Wördpress des tages

Benutzt hier jemand wördpress mit dem addon „WP statistics“?

A SQL Injection vulnerability has been discovered in one of the most popular WordPress plugins, installed on over 300,000 websites, which could be exploited by hackers to steal databases and possibly hijack the affected sites remotely

Ihr habt ja hoffentlich alle halbwegs aktuelle bäckups von euren wördpress-installazjonen und den datenbanken, wenns mal ganz übel kommt… und ihr guckt hoffentlich ab und an mal nach, ob ihr damit wirklich eure webseit wiederherstellen könnt. 😉

Advertisements

WördPress des tages

Wisst ja, dieses wördpress ist so unsicher, das wird ja so oft gehäckt…

Ich durfte in den letzten Wochen knapp ein dutzend Installationen aktualisieren, auf denen WordPress und die Plugins seit mehr als vier Jahren (!) nicht mehr aktualisiert wurden und das ist nur deswegen zu Stande gekommen, weil die Hoster jetzt nach und nach auf aktuellere PHP-Versionen umsteigen

*grusel!*

Wördpress des tages

Wer mich schon etwas länger kennt, weiß ja, dass ich das bäckend von wördpress so wenig mag, dass ich mir lieber ein skript geschrieben habe, mit dem ich ein wördpress-blog über die API befüllen kann. Der irgendwann verbaute WYSIWYG-editor war mir schon immer zuwider, und selbst die einfache textarea ist zusammen mit dem ganzen javascript-kram im bäckend nicht wirklich eine freude. Klar, zur not geht das alles (ich kann ja leider auch nicht überall meine skriptchen laufen lassen), aber wirklich damit herumschlagen will ich mich nicht. Außerdem geht mir HTML wirklich leicht von der hand. (Ist ja auch nicht so schwierig.)

Aber jetzt gibts mal etwas neues von wördpress. Offenbar soll der WYSIWYG-editor neu erfunden werden. Dieser prototyp sieht aus, als wäre er für die meisten menschen gar nicht so eine schlechte idee — wenn sie dann irgendwann die ganze funkzjonalität finden, die in einer etwas eigenwilligen benutzerführung präsentiert wird. Der jetzige WYSIWYG-editor von wördpress ist in jedem fall eine gewaxene müllhalde, mit ganz komischen brüchen, wenn man inhalte aus der mediatek einbauen will. Das dingens einmal gut geplant neu zu machen, ist also ein vernünftiger vorsatz. Aber wie ich die wördpress-entwickler kenne, wird das ergebnis ein träges, zähflüssiges etwas werden, das mit meinen arbeitsrechnern schlicht unbenutzbar ist. (Bei wordpress.com ist es jetzt schon so übel, dass der „verbesserte editor“ eine viertelminute zum inizjalisieren braucht und auch dann noch manchmal ein paar sekunden später während des tippens den cürsor wild rumspringen lässt, was für einen schnelltipper, der mal eben einen kleinen fehler korrigieren will, ein krampf im arsch ist.)

Trotzdem, ein leises lob gibts von mir allein deshalb, weil diesmal nicht wie sonst so oft ein scheinproblem gelöst wird. Ich glaube zwar nach wie vor, dass eine vernünftige desktop-anwendung eine bessere (und leichter handhabbare) idee als die fette, in javascript realisierte „anwendung im brauser“ wäre und dass so ein webbrauser doch eine unangemessen „bloatige“ laufzeitumgebung für kohd ist, aber jede zeit hat ihre wirre mode, die allerlei menschen komisches zeug tun lässt. Die momentane mode sind halt „anwendungen im brauser“. Dieser bullschitt ist so weit gediehen, dass die brauser immer weiter trivialisiert und immer weniger als anwendung benutzbar werden, damit die darin laufende „anwendung“ nicht mit einer zweiten benutzerschnittstellenschicht überlagert wird. Ich bin mal gespannt, wie lange es noch dauert, bis die knöpfe zum vor- und rückblättern in den brausern weggemacht werden… 😦

Wördpress des tages

Achtung, hier kommt ein ganzer korb voller frischer schlampigkeiten in wördpress-plugins.

Benutzt hier jemand wördpress und hat da ein paar plugins drinnen? Zum beispiel analytics stats counter, admin custom login (gleich mit zwei sicherheitslöchern), trust form, WP-filebase download manager, WP-spamfree, file manager, global content blocks, gwolle guestbook, newstatpress, wordpress download manager, magic fields 1, google analytics dashboard, alpine photo tile for instagram, wordpress adminer, user login log, contact form manager oder contact form?

Alle mit ausbeutbaren, teilweise fürchterlichen XSS-lücken. Also los, aktualisiert mal! Am besten, ihr aktualisiert schnell. Und wenn das nicht geht, schaltet wenigstens die verdammten plugins ab, die hier erwähnt wurden! Oder wollt ihr ein gekräcktes blog haben, das irgendwelchen idjoten zur verteilung von schadsoftwäjhr dient, für die ihr dann juristisch verantwortlich gemacht werdet?

Wördpress des tages

Benutzt jemand oder jefrud wördpress zusammen mit dem wördpress-addon easy table, weil er oder sie das an sich sehr einfache (aber tippintensive) auszeichnen von tabellen in HTML zu umständlich findet? Nun, ich will es mal so sagen: es ist mit diesem nicht ganz so gründlich geproggten plugin von der schwierigkeit her kinderkram für leicht fortgeschrittene kinder, auf dem sörver beliebigen kohd auszuführen oder an die anmeldedaten ranzukommen. Und das weiß jetzt jeder. Also deaktiviert das ding mal ganz schnell, bis der fehler gefixt ist!

Goldener facepalm des tages

Was es nicht alles für tolle addons für wördpress gibt:

Davon sind aber ausschließlich verwundbare WordPress-Versionen bedroht, auf denen ein PHP-Plugin zum Einsatz kommt, das PHP-Code in Kommentaren zulässt

Kannste dir gar nicht selbst ausdenken, sowas!

Wozu, zu heftig hackenden henker, wozu braucht man etwas, was jedem horst aus dem internetz die möglichkeit gibt, programmkohd zu schreiben, der auf anderer leute sörver ausgeführt wird?! Wer ist so gnadenlos kopfentkernt und installiert sich ein derartiges scheunentor in seine webseit? Und was denkt der sich dabei in seinem zuckenden rückenmark?

Ach, ich verstehe: die welt ist reif. Sie will gepflückt werden.

„Cloud“ des tages (zusammen mit wördpress)

Na, macht hier jemand seine bäckups vom wördpress-blog in die amazon-„cloud“ und automatisiert diesen prozess mit dem wördpress-plugin „blogvault“? Tja, da sind ein paar daten abgeregnet, und einige blogs, bei denen das so gemacht wurde, sind schon längst gepwnt und verteilen jetzt schadsoftwäjhr…

Hej, und was machen so viele daten beim entwickler eines plugins? Ach, ist ja „cloud“. Ist also das benutzen der kompjuter anderer leute. Das macht man jetzt so. Das ist voll gut. Hat der onkel reklameheini und sein hässlicher bruder jornalist gesagt. Na, dann macht es mal weiter so, ihr idjoten!

Wördpress des tages

Na, habt ihr alle brav eurer wördpress geupdäjhtet? Wenn nicht, habt ihr spätestens jetzt jeden verdammten grund, es so schnell wie möglich zu tun:

Der wördpress-pätsch der letzten woche hat einen zu diesem zeitpunkt in der öffentlichkeit unbekannten zero-day-fehler behoben, der jedem häcker über das internet die bearbeitung oder löschung von seiten in wördpress ermöglicht

Hl. scheiße!

Spätestens, nachdem diese geschichte draußen ist, könnt ihr euch darauf verlassen, dass jedes häckkind ein auge auf die unterschiede zwischen den versjonen wirft und versucht, den fehler zu verstehen und mit einer testinstallazjon der vorherigen versjon nachzuvollziehen.

Und glaubt es mir einfach: die vorstellung, mit einem kleinen häckchen beliebige inhalte auf zigmilljonen webseits veröffentlichen zu können, ist für kriminelle arschlöcher unwiderstehlich attraktiv. Für schadsoftwäjhr (wie etwa erpressungstrojaner), die über eure blogs ausgeliefert wird, werdet im zweifelsfall ihr als betreiber juristisch verantwortlich gemacht (was auch eine zivilrechtliche haftung für den angerichteten schaden begründen kann). Und wer nicht spätestens jetzt die aktuelle versjon aufspielt und mit dieser dummen verweigerung hoch fahrlässig handelt, wird völlig zu recht dafür verantwortlich gemacht!

Los, ran an die aktualisierung!

(Wenn schon jemand betroffen ist: es hat ja hoffentlich jeder bäckups rumliegen, oder?! Oh, nicht? Na, das ist aber auch ein bisschen dumm…)

Heise des tages

Wie nennt heise onlein das, wenn eine andere softwäjhr als… sagen wir mal: fläsch… wegen akuter sicherheitsprobleme eine neue versjon kriegt? Richtig, heise onlein nennt das so:

WordPress 4.7.2 steigert die Sicherheit

Oh, wie schön! 😀

Was für eine überschrift gesetzt worden wäre, wenn es sich um eine sicherheitsaktualisierung für fläsch gehandelt hätte, könnt ihr euch hoffentlich selbst vorstellen. So funkzjoniert der tägliche hirnfick durch eure feinde, die jornalisten.

Und das noch nicht einmal auf grundlage von schleichwerbegeldern, sondern nur, weil fläsch nicht auf den kompromat-eifons läuft, die die presse immer so lieb von äppel geschenkt kriegt.

Übrigens: eine wahrheitspresse ist es nicth.

WordPress des tages

Angreifer hätten demzufolge theoretisch ein Viertel aller Webseiten auf einen Streich übernehmen können

Übrigens: so etwas wie eine automatische aktualisierung gehört immer abgeschaltet! Die paar klicks, um das von hand anzustoßen (oder in meinem fall: die kleine SSH-sitzung mit dem websörver und die paar klicks, in vielen anderen fällen: der kleine FTP oder besser SFTP-uplohd und die paar klicks) sind nicht so eine hohe hürde, dass man davor noch ein treppchen zum leichteren drüberhüpfen aufbauen muss. Da kenne ich ganz andere softwäjhrzicken als wördpress…

WördPress des tages

WordPress*in 4.7 kommt *kotz!*

Ich wünsche den leuten, die solche ideen durchdrücken, dass sie blind werden und sich ihre eigenen papiergeborenen schriftsprachlichen konstrukzjonen von einem kompjuter vorlesen lassen müssen, um darin zu navigieren. (Und wer jetzt trollen mag und meint, dass meine hier gepflegte rechte gutschreibung ein ähnliches problem habe: hat sie nicht, weil ich sie vorsätzlich sehr fonetisch entworfen habe. In vielen fällen ist das ergebnis einer sprachausgabe durch eine softwäjhr sogar besser als bei der dudenrechtschreibung. Wer einen feierfox hat, hat ja sprachausgabe und kann einfach mal den vergleich machen. Erst einen text aus diesem rotzeblog verlesen lassen, und dann einen text eines typischen genderpolitbüros. Kostet nix außer ein paar minuten lebenszeit. Manchmal sollen sich ja auch die augen öffnen, wenn man hört…)

Zum glück braucht man die deutsche übelsetzung nicht, wenn man englisch kann — und zum glück kommt das englische ohne ein grammatikalisches geschlecht aus, so dass es niemals zu derart absurden schreibweisen kommen wird, wenn sich p’litische ambizjon eine rechtschreibung sucht.

Prof. dr. Offensichtlich

Prof. dr. Offensichtlich ist kurz ins SEO-gewerbe gegangen und hat da bei einer kurzen untersuchung zum erstaunen des gesamten bekannten universums rausgekriegt, dass eine fette, moppelige softwäjhr wie dieses wördpress vor allem ganz schön träge ist. Schon kacke, wenn man dann von guhgell abgestraft wird, weil die webseit halt so kriecht. Die welt wird nach dieser erkenntnis des forschen forschers niemals mehr die gleiche sein!

(Offenlegung: ich habe so etwas ähnliches schon vor rd. acht jahren von mir gegeben, und man hat mich für einen spinner gehalten, als ich die auffassung vertrat, dass wördpress auf einen kern runtergedampft werden sollte, der so klein wie möglich ist und dass etliche jetzige standardfunkzjonalitäten in opzjonale, aber zusammen mit dem kern gepflegte plugins ausgelagert werden sollten. Seitdem hat sich nix verbessert. Ich gucke mir gar nicht mehr an, wie viele queries bei einem seitenaufruf abgesetzt werden und mülle die festplatte der sörver mit einem riesigen cache zu, der nicht nötig wäre, wenn wördpress nicht so kriechen würde. Wördpress ist ein system, das nicht dafür gebaut wurde, dass eine webseit auch leser hat.)

Wördpress des tages

Wer sein wördpress gerade klicki-klicki-is-ja-einfach auf die aktuelle versjon 4.6 gebracht hat, hat bei einigen webhostern, die ihr PHP aus gutem grund sehr restriktiv konfigurieren eine fehlermeldung Warning: ini_get_all() has been disabled for security reasons, die ganz nebenbei auch noch den dateipfad der wördpress-installazjon auf dem sörverrechner vor der ganzen welt offenlegt.

Aber hej, wördpress-anwender, das kleine fehlerchen müsst ihr verstehen. Samuel Wood erklärt euch auch, warum:

Ahh. Yeah, that’s something of a problem.

A call to ini_get_all() was added to WordPress 4.6. There’s really no option not to call it

Versteht ihr?! Müsst ihr verstehen! Das ist alternativlos! Das sagt euch ein entwickler! Ein heiliger! Ein priester! Das ist eine eminenzbasierte wahrheit! Es geht nicht ohne diesen funkzjonsaufruf, der zu solchen problemen bei sehr sicherheitsbewussten hostern führen kann. Vergesst einfach, dass wördpress 4.5 ohne auskam, und glaubt ganz fest an die alternativlosigkeit der entscheidungen der wördpress-entwickler! (Dass man da einfach einen klammeraffen hätte vorsetzen können, so dass wenigstens keine fehlermeldung auf dem bildschirm ausgegeben wird, ist scheinbar nicht jedem entwickler dort bewusst.)

Eine kurze erste hilfe in deutscher sprache gibts beim websupporter. Wer ein richtiges eigenes sörverchen hat, weiß sicherlich schon, wie man die php.ini bearbeitet, um das problem ohne editieren der wördpress-kwelltexte zu beheben. Und wer nicht, frisst halt ein bisschen scheiße… 😦

Und jetzt, nachdem ihr das endlich fehlerfrei zum laufen gebracht habt, freut euch endlich über die neue wördpress-versjon! Da sind auch ganz tolle sachen dran gemacht worden. Erstmal ist alles in AJAX verpackt worden, damit es sich schneller „anfühlt“. Und dann gibt es noch ein ganz besonderes „neues“ leistungsmerkmal:

Die im ersten Moment wohl auffälligste Änderung ist das Entfernen der Schriftart Open Sans als Backend-Font. Stattdessen wird nun auf systemeigene Schriftarten gesetzt, wodurch die Performance verbessert wird und sich das Schriftbild besser in das genutzte System einfügt.

Ja, richtig: wördpress verzichtet jetzt darauf, zusätzlich zu den eh schon etlichen megabyte blähmasse auch noch seine eigene schriftart mitzubringen, so dass ganz einfach (und wie fast überall sonst) die standardschriftart des brausers verwendet wird. Das geht übrigens wirklich schneller. Warum nicht gleich so? Hätte nix gekostet und mühe gespart? Wäre nett gegenüber allen menschen mit volumentarifen gewesen? Ähhhh… 😦

Ach!

Auch weiterhin viel spaß mit wördpress! Wir hatten alle viel zu lange ruhe und es gab viel zu viele versjonen, die man aufgespielt hat und die funkzjoniert haben, da darf man sich doch nicht dran gewöhnen… :mrgreen:

Wördpress-security-großalarm des tages

Benutzt hier jemand wördpress mit dem „all in one SEO pack“? Warum? Etwa, weil da das zauberwort SEO drinsteht und ihr glaubt, dass es so hokus pokus mühelos mehr seitenbesucher gibt, die ihr mit reklamezumutungen in geld verwandeln könnt?

Ach, das ist ja gar nicht mein tema. 😉

Benutzt hier jemand wördpress mit dem „all in one SEO pack“? Das sollen ja doch so ein paar milljönchen nutzer sein…

Und schon die neue versjon installiert?

Wenn nicht, dann ist es jedem honk aus dem internet möglich, an euer blog eine HTTP-anfrage zu senden, die dazu führt, dass irgendwann später bei euch im blog irgendwelches völlig beliebiges javascript von diesem honk ausgeführt wird. Damit kann man dann… nur so ein beispiel… euer zugangstoken abschnorcheln, rausfunken und die gesamte webseit nach herzenslust pwnen. Und ihr dürft dann eine datensicherung zurückspielen (falls ihr überhaupt eine datensicherung habt) und eventuell wochen- bis monatelang mit der wenig vorteilhaften reputazjon leben, schadsoftwäjhr zu verteilen, spämm zu senden oder phishing-seiten zu hosten. Und dann hilft auch alles SEO nicht mehr, wenn ihr auf jeder blacklist steht…

Also, macht schnell einen updäjht von dem ding, denn die kriminellen schlafen nicht und der angriff darauf ist kinderleicht!

Und vielleicht solltet ihr bei dieser gelegenheit mal drüber nachdenken, ob ihr die ganzen plugins für euer wördpress wirklich braucht… denn jede erhöhung der komplexität einer installazjon ist das gegenteil von sicherheit.

Auch weiterhin frohes glauben an bekwemes security-schlangenöl!

The Bulletproof Security plugin for WordPress [sic!] is prone to a multiple cross-site scripting vulnerabilities because it fails to sufficiently sanitize user-supplied input.

An attacker may leverage this issues to execute arbitrary script code in the browser of an unsuspecting user in the context of the affected site. This may allow the attacker to steal cookie-based authentication credentials and to launch other attacks.

Ohne weitere worte!