Wördpress des tages

Benutzt hier jemand das WP-plaggin „captcha“ — dann aber schnell die neue versjon installieren:

Das WordPress-Plugin Captcha hatte eine Backdoor eingebaut, über die Betrüger auf WordPress-Seiten zugreifen können

Ich würde ja keinen kohd mehr nutzen, in dem die entwickler vorsätzlich eine hintertür reingebaut haben. Und bei der gelegenheit sollte man gleich mal schauen, was noch so verbaut wurde:

Simplywordpress wechselte im September den Besitzer – Namen wurden dabei nicht bekannt gegeben. Wer wirklich dahinter steckt, ist bis heute unklar. WordFence ist jedoch während den Recherchen eigenen Angaben zufolge immer wieder auf den Namen einer Person gestoßen, die in der Vergangenheit WordPress-Plugins aufgekauft hat, um mit diesen Backlinks auf Nutzer-Webseiten zu platzieren

Es ist übrigens eine gute idee, nur so wenig zusätzlichen kohd wie möglich in wördpress zu benutzen. Wördpress selbst ist ja schon so eine sache (zwar hat sich die kohdkwalität dort in den letzten jahren verbessert, aber die entscheidungen von früher wirken heute noch fort und sie waren oft ein bisschen unbedacht), aber wer sich mal richtig gruseln will, der muss sich den kohd von ein paar plaggins anschauen. Hier das, was ich empfehle: antispam bee, classic smilies (aber nur, wenn man die „emojis“ nicht haben will), google XML sitemaps, intypo, limit login attempts, WP super cache und, wenn man deutsch bloggt, WP-cleanumlauts2. Dann hat man allerdings auch keine effektheischerei drin… wer seine leser lieber mit effekten als mit inhalten abholen will, lebt halt unsicher.

Und nein: die bewertung hat keine aussagekraft, spämmer können sie leicht manipulieren und normale nutzer können hintertüren nicht erkennen. „Captcha“ hatte viereinhalb von fünf sternchen und war hunderttausendfach installiert.

Wördpress-security-großalarm des tages

Benutzt hier jemand wördpress mit dem „all in one SEO pack“? Warum? Etwa, weil da das zauberwort SEO drinsteht und ihr glaubt, dass es so hokus pokus mühelos mehr seitenbesucher gibt, die ihr mit reklamezumutungen in geld verwandeln könnt?

Ach, das ist ja gar nicht mein tema. 😉

Benutzt hier jemand wördpress mit dem „all in one SEO pack“? Das sollen ja doch so ein paar milljönchen nutzer sein…

Und schon die neue versjon installiert?

Wenn nicht, dann ist es jedem honk aus dem internet möglich, an euer blog eine HTTP-anfrage zu senden, die dazu führt, dass irgendwann später bei euch im blog irgendwelches völlig beliebiges javascript von diesem honk ausgeführt wird. Damit kann man dann… nur so ein beispiel… euer zugangstoken abschnorcheln, rausfunken und die gesamte webseit nach herzenslust pwnen. Und ihr dürft dann eine datensicherung zurückspielen (falls ihr überhaupt eine datensicherung habt) und eventuell wochen- bis monatelang mit der wenig vorteilhaften reputazjon leben, schadsoftwäjhr zu verteilen, spämm zu senden oder phishing-seiten zu hosten. Und dann hilft auch alles SEO nicht mehr, wenn ihr auf jeder blacklist steht…

Also, macht schnell einen updäjht von dem ding, denn die kriminellen schlafen nicht und der angriff darauf ist kinderleicht!

Und vielleicht solltet ihr bei dieser gelegenheit mal drüber nachdenken, ob ihr die ganzen plugins für euer wördpress wirklich braucht… denn jede erhöhung der komplexität einer installazjon ist das gegenteil von sicherheit.

Nutzt hier jemand joomla?

Das wördpress-plugin pro-adblock für wordpress gibt es jetzt auch für joomla. Ein wichtiger beitrag zur kompjutersicherheit der leser!

WordPress-plugin des tages

Pro-Adblock für WordPress

Security des tages

Der MD5-häsch des installazjonszeitpunktes ist ein ziemlich schlechter schlüssel für eine wördpress-erweiterung, vor allem, wenn damit über SQL-injekzjon das pwnen des blogs möglich ist.

Hej, leute: schreiben eure websörver keine logdateien? Wisst ihr nicht, dass es freie und bewährte progrämmchen gibt, um logdateien auszuwerten? Wozu braucht ihr solche stat-dinger in einem fetten und damit anfälligen blogsystem, die nicht nur das dingens unsicher machen können, sondern außerdem auch noch die last auf der MySQL-datenbank erhöhen?

Ach!

Ad nauseam

Das feierfox-plugin des tages!

„Adnauseam“ klickt die ads, so dass du es nicht tun musst.

Während onlein-werbuing immer automatischer, alldurchgreifender und unregulierter wird, arbeitet adnauseam daran, diesen zyklus zu vollenden, indem es im auftrage der zielgruppe automatisch alle ads blind und alldurchgreifend anklickt. In zusammenarbeit mit adblock plus, klickt adnauseam still auf jede geblockte werbung, so dass jeweils ein seitenbesuch in den netzwerken der werbevermarkter registriert wird. Während die gesammelten daten einen alles verzehrenden strom von klicks zeigen, wird die profilerstellung, zielgruppensuche und überwachung von anwendern sinnlos

Ich schmeiße mich weg! Danke, @tux0r!

(Wie schön wäre es, wenn so etwas der todesstoß für jedes „geschäftsmodell“ der marke „erwünschte inhalte mit unerwünschter und träckender scheißreklame vergällen“ wird!)

Effektiv, zuverlässig, einfach zu nutzen

Wie gut, dass es so tolle sicherheitssoftwäre wie das wördpress-addon „WordPress BulletProof Security“ gibt. Einfach installieren, einmal klick klick durchkonfigurieren und gut, so das versprechen. Und da draußen laufen massenhaft leute rum, die an solche versprechungen glauben. Die werden sich demnächst vielleicht über den möglichen XSS-angriff, die SQL-injection und die möglichkeit, den websörver für abfragen externer datenbanken zu „benutzen“ freuen.

Aber jetzt die gute nachricht für nutzer: die fehler sind in der aktuellen versjon gefixt. Und das aktualisieren geht ja klick klick, also los! Eine gewisse skepsis gegen das versprechen einfach zu erzielender sörversicherheit zu entwickeln, wäre aber auch angebracht.

Warnung! 0day-exploit in WP-erweiterung TimThumb

Nachtrag: „TimThumb“ ist gefixt. Also los, setzt in der konfigurazjon WEBSHOT_ENABLED auf false und holt euch die aktuelle versjon!

Benutzt noch jemand da draußen „TimThumb“ — trotz seiner mittlerweile beachtlichen geschichte größerer sicherheitsprobleme? Wenn ja: sofort raus mit dem scheißteil! Das ding ermöglicht — mindestens dann, wenn man auch „WebShots“ in der konfigurazjon freigeschaltet hat — die ausführung beliebiger befehle mit den berechtigungen des websörvers. Und zwar auf kinderleichte weise. Und ebenfalls betroffen könnten — ich sage das jetzt aus dem bauch heraus — folgende erweiterungen sein, die zum teil den gleichen kohd wie „TimThumb“ nutzen: „WordThumb“, „WordPress Gallery Plugin“ und „IGIT Posts Slider“. Im zweifelsfall lieber erstmal abschalten, bis klar ist, dass die dinger unbedenklich sind oder bis gefixt wurde.

Im moment ist aber auch eine zeit…

Im moment ist aber auch eine zeit, in der die kommentarspämmer sich so richtig austoben. Diese grafik kommt aus „unser täglich spam“. Dort hat die „antispam bee“ in den letzten fünf tagen nur einen idjotenkommentar durchgelassen, den ich von hand löschen musste, und es gab keine einzige fehlerkennung eines richtigen kommentars. Wenn ich das mit den ganz besonderen „freuden“ vergleiche, die ich hier bei wordpress.com immer wieder mit akismet, dem bösen kommentarfresser habe, der mich zurzeit jeden tag ein paarmal auf löschen klicken lässt… und auch immer wieder einmal auf „hey, du idjotensoftwäjhr, das war keine spämm“, dann schneidet die biene im moment, in einer wahren spamflut, deutlich besser ab.

Eine neue leiste und alte schmerzen

Und ganz plötzlich hat man hier bei WordPress.com eine neue leiste über den seiten, wenn man angemeldet ist.

Sah die rechte seite dieser leiste vormals so aus (das „Dashboard“ ist im plural, weil ich hier mehrere blogs habe):

was ja schon recht nützlich war, so wird man jetzt — wenn man einen gravatar an seine mäjhladresse gebunden hat — jedesmal daran erinnert…

…wie man selbst aussieht. Das ist unglaublich praktisch, wenn man mal gerade keinen spiegel zur hand hat, allerdings ist das bild als hilfe bei der rasur oder beim kämmen zu klein und bei weitem nicht aktuell genug.

Diese kleinigkeit in der neuen steuerleiste ist also völlig sinnentleert, ist nur etwas zucker für die augen — als ob wördpress in den aktuellen versjonen damit gegeizt hätte! Etwas nutzbringender könnte da sein, was neuerdings auf der rechten seite der gleichen leiste prangt:

Da bleibt nur zu hoffen, dass die globale suche über alle blogs bei WordPress.com etwas brauchbarer programmiert ist als die suche in einem einzelnen blog. Wenn man einen einzelnen blog nämlich nach „rabe“ durchsucht, findet man neben „kolkrabe“ (zufällig mal gut!) auch „rabenschrey“, „graben“ oder „brabeck“ (mies!) und damit so ziemlich jeden beitrag, in dem diese vier buchstaben vorkommen. Dabei müssen diese vier buchstaben noch nicht einmal sichtbar sein, es reicht auch, wenn sie im dateipfad eines einbetteten fotos oder in einem link vorkommen (ganz ganz mies!). Und was bei dieser mies gemachten suche gefunden wird, das wird nicht etwa irgendwie nach relevanz oder verlinkung oder kommentarzahl oder beliebtheit oder einem anderen für den suchenden menschen nützlichen kriterjum sortiert, sondern schlicht kronologisch absteigend (unbrauchbar!). Damit diese „suchfunkzjon“, die offenbar keine „findfunkzjon“ sein soll, wirklich völlig nutzlos bleibt, gibt es keine möglichkeit einer verfeinerten suche mit zusätzlichen kriterien wie einem zeitlichen bereich, einer blog-kategorie oder zusätzlichen angaben.

Ich habe mich schon mehr als einmal darin wiedergefunden, dass ich einen eigenen beitrag in einem wördpress-blog mit guhgell gesucht habe. Das kann doch nicht der sinn einer internen suchfunkzjon sein! Es ist einfach nur schlecht.

Meiner meinung nach wären die wördpress-entwickler gut beraten, wenn sie sich einmal gedanken um die grundfunkzjonen eines blogs und ihren nutzen für autoren und leser machten, statt immer nur funkzjonen hinzuzufügen, die nur von einer minderheit gebraucht oder gewünscht werden und genausogut in ein plackinn gepasst hätten. Was nützt mir eine komplette versjonsgeschichte eines alten artikels, wenn ich diesen kaum wieder auffinden kann.

Aber nein, man wird stattdessen von den entwicklern nach „media features“ für die näxte versjon von wördpress gefragt… 😦

Testeintrag

Dies ist nur ein testeintrag, ich plage mich gerade mit dem plackinn „ScribeFire“ für den bloatfox herum. Dabei will ich natürlich auch sehen, ob das hochladen von bildern klappt…

Technik, die funkzjoniert, kann so schön sein…

Wichtiger Nachtrag: Das plackinn ist grundsätzlich benutzbar, wenn es auch ein paar fröhliche javascript-fehlermeldungen beim veröffentlichen anzeigt. Aber ich werde es dennoch nicht benutzen, da es die folgende kleine hinzufügung…

<div class="zemanta-pixie">
<img class="zemanta-pixie-img"
src="http://img.zemanta.com/pixy.gif?x-id=24783458-63b5-83e1-adcf-16d064ce5ab2"
alt="" /></div>

…einfach und ungefragt an den blogeintrag dranklatscht. Es handelt sich um eine unsichtbare GIF-grafik, über die auf dem oben in der URL sichtbaren sörver die über „ScribeFire“ gemachten einträge geträckt werden, und dass einem so etwas einfach zusammen mit einer eindeutigen ID untergemogelt werden soll, finde ich schon ein bisschen frech.

Von daher ist meine empfehlung an andere: finger weg davon! Auch, wenn sich hinter einem solchen mechanismus nur die unendliche gier nach immer mehr statistik verbirgt, das stille unterjubeln einer versteckten träcking-funkzjon ist untragbar. Mir reichen die Schäubles dieser welt, da brauche ich nicht auch noch so einen mutmaßlich kommerziell orientierten träcker. Auch andere kann ich davor nur warnen.

Ende der mitteilung.