickler vorliegt. Besorgniserregend finde ich allerdings die Beobachtungen von CountZero unter www.4null4.de:

In the mean time, I was able to confirm the severity of this issue through mere sniffing through the WP sources. Gosh, I must admit that I never thought that WP could contain such a blatantly silly security error. I’m wondering why it hasn’t been exploited before!

Er hat – laut seinem Kommentar unter www.sichelputzer.de[2] – den Quelltext der WP 2.1alpha untersucht. Wenn das wirklich stimmen sollte, würde dies nicht nur eine heikle Sicherheitslücke offenbaren, sondern möglicherweise auch bedeuten, dass die ursprüngliche Sicherheitslücke in der Benutzerverwaltung nicht oder nur unzureichend geschlossen worden wäre 🙁

Warten wir also weiter – angesichts der aktuellen Uhrzeit in den Staaten (7 Uhr Ostküste) dürfte das allerdings noch einige Stunden dauern, denn auch Softwareentwickler sollen Gerüchten zufolge gelegentlich schlafen…

Update 28.07.06, 06:43 Uhr:
Dr. Dave hat mittlerweile in einem neuen Artikel auf die diversen Nachfragen reagiert – und stellt nebenbei (in Kommentar Nr. 10) richtig, dass sich die gemeldete Sicherheitslücke nicht auf WordPress-Versionen vor der aktuellen Version 2.0.3 bezieht (siehe auch unknowngenius.com/blog[2]:

Elliot: Please, call me a doofus, but at least give me enough credit that I wouldn’t suddenly post a panicky announcement regarding an exploit fixed two months and one version of WordPress ago.

Im deutschen WordPress-Forum war dann gestern nachmittag zu lesen, dass das Problem nicht mehr vorliegt (siehe auch forum.wordpress.de):

Ja, was Dave aufgetan hat ist ein generelles Problem! Das Problem ist in der aktuellen 2.0.4 (beta) allerdings schon behoben worden, bevor Dave es veröffentlicht hat.

In einem Kommentar auf http://www.problogger.net[2]: schreibt Dr. Dave gestern abend allerdings etwas anderes:

At the time this post was written, 2.0.4 included absolutely no fix for the problem whatsoever, and if there was a modicum of awareness among some devs (following the first notification), I would have to fiercely disagree with their initial estimate of the situation and the solutions they were considering bringing. Anyway, no need to panic, simply turn the damn option off and insure everybody else does the same until a tested fix is out.

Zum einen stellt sich daher nach wie vor die Frage: Wurde die alte Sicherheitslücke nicht behoben oder handelt es sich um eine weitere bzw. „neue“ Sicherheitslücke? Und falls es sich um eine „neue“ Sicherheitslücke handelt, wurde bzw. wird sie nun behoben?

Zum anderen irritiert mich etwas der – bei Dr. Dave und CountZero zwischen den Zeilen durchschimmernde bzw. unterstellte – grundsätzliche Umgang der WordPress-Kernentwickler mit den vermuteten Sicherheitslücken, der etwas an Microsoft erinnert. Aber vielleicht liegt das auch am – vor allem hitzebedingt – fehlenden Schlaf meinerseits 🙄

Hoffen wir also einfach mal, dass in Kürze die nächste WordPress-Version 2.0.4 erscheint und dieses Thema ein Ende hat…

Wunschliste für Flash Cortex

von Stefan Evertz am 19.07.06 um 23:10 Uhr | 3 Antworten

Mit meinem WordPress-Plugin „Flash Cortex“ kann man ja mittlerweile Videos von sevenload, video.google(.com), und youtube ins Blog einbinden. Und scheinbar scheint das Plugin einen wachsenden Nutzerkreis zu finden – schön, dass noch mehr Blogger so bequem sind wie ich und sich das doppelte Kopieren sparen wollen 😉

Natürlich soll die „Einsetzbarkeit“ des Plugins weiter ausgebaut und auf weitere Video-Anbieter ausgedehnt werden. Deshalb möchte ich auf diesem Wege eine Wunschliste in den Kommentaren eröffnen; alle eingehenden Anregungen, Wünsche und natürlich auch eventuelle Fehler werde ich gerne bei der weiteren Entwicklung berücksichtigen. Dabei hoffe ich, dass mir unser Neuzugang noch Ressourcen für eine zeitnahe Umsetzung übrig läßt 😉

Die Integration folgender Anbieter (bzw. der dort verfügbaren Videos) habe ich bereits im Auge:

Und nun seid ihr gefragt, werte Leser und / oder „Flash Cortex“-Benutzer: Immer her mit den Ideen!

Tipps bei Spam-Tsunami im Blog

von Stefan Evertz am 27.06.06 um 9:21 Uhr | 1 Antwort

Seit letztem Donnerstag war das Blog von Robert Basic (www.basicthinking.de/blog) nur sehr eingeschränkt erreichbar (siehe auch www.sichelputzer.de). Offenbar wurde das Blog von einem ausgewachsenen Tsunami aus Kommentar-Spam überrollt. Unter www.basicthinking.de/blog[2] zieht er nun ein erstes Fazit:

Seit der letzten Spam-Statistik am 13.06. sind nochmals knapp 10.000 Spameinträge dazugekommen. Der Server war aufgrund der zahlreichen Spamversuche seit Donnerstag fast völlig blockiert.
[…]
Meine Spamattacken waren so gebaut, dass jede IP immer nur 1-5x vorkam, die IP-Bereiche waren völlig unterschiedlich, ebenso wiesen die Header-Daten keine bestimmte Signatur auf, an der man sich orientieren konnte.

Im weiteren fasst er dann die getroffenen Gegenmaßnahmen zusammen, die mittlerweile dafür gesorgt haben, dass das Blog erfreulicherweise wieder erreichbar ist. Neben serverorientierten Optimierungen bezogen sich die Maßnahmen vor allem auf ein Update der WordPress-Version sowie auf die verwendeten Plugins. Dabei hat diese unfreiwillige Nagelprobe offenbar gezeigt, dass verschiedene Plugins unter großer Last mehr Probleme verursachen als lösen (Spam Karma 2, WP-Cache).

Und während ich mich weiterhin erfolglos frage, welche Motivation hinter dieser Attacke liegen könnte, kann ich jedenfalls die Lektüre und sicherheitshalber auch einen Ausdruck des Artikels unter www.basicthinking.de/blog[2] nur empfehlen – wer weiß, wann die nächste Welle kommt…

Fahne ins Blog

von Stefan Evertz am 23.06.06 um 6:29 Uhr | 6 Antworten

Wir haben sie im Schirmständer und mittlerweile auch am Auto: Die Deutschlandfahne.

Aber ich musste erst bei www.spreeblick.com den Hinweis auf die 32 (flash-)animierten Fahnen unter wm2006.popforge.de lesen, um über eine digitale Variante nachzudenken. Und jetzt flattert sie konsequenterweise bis zum 9. Juli auch hier im Blog – und zwar mit einem angepassten Quelltext, der mittlerweile auch validiert.

Deutschland-Fahne

Unter wm2006.popforge.de kann man jeweils eine kleine Flashdatei sowie einen Quelltextschnipsel herunterladen, mit denen dann die gewünschte Fahne eingebunden werden kann – natürlich erst, nachdem die Flashdatei ins eigene Blog hochgeladen wurde. Der bereitgestellte Quelltext scheint allerdings etwas eigen zu sein, da er wohl – zumindest unter Firefox – das Blog-Layout zerschießt und insgesamt auch nicht validiert.

Als Lösungsansatz wurde in den Kommentaren bei Spreeblick empfohlen, entweder bei WordPress den WYSIWYG-Editor abzuschalten – ohnehin eine gute Idee… – oder aber den Quelltext in ein

...

einzuschließen.

Mit dem folgenden Quelltext sollten aber beide Probleme ebenfalls behoben sein – die Hintergrundfarbe (bgcolor) und der Pfad können bzw. sollten natürlich auf das jeweilige Blog bzw. die jeweilige Fahne angepasst werden.


Deutschland-Fahne

Und nun viel Erfolg beim „Flagge zeigen“ 😉

Serendipity: Nummer 2 wird 1.0

von Stefan Evertz am 18.06.06 um 12:32 Uhr | 4 Antworten

Herzlichen Glückwunsch zum ersten Geburtstag! Denn vor wenigen Tagen wurde die Version 1.0 der mittlerweile 4 Jahre alten Blog-Software Serendipity (www.s9y.org) veröffentlicht (siehe auch blog.s9y.org):

With its comprehensive feature set, including multiple authors, internationalization, templated output, and an open plugin architecture, Serendipity’s stable 1.0 release is ready to become the most popular Web application in the world!

Bei www.perun.net findet sich eine kompakte Liste der Neuerungen:

  • Neues Standard-Layout
  • Alle bis jetzt bekannten Bugs wurden gefixt
  • Weitere Anti-Spam-Maßnahmen: schwarze Listen, stärkere Captchas, Akismet etc.
  • Verbesserungen in Umgang mit mehrsprachigen Beiträgen
  • Die Template-Möglichkeiten wurden erweitert
  • Leichtere Änderung der Sidebar

Serendipity habe ich persönlich durchaus in positiver Erinnerung, da es hier seit dem Start des Blogs im August 2005 für zwei Monate im Einsatz war (siehe auch „Kleiner Anbau – jetzt auch mit Tagging (Update)„).

Die am zweithäufigsten in Deutschland eingesetzten Blog-Software (siehe auch www.bamberg-gewinnt.de) war dann erneut in der engeren Wahl, als ich mich im April 2006 – mit einem leistungsstärkeren Server – in Sachen Blogsoftware „verändern“ und von b2evolution (b2evolution.net) verabschieden wollte – auch wegen des überhand nehmenden Kommentar-Spams.

Letztendlich hatte dann zwar WordPress die Nase vorne, da mich die (subjektiv) größere Menge an verfügbaren Plugins und Themes überzeugen konnte. Außerdem hatten mich die zahlreichen zufriedenen Berichte über das Antispam-Plugin „Spam Karma 2“ (siehe auch „Plugins„) neugierig gemacht; das ebenfalls im April vorgestellte „Akismet“-Plugin für Serendipity (siehe auch www.einfach-persoenlich.de) kam einfach zum falschen Zeitpunkt bzw. zu „spät“.

Alles in allem würde ich aber in jedem Fall einen Blick auf Serendipity empfehlen, vor allem wenn ein neues Blog geplant ist; auch wenn bei uns mittlerweile WordPress im Einsatz ist (siehe auch „Ciao b2evolution – Hallo WordPress„), ist die gerne auch als „s9y“ bezeichnete Blog-Software meines Erachtens einer der härtesten Konkurrenten für WordPress.

Die Version 1.0 kann bei www.s9y.org[2] heruntergeladen werden.

(u.a. via www.golem.de)

WP-Plugins: MacroMaker / Flash Cortex

von Stefan Evertz am 16.06.06 um 7:24 Uhr | Schreibe eine Antwort

Eine vielversprechende Erweiterung für WordPress in Form des Plugins „MacroMaker“ hat Ralf drüben bei www.neun12.de veröffentlicht:

Der Mensch ist faul, von Geburt an. Das war wohl der Grund warum ich mir dieses Plugin geschrieben habe. Denn jedesmal wenn ich ein Video oder ein Bild in einem Posting einbauen will, schreibe ich dazu mehr oder minder den gleichen HTML-Code.

Das Plugin (aktuelle Version: 0.7 alpha) ermöglicht es, frei belegbare Texte („Makros“) im Artikel bei der Anzeige im Blog durch ebenfalls frei zu belegende Textschnipsel ersetzen zu lassen. So könnte dann z.B. aus „[logo]“ automatisch „“ werden – und man spart sich bei wiederkehrenden Elementen einiges an Tipp- bzw. Klickarbeit.

Und nebenbei hat er mir mit seinen Ãœberlegungen zur Integration von Google Video auch noch den „Wald“ gezeigt, den ich bisher vor lauter „Parameter“-Bäumen nicht gesehen habe. Es freut mich daher, dass mein WordPress-Plugin „Flash Cortex“ nun auch Google Videos darstellen bzw. integrieren kann. Mehr dazu (und die aktuelle Version 0.9.3) gibt es unter WordPress-Plugin: Flash Cortex.

Ping-Plugin für WordPress in Arbeit

von Stefan Evertz am 14.06.06 um 9:11 Uhr | 4 Antworten

Jan Piotrowski arbeit gerade an einem Plugin, um einige – in der Tat lästige – WordPress-Probleme im Hinblick auf das Veröffentlichen von Artikeln zu beheben (siehe auch betamode.de):

WordPress hat bis zur aktuellen Version 2.0.3 diverse Probleme und Fehler in den 3 Pingfunktionen Ping-Services, Trackback und Pingback:

  1. Zukünftige Posts pingen sofort nach Klicken des Buttons “Veröffentlichen” (Publish), nicht erst zum Veröffentlichungsdatum
  2. Nutzt man die XML-RPC-Schnittstelle (zum Beispiel mit Blogdesk) sind die Pings eher Glücksache
  3. Editierte Posts pingen erneut die Ping-Services an
  4. Bei Problemen mit den Pings gibt es keine Benachrichtigungen, Erklärungen oder Logfiles
  5. Der Nutzer muss warten bis die Ping-Services abgearbeitet sind

Zumindest einen Teil der Probleme habe ich hier im Blog mit den aktuell verwendeten Plugins lösen können, aber ein „eierlegende Wollmilchsau“-Plugin für das Pingen wäre wirklich eine echte Bereicherung.

Insofern begrüße ich das Vorhaben von Jan sehr und kann nur sagen: Wenn ihr noch Wünsche oder weitere Anregungen habt, nichts wie rüber zu Jan (betamode.de)!

(via www.basicthinking.de/blog)

Jetzt auch mit WordPress 2.0.3

von Stefan Evertz am 09.06.06 um 7:52 Uhr | 7 Antworten

Ab sofort läuft hier jetzt WordPress 2.0.3 – und bisher auch ohne Haken und Ösen, was ja nicht unbedingt zu erwarten war (siehe auch „WordPress 2.0.3 erschienen (Update 1-2)„). Sollte es doch mal irgendwo knirschen – bitte melden!

Letztendlich war es nach einem Kaffee – natürlich aus meiner Lieblingstasse – erledigt:

  • Backup machen (Datenbank und Dateien),
  • (aktualisierte) Dateien aus der Zip-Datei von wordpress.de (files.wordpress.de) hochladen,
  • „Backend“ aufrufen und dort auf „Datenbank aktualisieren“ klicken,
  • Fertig.

Zum guten Schluß habe ich noch die bisher einzige Veränderung an den Kerndateien erneut vorgenommen: Die Integration der Smiley-Leiste von WP-Grins (siehe auch www.perun.net).

Das von Ralf erwähnte Problem der überschriebenen htaccess trat übrigens nicht auf, wobei dies möglicherweise damit zusammenhängt, dass ich nur die aktualisierten Dateien (und nicht alle Dateien) ausgetauscht habe . Auch der Einsatz des „TuneUp“-Plugins war – bis jetzt jedenfalls -nicht erforderlich.

Da habe ich mir wohl vergebens Gedanken gemacht 😉

Shoemoney-Spam und zwei Probleme

von Stefan Evertz am 03.06.06 um 7:02 Uhr | Schreibe eine Antwort

In den letzten Tagen schlugen bei uns und offenbar auch bei anderen Blogs Spameinträge per Trackback auf. Bei Gerald Steffens bin ich nun eben darauf gestossen, dass dies die Folge eines „Suchmaschinenoptimierungswettbewerbs“ (siehe auch de.wikipedia.org) zum Begriff „Shoemoney“ war – und da wohl ein Kandidat etwas über die Strenge geschlagen ist (siehe auch www.suchmaschinen-optimierung-seo.info/sosblog):

Der Initiator des Wettbewerbs Jeremy Schoemaker sah sich gezwungen, den Wettbewerb kurzfristig zu beenden, da mittlerweile über 500 Spam-Beschwerden bei seinem Webhoster eingegangen waren und dieser ihm mit der Abschaltung seines Servers gedroht hatte.

Jeremy selber räumte dann auch unter www.shoemoney.com ein:

I really did not forsee the spam problem… What a newb I am. I totally underestimated what people would do for a few dollars.

Unterstellen wir einfach mal, dass er die „Probleme Geister, die er rief“, wieder beruhigen kann bzw. in den Griff kriegt …

Ein zweites Problem fand ich allerdings wesentlich beunruhigender: Der besagte Spammer stellte sich erschreckend geschickt an.

Da er offenbar – zumindest zum Zeitpunkt des Abschickens des Trackbacks – auf der entsprechenden Seite einen Link zur Zielseite gesetzt hatte, wurde einer der mächtigsten Funktionen des Anti-Spam-Plugins „Spam Karma“ (siehe auch „Plugins„) – der „TrackBack Referrer Test“ – ausgehebelt.

Als dann noch Akismet – zumindest anfangs – den Kommentar als „Ham“ (also als „Nicht-Spam“) bewertete, brach der Damm – und mehrere Trackbacks kamen durch. Dies passierte nicht nur bei uns, sondern mindestens bei einem weiteren Blog (und vermutlich noch bei vielen weiteren). 😥

Nun habe ich hier erst vor kurzem auf WordPress umgestellt, so dass zumindest die Riesen-Spamwellen der letzten Wochen (siehe z.B. www.basicthinking.de/blog, wo innerhalb weniger Tage über 3.000 Spam-Einträge aufliefen) an uns vorbeizogen. Scheinbar waren in den entsprechenden Kreisen zumindest für dieses Blog noch nicht die aktuellen Adressen der Schnittstellen „bekannt“.

Aber das wird wohl nicht so bleiben – und die Zeichen an der Wand finde ich ausgesprochen beunruhigend 😕

WordPress 2.0.3 erschienen (Update 1-2)

von Stefan Evertz am 02.06.06 um 8:10 Uhr | 16 Antworten

Gestern wurde die Version 2.0.3 der Blog-Software WordPress (www.wordpress.org) veröffentlicht. Dabei wurden vor allem kleinere Aktualisierungen vorgenommen und wohl auch die vor kurzem entdeckte Sicherheitslücke geschlossen, wie unter wordpress.org[2] (englisch) zu lesen ist:

In addition to an issue that was raised on Bugtraq a few days ago, we’ve also backported a number of security enhancements from 2.1 to further enhance and protect your blog.

For the curious, this release includes:

  • Small performance enhancements
  • Movable Type / Typepad importer fix
  • Enclosure (podcasting) fix
  • The aforementioned security enhancements (nonces)

Erst für die kommenden Versionen 2.1 bzw. 2.5. dürften wohl wieder neue bzw. veränderte Funktionen zu erwarten sein, wie in einem ersten vorsichtigen Ausblick bei www.perun.net zu lesen ist.

Aktuell stellt sich mir jedenfalls die Frage, ob ich hier die aktuelle 2.0.2 WordPress.de-Edition (wordpress.de) ungestraft aktualisieren kann. Wie ich bei Gerald Steffens lese, bin ich da wohl nicht der einzige (siehe auch www.suchmaschinen-optimierung-seo.info/sosblog):

Leider ist auf der Seite von WordPress.de noch nichts zu entdecken von dem Update. Es wäre durchaus interessant zu erfahren, ob man das Update jetzt auch einfach über die deutsche WordPress 2.0.2 DE-Edition drüberbügeln kann oder noch irgendetwas berücksichtigen muss, damit alles weiter glatt läuft.

Die unter codex.wordpress.org (englisch) beschriebene Vorgehensweise könnte, muss aber nicht für die deutsche Version gelten. Eine (kompakte?) Liste der geänderten Dateien habe ich jedenfalls noch nicht entdeckt.

Und da es zumindest drüben bei Mike etwas mit der Umstellung gehakt hat (siehe auch www.sichelputzer.de), werde ich das Update wohl auf einen etwas ruhigeren Moment verschieben. Irgendwann demnächst ist doch Pfingsten, wenn ich mich nicht irre 😕

Update 03.06.06, 06:14 Uhr:
Mittlerweile gibt es auch konkrete Informationen zur WordPress DE-Edition (Danke an Oliver Bockelmann für den Hinweis per Kommentar!). Unter blog.wordpress.de gibt es neben einer Liste auch ein Zip-Archiv mit den geänderten Dateien. Wie ich dort den Kommentaren entnehme, gibt es in der Version 2.0.3. wohl ein kleines Problem beim Bearbeiten von Kommentaren, das sich mit dem Plugin „WordPress 2.0.3 Tuneup“ (txfx.net) beheben lassen müsste.

Auch wenn der ruhigere Moment leider noch etwas auf sich warten läßt, steht nun zumindest theoretisch einem Update nichts mehr im Weg…

Update 04.06.06, 11:29 Uhr:
Gerade stoße ich bei Ralf unter www.neun12.de auf einen eigentlich logischen, aber möglicherweise gerne übersehenen Aspekt des Updates: Die Sicherung der htaccess:

Das Update von WP 2.0.2 auf 2.0.3 überschreibt ungefragt die .htaccess, sofern diese nicht schreibgeschützt ist. In meinen Fall besonders ärgerlich, da ich die Umleitung für die Feeds auf Feedburner in der .htaccess eingebaut habe.

Bei der vorherigen Datensicherung sollte man also auf jeden Fall sicherstellen, dass ALLE Dateien (und somit auch die htaccess-Dateien) gesichert werden. Und da ich dort weit mehr umleite als nur die Feedadressen, werde ich noch vorsichtiger sein müssen als sonst 🙁