Bloggen ist kompliziert geworden…

…und Henning Uhle zeigt uns mal kurz, was passiert, wenn man von dieser ganzen komplexität überwältigt nicht mehr für menschliche leser schreibt, sondern für algoritmen von suchmaschinen.

Das ist eben nicht mehr nur eine Blog-Plattform. Es ist eben ein verdammtes Content Management System. An mancher Stelle ist WordPress einfach mal kaputt optimiert worden. Ja, es funktioniert alles. Und mittlerweile haben sie auch die meisten Plugins, die amok gelaufen sind, eliminiert. Aber bei dem Gedanken, einfach was ins Internet zu werfen, wie man das früher gemacht hat, ist WordPress zu groß.

Jetzt ist es so, dass du immer im Hinterkopf hast, dass das SEO-Plugin grün werden muss […]

Ich kann das problem nicht so richtig nachvollziehen, und ich benutze schon seit ewigkeiten dieses komplexitätsmonster wördpress. Bei mir sieht das verfassen eines neuen textes allerdings auch so aus:

Bildschirmfoto eines editors, in dem ich meinen text in HTML schreibe

Von den jeweiligen editor-beglückungsideen in wördpress habe ich mich schon lange abgewendet. Ich finde generell die idee der „anwendung im webbrauser“ ziemlich schlecht und hätte es besser gefunden, wenn es einen sehr kleinen wördpress-kern mit ganz wenig funzjonalität gegeben hätte, den man mit ein paar mitgelieferten und von der kernmannschaft mitgepflegten äddons auf den jeweils gewünschten funkzjonsumfang erweitern kann. Wenn man schon so äddon-schnittstelle kohdet! Stattdessen habe ich heute ein in PHP geschriebenes softwäjhr-monster, bei dem ich immer wieder die äddon-schnittstelle nutze, um unerwünschte, aber in den kern verbaute funkzjonalität abzustellen. Diesen beschissenen neuen editor zum beispiel, der auf meinem arbeitsrechner so lange zum inizjalisieren braucht, dass ich darüber vergessen würde, was ich eigentlich schreiben wollte, wenn ich dieses scheißdingens aus der javascript-energieverschwenderhölle benutzte. Man sollte die entwickler dazu nötigen, ihren auswurf mal auf einem nicht ganz aktuellen rechner zu testen, damit sie den leuten gnade angedeihen lassen, die sich nicht alle zwei jahre einen neuen kompjuter kaufen.

Stattdessen ist XMLRPC wunderbar. Die hätten einfach eine ganz normale anwendung zur verwaltung der webseit machen können. So für leute, denen es nicht ganz so leicht fällt, ein bisschen HTML zu tippen und sich ein skript zu basteln, mit dem man den text bloggen kann. Haben sie aber nicht.

Und irgendwelche nervigen SEO-schlangenöle brauche ich nicht. Ich schreibe für menschen, nicht für maschinen. Ich habe niemals den wunsch gehabt, irgendwelche preise der alfabloggeria abzustauben und massenhaft gelesen zu werden. Ich mache das alles immer noch so wie früher:

Früher (TM) war es so, dass man seine Gedanken zu Erlebtem, Gelesenem und wozu auch immer in den Blog schrieb. Es war das Teilen von Erfahrungen, das Mitteilen von Gedanken, der Austausch mit anderen

Erfreulicherweise geht das noch. Nur diese ganzen blogs im früheren, eigentlichen sinn des wortes sind mangelware geworden, stattdessen machen sie alle S/M¹. „Weil man da viel mehr reichweite hat“ oder so ähnlich. Wenn sie ein eigenes blog haben, dient es nur zur nachäffung des unseriösen jornalistischen klickbäjht-geschäftes. Und in der tat, wördpress ist mit jeder versjon ein bisschen unbenutzbarer geworden, und ich habe schon öfter den tag verwünscht, an dem ich das genommen habe. Wie viel spaß eine migrazjon auf ein anderes system macht, habe ich ein paar mal ausprobiert. Es macht keinen spaß. Es macht so wenig spaß, dass ich es niemals angegangen bin. Spätestens, wenn man sich dabei erwischt, SQL-dumps mit sed zu bearbeiten, um ein paar problemchen zu beheben, verliert man die lust, wenn es nicht unbedingt sein muss.

Benutzt hier jemand wördpress?

Angreifer könnten sich wohl persistent mit einer XSS-Attacke auf einer WordPress-Website verewigen. Dabei wird in der Regel Schadcode auf einem Server gespeichert und beim Besuch der Seite ausgeliefert. In zwei anderen Fällen klingt es so, als könnten Angreifer eigene SQL-Befehle ausführen

Weia! Spielt mal schnell den fix ein!

Wördpress des tages

Aufgrund von zwei Sicherheitslücken im WordPress-Plug-in Gutenberg Template Library & Redux Framework sind unzählige Websites verwundbar. Nach erfolgreichen Attacken könnten Angreifer etwa mit Schadcode versehene Plug-ins installieren oder Posts löschen. Der offiziellen WordPress-Plug-in-Website zufolge weist die Software über eine Million aktive Installationen auf

Hej, was kann schon schiefgehen, wenn jeder mensch dazu ermächtigt wird, beliebigen kohd auf dem websörver auszuführen?! Also aktualisiert mal ganz schnell eurer WP-reinstecksel, wenn ihr diesen müll benutzt!

Wördpress des tages

Benutzt hier jemand für seine webseit wördpress mit dem äddon contact form 7? Nix wie hinne, aktualisiert so schnell ihr könnt!

Angreifer könnten Schadcode auf Millionen WordPress-Websites hochladen

Aufgrund eines Fehlers im Upload-Mechanismus könnten Angreifer beliebige mit Schadcode verseuchte Dateien hochladen […] eine Web-Shell-Schnittstelle für den Fernzugriff auf Servern platzieren und eigene Befehle ausführen. Durch erfolgreiche Attacken könnten sie die volle Kontrolle über Seiten erlangen

Und ich dachte, ich wäre der einzige…

…der von den aktuellen wördpress-beglückungsideen mal wieder destruktive fantasien kriegt. Aber nein, mitnichten bin ich der einzige:

Hass, Hass, Hass!
Warum, liebes WordPress, machst du so etwas? Warum nimmst du mir eine ganz klassische und einfach zu bedienende Leiste mit anklickbaren Punkten, die immer verfügbar und an der gleichen Stelle ist und auf der man sich intuitiv zurechtfindest und tauschst sie gegen „Blocks“ aus. Sind eure Programmierer gekidnappt worden und das ist ihr verzweifelter Hilferuf?

Wer sein wördpress selbst hostet: classic editor schafft abhilfe. In anderer softwäjhr benutzt man eine erweiterungsschnittstelle, um die funkzjonen zu erweitern, aber das ist wördpress. Da wird jeder nur denkbare scheiß direkt in den kern gefrickelt. Da braucht man äddons, um unerwünschte beglückungsideen der entwickler wieder abzustellen, scheißegal, ob es dabei noch speicherhungriger und lahmer wird. Wer bei wordpress punkt com ist, hat diese möglichkeit leider nicht und muss hoffen, dass bei den entwicklern irgendwann mal wieder ein gehirn wäxt.

Dass programmierer in größeren projekten immer nach einiger zeit zu dieser wahnidee tendieren, die weltherrschaft durch kohd erreichen zu können!

„Äppel ist evil“ des tages

Scheißäppel erklärt euch jetzt mal allen ganz genau, warum Freie softwäjhr und irgendwelche geschlossenen vertriebssysteme irgendwelcher smartscheiß-unternehmen überhaupt nicht zusammenpassen. Ich hoffe, ihr hört den digitalen gutsherren mit ihrer schutzgelderpressung gut zu… und rennt vor ihnen weg, bevor sie noch bedeutsamer werden. Am besten, ihr rennt vor allem diesen digitalen gutsherren weg, auch vor guhgell, fratzenbuch, meikrosoft und so weiter!

Das sind nämlich arschlöcher.

Wördpress 5.5

Wördpress 5.5 kommt jetzt mit „lazy loading“ von bildern daher, also mit bildern, die erst nachgeladen werden, wenn sie auch im dargestellten ausschnitt der seite sichtbar sind. Es hat jahre der entwicklungsarbeit gebraucht, im IMG-tägg das entsprechende attribut einzufügen. Böse zungen würden allerdings angesichts der spürbaren behäbigkeit des mönsterchens sagen, dass es doch schon immer mit dem funkzjonsmerkmal des „lazy loading“ daherkam. :mrgreen:

So lange die leute irgendwelche sinnlos aufgeblähten dieseins verwenden, wird das allerdings nicht so viel nützen…

Benutzt hier jemand wördpress?

Über werbebanner verteilte schadsoftwäjhr kann, wenn ihr an eurem wördpress-blog mit administrativen rechten angemeldet seid, einen neuen benutzer „wpservices“ einrichten, dem weitgehende rechte gegeben werden und der irgendwelchen kriminellen jeden beliebigen missbrauch eures blogs oder eurer webseit ermöglicht [link geht auf einen englischsprachigen text].

Und wisst ihr, was dagegen schützt? Nicht schlangenöl, sondern wirksame adblocker, die jede werbung wegblocken und damit die ausführung des schadkohds an der wurzel verhindern. Das beste daran: die machen auch das web viel angenehmer und schneller. Also installiert euch einen wirksamen adblocker und schaltet den niemals, niemals, niemals wieder ab, egal, was euch irgendwelche scheißjornalisten erzählen! 😉

Guhgell des tages

Ihr benutzt wördpress? Guhgell will es euch jetzt so richtig einfach machen, eure webseit in eine träcking- und überwachungswanze von guhgell zu verwandeln. Müsst ihr unbedingt einbauen! Es gibt auch klickegroschen aus guhgells reklamemonetarisierung! Und die statistiken von guhgell anal-lüg-fix direkt im wördpress-cockpit. Hej, und vor allem geld, versteht ihr, GELD! Dafür hättet ihr doch sogar bei der scheiß-STASI angefangen…

DSGVO des tages

Ein vielgenutztes DSGVO-Plugin für WordPress hat eine schwere Sicherheitslücke

[…] beispielsweise das unerlaubte Erstellen von Admin-Konten […]

😯

Na, ist das nicht toll, wenn man konform zur DSGVO sein will und deshalb über eine sicherheitslücke jedem asozjalen im internetze das vollständige abgreifen aller eingesammelten daten ermöglicht. Aber hej, jetzt müsst ihr, wenn ihr einen solches admin-konto bei euch findet, jedem potenzjell betroffenen nutzer eurer wördpress-seits eine unterrichtung zustellen, dass seine daten möglicherweise in den händen von kriminellen sind. Da freut sich jeder drüber.

Leute! Diese ganze DSGVO ist viel einfacher, wenn ihr auf den ganzen drittkwellenscheiß (einschließlich akismet) verzichtet. Dann braucht ihr auch keine hokuspokus-addons für eurer zum einfachen CMS aufgeblasenes blogsystem, sondern eine einfache und kurze datenschutzerklärung, die ansagt, was gespeichert wird (logdatei, kommentare) und wo ein nutzer die auskunft über seine daten anfordern kann, wenn er das möchte. Und datenschützender ist es auch. Es gibt nämlich nur einen funkzjonierenden datenschutz, und der besteht darin, dass man gar nicht erst daten sammelt und rausschleudert. Alles andere führt über kurz oder lang direkt in die hölle.

Wördpress und ehemaliges fachmagazin des tages

4 Millionen WordPress-Seiten mit WooCommerce-Plug-in von Übernahme gefährdet

Hui, vier milljonen lemminge halten wördpress für eine gute grundlage für einen onleinschopp?!

Prof. dr. Offensichtlich hat in der redakzjon des ehemaligen fachmagazins mal wieder sonderschichten eingelegt und rausgekriegt, dass man sich überlegen sollte, wem man ein login an wördpress gestattet — und heise in seiner gier nach clickbait konnte diese erkenntnis gar nicht alarmierend genug verlautbaren (und mit reklameversuchen umgeben). Klar, wenn so eine webseit einen schopp-mänätscher hat, der kriminell ist, dann kann sie kriminell übernommen werden, wenns mal ein geeignetes sicherheitsloch gibt. Niemand hätte das jemals ahnen können!

Wördpress-addon „classic editor“…

Und wieder einmal installiere ich addons nicht, um die funkzjonen von wördpress zu erweitern (was der eigentliche zweck einer addon-schnittstelle ist), sondern um die aktuellen beglückungsideen der wördpress-entwickler abzulehnen.

Wenn ich noch einmal ein neues, selbstgehostetes blog anfange, dann schreibe ich die softwäjhr wieder selbst, so wie damals. Da kommt dann wenigstens kein absurd aufgeblähtes moppelchen bei raus.

Da wäxt zusammen, was zusammen gehört

Evil meikrosoft hat wordpress (punkt) com für 7,95 US-dollar gekauft.

Zurzeit wird diese nachricht weder auf den webseits von automattic, noch bei wordpress (punkt) com noch auf der meikrosoft-webseit bestätigt, deshalb halte ich es für fäjhknjuhs und würde es bestensfalls als ein gerücht oder eine gute satire betrachten. Eine gute satire? Ja. Da wüxe schon sehr gut passend zusammen, was seit langem zueinander strebt: unfassbar aufgeplusterte blähware als lösung für das eigentlich sehr einfache problem einer kronologisch sortierten liste von veröffentlichungen und meikrosoft, der seit jahrzehnten bewährte anbieter überkomplexer lösungen für eingentlich sehr einfache probleme¹. 😀

Leider wirds unter der meikrosoft-fuchtel hier bei wordpress (punkt) com schnell vorbei sein mit dem relativ freien sich-ausdrücken-können.

Mich macht gerade jemand von der seite an, dass so eine tabellenkalkulazjon ja kaum einfacher zu machen wäre und eine hochkomplexe anwendung ist. Nun, ich wills mal so sagen: wir hatten damals, als meikrosoft noch keine gaga-blähware mit jährlich neu erfundener benutzerführung gemacht hat, multiplan, und es war eine großartige arbeitserleichterung… die unter CP/M in weniger als 64 kibibyte RAM gepasst hat. Beinahe alles, was mit einer heutigen desktop-tabellenkalkulazjon gerechnet wird, hätte man auch in multiplan rechnen können.

Nutzt hier jemand wördpress?

Eine Schwachstelle im WordPress-Code ermöglicht autorisierten Angreifern unter bestimmten Umständen das Löschen beliebiger Dateien aus der Ferne […] Handelt es sich dabei beispielsweise um die WordPress-Datei wp-config.php, verliert WordPress den Zugang zur eigenen Datenbank und der Installationsprozess wird beim nächsten Aufruf der Seite geladen. Der Angreifer könnte anschließend eigene Admin-Zugangsdaten setzen und letztlich beliebigen Code auf dem Server starten

Seht ihr, das ist der grund dafür, warum die PHP-dateien von wördpress niemals mit den rechten des websörvers schreibbar sein sollten. Das gilt natürlich auch für die konfigurazjon. Dafür hat man ein berechtigungssystem. Es muss einfach nur benutzt werden. Der einzige ordner, in dem wördpress schreibrechte benötigt, ist der ordner wp-content, denn dort landen hochgeladene dateien, plugins, themes und ein eventueller cache. Wer richtig paranoid ist, legt im wp-content/uploads-verzeichnis noch eine .htaccess mit folgendem inhalt an…

php_flag engine off
AddType text/plain .html .htm .shtml .php .php3 .phtml .phtm .pl .py .cgi

…so dass niemand dort (zum beispiel über eine der immer wieder entdeckten sicherheitslücken) kohd hochladen und ausführen kann.

Wer davon überfordert ist, mit chmod die rechte zu vergeben (oder sie beim hochladen über FTP oder SFTP klicke-di-klick mit einer klickesoftwäjhr zu setzen), sollte besser gar nicht erst über ein selbstgehostetes wördpress nachdenken. Und natürlich muss die wp-config.php, wenn sie von wördpress generiert wurde, hinterher auch neu gesetzte rechte bekommen und sollte nicht dem websörver gehören. Es ist übrigens wirklich nicht schwierig, diese datei selbst in einem texteditor zu erstellen, und ich habe das immer so gemacht. Dann hat man nach dem hochladen nur einen schritt für die absicherung im dateisystem… und ein bisschen faul war ich auch schon immer. 😉

Wördpress des tages

Benutzt hier jemand das WP-plaggin „captcha“ — dann aber schnell die neue versjon installieren:

Das WordPress-Plugin Captcha hatte eine Backdoor eingebaut, über die Betrüger auf WordPress-Seiten zugreifen können

Ich würde ja keinen kohd mehr nutzen, in dem die entwickler vorsätzlich eine hintertür reingebaut haben. Und bei der gelegenheit sollte man gleich mal schauen, was noch so verbaut wurde:

Simplywordpress wechselte im September den Besitzer – Namen wurden dabei nicht bekannt gegeben. Wer wirklich dahinter steckt, ist bis heute unklar. WordFence ist jedoch während den Recherchen eigenen Angaben zufolge immer wieder auf den Namen einer Person gestoßen, die in der Vergangenheit WordPress-Plugins aufgekauft hat, um mit diesen Backlinks auf Nutzer-Webseiten zu platzieren

Es ist übrigens eine gute idee, nur so wenig zusätzlichen kohd wie möglich in wördpress zu benutzen. Wördpress selbst ist ja schon so eine sache (zwar hat sich die kohdkwalität dort in den letzten jahren verbessert, aber die entscheidungen von früher wirken heute noch fort und sie waren oft ein bisschen unbedacht), aber wer sich mal richtig gruseln will, der muss sich den kohd von ein paar plaggins anschauen. Hier das, was ich empfehle: antispam bee, classic smilies (aber nur, wenn man die „emojis“ nicht haben will), google XML sitemaps, intypo, limit login attempts, WP super cache und, wenn man deutsch bloggt, WP-cleanumlauts2. Dann hat man allerdings auch keine effektheischerei drin… wer seine leser lieber mit effekten als mit inhalten abholen will, lebt halt unsicher.

Und nein: die bewertung hat keine aussagekraft, spämmer können sie leicht manipulieren und normale nutzer können hintertüren nicht erkennen. „Captcha“ hatte viereinhalb von fünf sternchen und war hunderttausendfach installiert.

Wördpress des tages

Dieses wördpress meint schon seit ein paar tagen, dass ich mir eine aktualisierung installieren soll, weil…

Bildschirmfoto aus dem adminbereich von wördpress (hier aus dem spämmblog). Es gibt laut menü eine aktualisierung, die ich installieren soll. Ich benutze die aktuelle versjon von wördpress, alle meine erweiterungen sind auf dem aktuellen stand und alle meine deseins sind auf dem aktuellen stand.

…bei mir alles auf dem aktuellen stand ist. 😀

Ach, apropos spämmblog! Das spielkind, das da gerade wie ein tollwütiger berserker wörterbuchmäßig passwörter für einen login ausprobiert, kann sich von mir sagen lassen, dass es nicht ganz so einfach ist. Mein tipp: mach dir einfach selbst ein blog auf, dann brauchste nicht meins zu pwnen! 😉

Schlangenöl des tages

Heute mal ein leckeres schlangenöl für das beliebte möchtegern-CMS und blogsystem „wordpress“:

Wer auf seiner WordPress-Webseite das Plugin X-WP-SPAM-SHIELD-PRO installiert hat, sollte dieses schleunigst deinstallieren: Das Fake-Sicherheits-Plugin ist Malware und richtet unter anderem einen Fernzugriff für die Drahtzieher des Zusatzmoduls ein

Übrigens: der tipp, nur erweiterungen aus der offizjellen kwelle zu installieren, bringt auch nicht so viel — denn es ist nicht davon auszugehen, dass da jemand alle neuen versjonen und fixes ausführlich durchschaut, bevor sie zum daunlohd angeboten und über den update-mechanismus verteilt werden. Es gibt viele wege, schadkohd so in PHP zu verstecken, dass er bei einem einfachen skänn nicht gefunden wird. Allerdings ist davon auszugehen, dass dort platzierte schadsoftwäjhr schnell entdeckt würde.

Was vermutlich immer noch eine sehr schlechte idee ist: eine guhgell-suche nach funkzjonserweiterungen oder dieseins für wördpress