Schlagwort-Archiv: plugin

Yawasp: Mit Low Tech erfolgreich gegen Kommentar-Spam

von Stefan Evertz am 02.09.08 um 7:05 Uhr | 5 Antworten

Seit guten 40 Tagen habe ich hier im Blog das Anti-Spam-Plugin „Yawasp“ (www.svenkubiak.de) von Sven Kubiak im Einsatz – und ich muss sagen: Vielen Dank, ich bin begeistert! Das Grundprinzip ist ebenso einfach wie offensichtlich erfolgreich:

Das Plugin generiert für die Namen der Formularfelder des Kommentarformulars zufällige Werte, und merkt sich dabei, welches Feld, welchen Wert bekommt. Wird das Kommentarformular aufgerufen, werden die Werte den Feldern zugewiesen und erst beim Absenden erfolgt die Rückübersetzung, so dass WordPress den Kommentar verarbeiten kann.

Zusätzlich wird ein leeres Feld – unsichtbar für den Benutzer – eingefügt, dass die gleichen Merkmale wie ein sichtbares aufweist. Füllt ein Spambot dieses Feld aus, oder sendet die ursprünglichen Namen der Formularfelder, wird der Kommentar nicht gespeichert.

Zusätzlich ändert das Plugin die zufälligen Werte alle 24 Stunden, so dass sich kein Spambot an das Kommentarformular anpassen kann.

Die Konsequenz: Seit dem Einsatz des Plugins hatte ich exakt 0 (in Worten: „null“) automatisierte Spam-Kommentare zu verzeichnen. Der interne Zähler des Plugins hingegen zählt aktuell fast 2.000 verhinderte Spam-Versuche, davon rund ein Sechstel Kommentare, bei denen durch einen Spambot das „unsichtbare“ Feld ausgefüllt wurde.

Interessant ist auch die Kurve der Spam-Versuche, die einen Rückgang von anfangs rund 60 Versuchen / Tag auf mittlerweile knapp 20 Versuche / Tag aufweist. Hier kann ich allerdings nicht nachvollziehen, ob wirklich ein „Lernprozess“ bei den Spambots eingesetzt hat (würde ich grundsätzlich aber eher bezweifeln) oder ob die „Spitzen“ einfach durch mehrere Spam-Versuche des gleichen Bots entstanden sind. Hier aber nun die Grafik:

Yawasp-Ergebnisse

Seit den ersten Schritten im April 2008 (siehe auch www.svenkubiak.de[2]) hat sich Yawasp (steht übrigens für „Yet Another WordPress Anti Spam Plugin“) stetig weiterentwickelt. Mittlerweile ist z.B. auch die automatische Anpassung des Kommentar-Bereichs durch das Plugin realisiert – da war wohl anfangs noch Handarbeit angesagt 😉

Wie sieht es aber nun mit meinen bisher eingesetzten bzw. getesteten Anti-Spam-Tools bzw. WordPress-Plugins aus? „Spam Karma“ wird leider nicht weiterentwickelt und ist auch ziemlich ressourcenhungrig. „Math Comment Spam Protection“ scheint leider zunehmend von Spammern „geknackt“ zu werden. Und „Akismet“ habe ich eigentlich noch nie richtig getraut, sondern nur als zusätzliche „Petzmöglichkeit“ für hartnäckige Spammer genutzt.

Alles in allem hat daher Yawasp beste Chancen, zusammen mit dem Plugin „Simple Trackback Validation“ (sw-guide.de) von Michael Wöhrer, mein Hauptwerkzeug gegen den automatisierten Spam zu werden. Die anderen Plugins habe ich heute morgen jedenfalls erstmal deaktiviert. Und für den Rest bleibt halt weiterhin nur das manuelle Löschen

(u.a. via blog.helmschrott.de)

Update bei „Flash Cortex“-Plugin

von Stefan Evertz am 30.03.08 um 22:14 Uhr | Schreibe eine Antwort

Heute konnte ich ein schon länger anstehendes Update für mein Video- und MP3-Plugin „Flash Cortex“ realisieren, um die „Internationalisierung“ bei YouTube zu berücksichtigen. Das WordPress-Plugin ist nun in Version 1.0.5 verfügbar. Angesichts der in den nächsten 24 Stunden geplanten Umstellung auf „Sevenload 3.0“ möchte ich nicht ausschließen, dass da in nächster Zeit ein weiteres Update ins Haus steht. Und auch die gestern veröffentlichte WordPress-Version 2.5 habe ich noch nicht ausreichend testen können, um die korrekte Funktionsweise bestätigen zu können.

In dem Zuge habe ich nun jedenfalls endlich das Plugin in das „Plugin Directory“ unter wordpress.org integriert. Auch wenn der eigentliche Download ab sofort über das „Plugin Directory“ läuft, bleibt mein Artikel zu „Flash Cortex“ weiterhin die zentrale Anlaufstelle; dort finden sich auch wichtige Hinweise zum Update auf die aktuelle Version und natürlich auch der Download-Link.

Aufwändigeres Update auf WordPress 2.3

von Stefan Evertz am 28.10.07 um 14:32 Uhr | 12 Antworten

Nun läuft also auch hier die Version 2.3 von WordPress – und es hat sich doch einiges unter der Haube getan (siehe auch blog.wordpress-deutschland.org). Leider gibt es dabei auch Veränderungen, die durchaus grenzwertig sind. Drei problematische Änderungen – inklusive Lösungsansatz – will ich nachfolgend kurzvorstellen.

Tagging
Bisher war hier im Blog mit „Ultimate Tag Warrior“ ein eigenes Plugin fürs Tagging („Verschlagwortung“) der Artikel im Einsatz. Da WordPress ab dieser Version auch selber „taggen“ kann (und es wohl auch zu Konflikten mit den „externen“ Tagging-Plugins kam), war also eine Umstellung unvermeidlich. Der Import der vorhandenen Tags klappte problemlos (über „Verwaltung / Import“), bevor dann der wirklich spannende Teil kam: Die Integration ins Theme.

Während die Basis-Funktionalität (Anzeige der Tags je Artikel / Anzeige aller Tags in Form einer Tag-Cloud) ohne größere Probleme mit den neuen „Bordmitteln“ von WordPress realisierbar war (siehe auch deutsche Dokumentation unter doku.wordpress-deutschland.org), fehlte mir ein komfortables Werkzeug für die Tag-Verwaltung beim Schreiben eines Artikels – und da rede ich noch gar nicht vom spannenden „Type ahead“-Feature des „Simple Tagging“-Plugins. Wesentlich wichtiger (und mein Hauptgrund für die Nutzung von Tags) war aber die Funktion (des bisherigen Tagging-Plugins), die anhand der vorhandenen Tags „Ähnliche Artikel“ auflisten konnte – und leider gibt es bisher bei WordPress auch diese Funktion noch nicht.

Für die Nutzung der Tags „wie bisher“ bin ich dann auf die folgenden Plugins gestossen, die die vorgenannten Probleme gelöst haben. Eine Funktion zur „Verwaltung“ (und Löschung!) vorhandener Tags steht aber leider noch aus:

Neue Quelle für eingehende Links („Tellerrand“)
Stillschweigend hat man bei WordPress die bisherige Quelle für die Anzeige der „Eingehenden Links“ gewechselt. Anstelle des bisher abgefragten (und gelegentlich etwas überlasteten) Dienstes Technorati greift man nun auf die Daten der Google-Blogsuche zurück. Die Google-Daten haben allerdings den kleinen Makel, dass sie gerne auch mal interne Links anzeigen und somit wenig hilfreich sind.

Wer nun wie bisher Technorati nutzen möchte, kann die Änderungen entweder per Hand vornehmen (Beschreibung unter www.fixmbr.de) oder aber das Plugin „Nusuni Technorati Links WordPress Plugin„verwenden (hier im Einsatz).

Update-Funktion
Die neu eingeführte Update-Funktion prüft, welche der Plugins mittlerweile in einer neueren Version vorliegen. Auch wenn der Abgleich nur mit der (wachsenden) Plugin-Datenbank auf wordpress.org stattfindet, erhält man so bei immer mehr Plugins schnell den Update-Hinweis, ohne jeweils einzeln nachsehen zu müssen. Ärgerlich ist dabei die Tatsache, dass hier zahlreiche Informationen übertragen werden, die für die Prüfung der Plugin-Versionen nicht erforderlich ist (z.B. Blog-URL und Versionsnummern nicht aktivierter Plugins; siehe auch www.tamagothi.de) – und das alles, ohne dass der jeweilige Blogbetreiber je das „Herausposaunen“ dieser Daten veranlasst hätte.

Ich gebe zu, im Zuge des Updates war die Update-Option sehr hilfreich und die Zahl der veralteten Plugins erschreckend groß 😳 Aber das ändert nichts daran, dass ich die nicht erforderlichen Daten auch nicht preisgeben muss bzw. möchte.

Insofern dürfte für paranoide Datenschutz-interessierte WordPress-Nutzer das Plugin „Filosofo’s Tinfoil-Hat Plugin“ interessant sein, das dieses Problem löst und die übertragenen Daten anonymisiert.

Fazit
Abgesehen von den drei genannten Problembereichen lief das Update übrigens problemlos – jedenfalls soweit mir bisher bekannt ist – und es gab auch keine nennenswerten Probleme mit älteren Plugins. Weiterhin habe ich den Eindruck, dass WordPress etwas schneller geworden ist – was aber auch am verabschiedeten „Monster“ UTW liegen könnte 🙄

(Plugins gefunden u.a. via www.endl.de/weblog und www.silkester.de/blog)

Endlich weniger Kommentar-Spam

von Stefan Evertz am 14.04.07 um 16:41 Uhr | 3 Antworten

Seit knapp drei Wochen setze ich ja hier im Blog neben dem allgegenwärtigen „Spam Karma“ auch das Plugin „“Math Comment Spam Protection Plugin“ (sw-guide.de) ein, um den sinnlosen „Spam ohne Links“ vorab auszufiltern (siehe auch „Feintuning im Blog„).

Wie eine Auswertung der täglichen Spam-Mengen zeigt, hat das Plugin bereits sehr positiv gewirkt. Seit dem ersten Einsatz am 24. März ist bisher genau ein einziger Spam-Kommentar überhaupt bis zu Spam Karma durchgedrungen. Der übrige Spam bestand aus Trackbacks, der derzeit noch von Spam Karma abgefangen wird. Bis ins Blog hat es jedenfalls kein einziger Spam-Kommentar (oder -Trackback) geschafft.

Täglicher Kommentar-Spam

Auch die Kurve der insgesamt abgefangenen Spam-Kommentare zeigt eine angenehm deutliche Delle – pünktlich zur Aktivierung des zusätzlichen Plugins 😉

Kommentar-Spam gesamt

Und bevor jetzt die Frage aufkommt, warum hier im Blog so wenig Kommentar-Spam aufkommt: Leider wurde bis Mitte Februar der interne Zähler von Spam Karma nicht aktualisiert. Auslöser dieser „Störung“ war offenbar die deutsche Lokalisierung des Plugins, die die falschen Parameter aktualisiert hat. Nachdem ich die Sprachdatei entfernt hatte, lief auch der Zähler 👿

Feintuning im Blog

von Stefan Evertz am 24.03.07 um 12:49 Uhr | 12 Antworten

Entweder nimmt die Zahl einfach zu oder die Spamfilter lassen nach. Jedenfalls kommt nach und nach immer mehr linkloser Kommentar-Spam durch (siehe auch „Spam ohne Links„). Deshalb habe ich mich nun entschlossen, hier im Blog künftig das Plugin „Math Comment Spam Protection Plugin“ einzusetzen (sw-guide.de), das dem Kommentator lediglich eine kleine zusätzliche Rechenaufgabe abverlangt. Wir werden sehen, ob das das Spam-Aufkommen nachhaltig reduzieren wird; in den drei Stunden seit Aktivierung ist jedenfalls kein einziger Spam-Kommentar eingeschlagen…

Weiterhin wurde ich durch einen Kommentar von Frank an mein vergessenes Vorhaben erinnert, hier im Blog zusätzlich zum jeweiligen Kommentar-Feed auch die Möglichkeit zu bieten, die Kommentare per E-Mail zu abonnieren.

Deshalb habe ich seit einigen Tagen das Plugin „Subscribe to comments“ (aktuelle Version 2.1. unter txfx.net; englisch) integriert. Entgegen einem früheren, leider erfolglosen Versuch hat diesmal alles geklappt. Eine deutsche Ãœbersetzung dieses Plugins (und anderer) gibt es übrigens unter www.daniel-erb.de (gefunden bei bueltge.de[2]).

Zu guter Letzt habe ich es nun endlich geschafft, unter Impressum wieder ein funktionstüchtiges Feedback-Formular bereitzustellen – geplant war die „Reparatur“ ja schon seit dem Wechsel zu Hosteurope im Februar (siehe auch „Serverumzug„). Das Kontaktformular basiert auf der deutschen Version des WordPress-Plugins „PXS Mail“ (bueltge.de[2]).

Für alle drei Verbesserungen gilt natürlich: Sollte es irgendwo haken, würde ich mich über eine Rückmeldung freuen (z.B. per E-Mail an stefan@hirnrinde.de).

Spam ohne Links

von Stefan Evertz am 16.03.07 um 18:05 Uhr | 6 Antworten

Irgendwie verstehe ich es einfach nicht. Den „Sinn“ von Kommentar-Spam habe ich bisher immer darin gesehen, auf armen unschuldigen Blogs Links zu hinterlassen, die dann begierig von Google gefunden werden 👿

Warum finde ich also zunehmend offensichtlich sinnlose Kommentare hier im Blog, die zwar von Spam Karma, nicht aber von Akismet als Spam identifiziert werden? Gemeinsam ist diesen Kommentaren, dass sie offensichtlich nichts mit dem kommentierten Artikel zu tun haben, fast alle in Englisch sind und eben keinerlei Link enthalten.

Ist das der Versuch, irgendwelche IP- oder E-Mail-Adressen bei Akismet auf die „gute“ Seite zu bringen? Oder verschluckt mein Blog einfach nur die Links (wäre mir neu)? Oder sind diese Spammer einfach zu blöd?

Ich verstehe es wirklich nicht, aber vielleicht liegt das auch einfach an der zurückliegenden anstrengenden Woche… 🙄

Plugin-Support per WordPress-Plugin?

von Stefan Evertz am 18.02.07 um 14:58 Uhr | Schreibe eine Antwort

Ich muss gestehen, dass ich sehr überrascht war, als ich den Kommentar von Ralf (neun12.net) las. Denn ich halte die Idee für sehr gut – und wundere mich, dass es so ein Plugin (oder eine entsprechende WordPress-Funktion) noch nicht gibt:

Ja, unbedingt. Und zwar als Plugin. Ich stelle es mir so vor, das es im WP-Adminbereich einen eigenen Punkt “Hilfe” gibt. Jedes Plugin welches dann eine Hilfeseite enthält, kann dort eine Sub-Page ablegen. Die Abfrage ob die Hilfe-Seite installiert/aktiviert ist, wäre im Plugin leicht umzusetzen.

Ralf hat auch nicht lange gefackelt und unter unterderhaube.neun12.de einen ersten Entwurf für ein „Hilfe“-Plugin bereitgestellt (funktionierte bei mir im Blog bei einem Test nicht, aber darum geht es hier nicht). In den dortigen Kommentaren hat sich mittlerweile eine kleine Diskussion entwickelt, die sich vor allem um zwei Eckpunkte dreht:

Zentraler Support im Blog des Autors (egal ob als statische Seite oder als Beitrag) vs. dezentraler Support im Plugin-Umfang (z.B. im Rahmen einer Hilfe-Seite im Backend)

Für den zentralen Support spricht sicherlich der Gedanke, dass der Autor so jederzeit aktuelle Informationen und Tipps zum Plugin bereitstellen kann. Weiterhin können sich die Benutzer mit ihren Fragen an den Autor wenden oder (im Falle eines Beitrags) in den Kommentaren nach ähnlichen Fragen umsehen.

Der dezentrale Support bietet den Vorteil, dass der Benutzer noch innerhalb des WordPress-Backends auf die „Hilfe“-Seite zugreifen kann. Weiterhin liegen so alle Informationen zum Plugin in einem kompakten Paket vor.

Ich persönlich halte jedenfalls ein Hilfe-Plugin für mehr als überfällig. Die anfallende Mehrarbeit (Dokumentation auf Plugin-Seite und innerhalb der Hilfe-Seite des Plugins) halte ich für durchaus vertretbar. Und spätestens, wenn mal die Plugin-Seite (samt Backup) durch einen Crash verschwunden ist (man denke z.B. nur an die Plugins von Owen Winkler), wird sich der Benutzer über ein solches Komplett-Paket sehr freuen… 🙄

Neue Wunschliste für Flash Cortex (Update)

von Stefan Evertz am 10.02.07 um 8:03 Uhr | 16 Antworten

Da ich auch weiterhin mein WordPress-Plugin „Flash Cortex“ verfeinern und ausbauen möchte, eröffne ich mal wieder eine „Wunschliste“, d.h. wer Ideen, Anregungen oder Wünsche (z.B. für „neue“ Video-Hoster) hat, ist herzlich eingeladen, hier oder auch im Plugin-Artikel die Kommentar-Funktion zu nutzen 😉

Folgende Punkte habe ich bereits auf der Liste:

  • Abschaltung des „Autostarts“ bei den Clipfish-Videos
  • Verbesserte Erkennung der Sevenload-Videos (zur Zeit hat Flash Cortex noch Probleme mit Video-Ids, die aus einem Ordner wie z.B. den Favoriten heraus aufgerufen werden)
  • Integration von Revver (ergänzt am 13.02.07, 7:00 Uhr)
  • Anderen bzw. zusätzlichen Audioplayer, bei dem auch im abgespielten MP3-Stück vor- und zurückgesprungen und die Lautstärke verändert werden kann (ergänzt am 13.02.07, 7:00 Uhr)

Weiterhin äußerte Robert Basic mal die Anregung, dass eine „Hilfe-Seite“ im WordPress-Backoffice sinnvoll sein könnte. Den Gedanken finde ich interessant, wobei dort dann lediglich eine Liste der verfügbaren Video-Anbieter sowie Tipps zur Einbindung verfügbar wären. Ich bin mir allerdings noch unsicher, wo eine solche Seite platziert werden könnte – „logisch“ passt es weder unter „Verwalten“ noch unter „Optionen“. Wenn also jemand von euch auch dazu eine Idee hat…

Update 18.02.07, 23:55 Uhr:
Zumindest die ersten drei Punkte der obigen Liste werde ich am kommenden Wochenende umsetzen können (Audioplayer wird sicher eher ein Mittelfrist-Projekt…). Und vielen Dank für die Rückmeldungen 🙂

Updates für WordPress

von Stefan Evertz am 09.01.07 um 17:19 Uhr | 2 Antworten

Die – auch hier im Blog eingesetzte – Blog- und CMS-Software WordPress gibt es nun in der Version 2.0.6, mit der u.a. zwei Sicherheitslücken geschlossen werden (siehe auch www.heise.de):

Die erste, von Stefan Esser, der kürzlich resigniert das PHP-Security-Team verließ, beim Hardened-PHP Project beschriebene Sicherheitslücke nutzt die mbstring-Erweiterung von PHP, mit der es WordPress ermöglicht, bei so genannten Trackbacks zwischen verschiedenen Zeichensätzen zu konvertieren. […] Ein Beispiel-Exploit schafft es so, zuerst die Warnmeldungen an den Andministrator abzuschalten, um dann die Hash-Werte der Passwörter auszulesen.

Der zweite Angriff gehört in die Rubrik Cross Site Scripting (XSS). Der eingebaute CSRF-Schutz (Cross Site Request Forgery) von WordPress hat einen Fehler, sodass ein Angreifer einem eingelogten Benutzer oder Administrator URLs so unterschieben kann, dass die darin enthaltenen Befehle mit seinen Rechten ausgeführt werden.

Weiterhin wurden kleine Verbesserungen vorgenommen (siehe auch wordpress.org, englisch):

Here’s what’s new:

  • The aforementioned security fixes.
  • HTML quicktags now work in Safari browsers.
  • Comments are filtered to prevent them from messing up your blog layout.
  • Compatibility with PHP/FastCGI setups.

For developers, there’s a new anti-XSS function called attribute_escape(), and a new filter called “query” which allows you filter any SQL at runtime. (Which is pretty powerful.) Thanks to Mark Jaquith for handling this release and Stefan Esser for responsibly reporting the security issue.

Die aktuelle (englischsprachige) Version steht als ZIP-Archiv unter wordpress.org[2] zum Download bereit. Auch die DE-Edition kann zwischenzeitlich als aktualisiertes Komplett-Paket sowie als Paket mit den geänderten Dateien heruntergeladen werden: blog.wordpress-deutschland.org

An einigen Stellen gab es Hinweise, dass es nach dem Update auf WordPress 2.0.6 Probleme mit den RSS-Feeds und dabei speziell mit den über Feedburner realisierten Feeds gab. Auch wenn hier im Blog bei der Umstellung alles glatt lief, finden sich jedenfalls weitere Informationen für Betroffene unter jowra.com sowie unter markjaquith.wordpress.com (englisch).

Und noch ein Hinweis – diesmal für die „Ressourcensparer“: Das Plugin WP-Cache 2.0 (mnm.uib.es/gallir) zur Zwischenspeicherung der Blog-Seiten gibt es mittlerweile in der Version 2.0.21 (siehe auch mnm.uib.es/gallir[2]). Das erinnert mich daran, dass ich wohl etwas häufiger auf Aktualisierungen bei den Plugins achten sollte…

(u.a. via www.perun.net, bueltge.de, www.golem.de)

Update bei Sevenload und Flash Cortex

von Stefan Evertz am 08.01.07 um 17:07 Uhr | 3 Antworten

Bereits kurz vor Weihnachten wurde der deutsche Bild- und Videohoster Sevenload (de.sevenload.com) um eine englische Oberfläche erweitert (siehe auch blog.sevenload.de):

In der ersten Phase von unserem internationalen Launch geben wir Euch die Möglichkeit zwischen zwei Sprachen zu wechseln – Englisch und natürlich Deutsch. In einem zweiten Schritt werden andere Sprachpakete von uns freigegeben – unter anderem werden Italienisch, Spanisch, Türkisch und Französisch in den kommenden Wochen veröffentlicht.

Gestern wurde nun auch die URL-Struktur angepasst (siehe auch blog.sevenload.de[2]):

Ab sofort verwenden wir Landeskürzel als Subdomains um die von den Usern ausgewählte Sprache korrekt darstellen zu können. Unter http://en.sevenload.com erreicht man konsequent die englischsprachige Oberfläche, die deutsche Version ist unter http://de.sevenload.com erreichbar.

Entsprechend habe ich mein WordPress-Plugin „Flash Cortex“ angepasst, so dass nun auch die „neue“ URL-Struktur unterstützt wird. Eine Veränderung der alten „Links“ ist dabei nicht erforderlich, da diese weiterhin von „Flash Cortex“ erkannt werden und laut dem Eintrag im Sevenload-Blog wohl auch künftig von Sevenload unterstützt werden sollen. Nur der mittlerweile zusätzlich an den Video-URL angehängte Titel des Videos wird aus technischen Gründen abgeschnitten (und ist bisher auch für die korrekte Darstellung des Videos nicht erforderlich).

Die aktuelle Version (Version 1.0.0) kann auf der Info-Seite zum Plugin „Flash Cortex“ heruntergeladen werden. Eventuelle Probleme oder Anregungen könnt ihr dort in den Kommentaren loswerden – und über eine Empfehlung des Plugins per Link freue ich mich natürlich auch 😉