DSGVO des tages

Ein vielgenutztes DSGVO-Plugin für WordPress hat eine schwere Sicherheitslücke

[…] beispielsweise das unerlaubte Erstellen von Admin-Konten […]

😯

Na, ist das nicht toll, wenn man konform zur DSGVO sein will und deshalb über eine sicherheitslücke jedem asozjalen im internetze das vollständige abgreifen aller eingesammelten daten ermöglicht. Aber hej, jetzt müsst ihr, wenn ihr einen solches admin-konto bei euch findet, jedem potenzjell betroffenen nutzer eurer wördpress-seits eine unterrichtung zustellen, dass seine daten möglicherweise in den händen von kriminellen sind. Da freut sich jeder drüber.

Leute! Diese ganze DSGVO ist viel einfacher, wenn ihr auf den ganzen drittkwellenscheiß (einschließlich akismet) verzichtet. Dann braucht ihr auch keine hokuspokus-addons für eurer zum einfachen CMS aufgeblasenes blogsystem, sondern eine einfache und kurze datenschutzerklärung, die ansagt, was gespeichert wird (logdatei, kommentare) und wo ein nutzer die auskunft über seine daten anfordern kann, wenn er das möchte. Und datenschützender ist es auch. Es gibt nämlich nur einen funkzjonierenden datenschutz, und der besteht darin, dass man gar nicht erst daten sammelt und rausschleudert. Alles andere führt über kurz oder lang direkt in die hölle.

Wördpress und ehemaliges fachmagazin des tages

4 Millionen WordPress-Seiten mit WooCommerce-Plug-in von Übernahme gefährdet

Hui, vier milljonen lemminge halten wördpress für eine gute grundlage für einen onleinschopp?!

Prof. dr. Offensichtlich hat in der redakzjon des ehemaligen fachmagazins mal wieder sonderschichten eingelegt und rausgekriegt, dass man sich überlegen sollte, wem man ein login an wördpress gestattet — und heise in seiner gier nach clickbait konnte diese erkenntnis gar nicht alarmierend genug verlautbaren (und mit reklameversuchen umgeben). Klar, wenn so eine webseit einen schopp-mänätscher hat, der kriminell ist, dann kann sie kriminell übernommen werden, wenns mal ein geeignetes sicherheitsloch gibt. Niemand hätte das jemals ahnen können!

Wördpress-addon „classic editor“…

Und wieder einmal installiere ich addons nicht, um die funkzjonen von wördpress zu erweitern (was der eigentliche zweck einer addon-schnittstelle ist), sondern um die aktuellen beglückungsideen der wördpress-entwickler abzulehnen.

Wenn ich noch einmal ein neues, selbstgehostetes blog anfange, dann schreibe ich die softwäjhr wieder selbst, so wie damals. Da kommt dann wenigstens kein absurd aufgeblähtes moppelchen bei raus.

Da wäxt zusammen, was zusammen gehört

Evil meikrosoft hat wordpress (punkt) com für 7,95 US-dollar gekauft.

Zurzeit wird diese nachricht weder auf den webseits von automattic, noch bei wordpress (punkt) com noch auf der meikrosoft-webseit bestätigt, deshalb halte ich es für fäjhknjuhs und würde es bestensfalls als ein gerücht oder eine gute satire betrachten. Eine gute satire? Ja. Da wüxe schon sehr gut passend zusammen, was seit langem zueinander strebt: unfassbar aufgeplusterte blähware als lösung für das eigentlich sehr einfache problem einer kronologisch sortierten liste von veröffentlichungen und meikrosoft, der seit jahrzehnten bewährte anbieter überkomplexer lösungen für eingentlich sehr einfache probleme¹. 😀

Leider wirds unter der meikrosoft-fuchtel hier bei wordpress (punkt) com schnell vorbei sein mit dem relativ freien sich-ausdrücken-können.

Mich macht gerade jemand von der seite an, dass so eine tabellenkalkulazjon ja kaum einfacher zu machen wäre und eine hochkomplexe anwendung ist. Nun, ich wills mal so sagen: wir hatten damals, als meikrosoft noch keine gaga-blähware mit jährlich neu erfundener benutzerführung gemacht hat, multiplan, und es war eine großartige arbeitserleichterung… die unter CP/M in weniger als 64 kibibyte RAM gepasst hat. Beinahe alles, was mit einer heutigen desktop-tabellenkalkulazjon gerechnet wird, hätte man auch in multiplan rechnen können.

Nutzt hier jemand wördpress?

Eine Schwachstelle im WordPress-Code ermöglicht autorisierten Angreifern unter bestimmten Umständen das Löschen beliebiger Dateien aus der Ferne […] Handelt es sich dabei beispielsweise um die WordPress-Datei wp-config.php, verliert WordPress den Zugang zur eigenen Datenbank und der Installationsprozess wird beim nächsten Aufruf der Seite geladen. Der Angreifer könnte anschließend eigene Admin-Zugangsdaten setzen und letztlich beliebigen Code auf dem Server starten

Seht ihr, das ist der grund dafür, warum die PHP-dateien von wördpress niemals mit den rechten des websörvers schreibbar sein sollten. Das gilt natürlich auch für die konfigurazjon. Dafür hat man ein berechtigungssystem. Es muss einfach nur benutzt werden. Der einzige ordner, in dem wördpress schreibrechte benötigt, ist der ordner wp-content, denn dort landen hochgeladene dateien, plugins, themes und ein eventueller cache. Wer richtig paranoid ist, legt im wp-content/uploads-verzeichnis noch eine .htaccess mit folgendem inhalt an…

php_flag engine off
AddType text/plain .html .htm .shtml .php .php3 .phtml .phtm .pl .py .cgi

…so dass niemand dort (zum beispiel über eine der immer wieder entdeckten sicherheitslücken) kohd hochladen und ausführen kann.

Wer davon überfordert ist, mit chmod die rechte zu vergeben (oder sie beim hochladen über FTP oder SFTP klicke-di-klick mit einer klickesoftwäjhr zu setzen), sollte besser gar nicht erst über ein selbstgehostetes wördpress nachdenken. Und natürlich muss die wp-config.php, wenn sie von wördpress generiert wurde, hinterher auch neu gesetzte rechte bekommen und sollte nicht dem websörver gehören. Es ist übrigens wirklich nicht schwierig, diese datei selbst in einem texteditor zu erstellen, und ich habe das immer so gemacht. Dann hat man nach dem hochladen nur einen schritt für die absicherung im dateisystem… und ein bisschen faul war ich auch schon immer. 😉

Wördpress des tages

Benutzt hier jemand das WP-plaggin „captcha“ — dann aber schnell die neue versjon installieren:

Das WordPress-Plugin Captcha hatte eine Backdoor eingebaut, über die Betrüger auf WordPress-Seiten zugreifen können

Ich würde ja keinen kohd mehr nutzen, in dem die entwickler vorsätzlich eine hintertür reingebaut haben. Und bei der gelegenheit sollte man gleich mal schauen, was noch so verbaut wurde:

Simplywordpress wechselte im September den Besitzer – Namen wurden dabei nicht bekannt gegeben. Wer wirklich dahinter steckt, ist bis heute unklar. WordFence ist jedoch während den Recherchen eigenen Angaben zufolge immer wieder auf den Namen einer Person gestoßen, die in der Vergangenheit WordPress-Plugins aufgekauft hat, um mit diesen Backlinks auf Nutzer-Webseiten zu platzieren

Es ist übrigens eine gute idee, nur so wenig zusätzlichen kohd wie möglich in wördpress zu benutzen. Wördpress selbst ist ja schon so eine sache (zwar hat sich die kohdkwalität dort in den letzten jahren verbessert, aber die entscheidungen von früher wirken heute noch fort und sie waren oft ein bisschen unbedacht), aber wer sich mal richtig gruseln will, der muss sich den kohd von ein paar plaggins anschauen. Hier das, was ich empfehle: antispam bee, classic smilies (aber nur, wenn man die „emojis“ nicht haben will), google XML sitemaps, intypo, limit login attempts, WP super cache und, wenn man deutsch bloggt, WP-cleanumlauts2. Dann hat man allerdings auch keine effektheischerei drin… wer seine leser lieber mit effekten als mit inhalten abholen will, lebt halt unsicher.

Und nein: die bewertung hat keine aussagekraft, spämmer können sie leicht manipulieren und normale nutzer können hintertüren nicht erkennen. „Captcha“ hatte viereinhalb von fünf sternchen und war hunderttausendfach installiert.

Wördpress des tages

Dieses wördpress meint schon seit ein paar tagen, dass ich mir eine aktualisierung installieren soll, weil…

Bildschirmfoto aus dem adminbereich von wördpress (hier aus dem spämmblog). Es gibt laut menü eine aktualisierung, die ich installieren soll. Ich benutze die aktuelle versjon von wördpress, alle meine erweiterungen sind auf dem aktuellen stand und alle meine deseins sind auf dem aktuellen stand.

…bei mir alles auf dem aktuellen stand ist. 😀

Ach, apropos spämmblog! Das spielkind, das da gerade wie ein tollwütiger berserker wörterbuchmäßig passwörter für einen login ausprobiert, kann sich von mir sagen lassen, dass es nicht ganz so einfach ist. Mein tipp: mach dir einfach selbst ein blog auf, dann brauchste nicht meins zu pwnen! 😉

Schlangenöl des tages

Heute mal ein leckeres schlangenöl für das beliebte möchtegern-CMS und blogsystem „wordpress“:

Wer auf seiner WordPress-Webseite das Plugin X-WP-SPAM-SHIELD-PRO installiert hat, sollte dieses schleunigst deinstallieren: Das Fake-Sicherheits-Plugin ist Malware und richtet unter anderem einen Fernzugriff für die Drahtzieher des Zusatzmoduls ein

Übrigens: der tipp, nur erweiterungen aus der offizjellen kwelle zu installieren, bringt auch nicht so viel — denn es ist nicht davon auszugehen, dass da jemand alle neuen versjonen und fixes ausführlich durchschaut, bevor sie zum daunlohd angeboten und über den update-mechanismus verteilt werden. Es gibt viele wege, schadkohd so in PHP zu verstecken, dass er bei einem einfachen skänn nicht gefunden wird. Allerdings ist davon auszugehen, dass dort platzierte schadsoftwäjhr schnell entdeckt würde.

Was vermutlich immer noch eine sehr schlechte idee ist: eine guhgell-suche nach funkzjonserweiterungen oder dieseins für wördpress

Wördpress des tages

Benutzt hier jemand wördpress mit dem addon „WP statistics“?

A SQL Injection vulnerability has been discovered in one of the most popular WordPress plugins, installed on over 300,000 websites, which could be exploited by hackers to steal databases and possibly hijack the affected sites remotely

Ihr habt ja hoffentlich alle halbwegs aktuelle bäckups von euren wördpress-installazjonen und den datenbanken, wenns mal ganz übel kommt… und ihr guckt hoffentlich ab und an mal nach, ob ihr damit wirklich eure webseit wiederherstellen könnt. 😉

WördPress des tages

Wisst ja, dieses wördpress ist so unsicher, das wird ja so oft gehäckt…

Ich durfte in den letzten Wochen knapp ein dutzend Installationen aktualisieren, auf denen WordPress und die Plugins seit mehr als vier Jahren (!) nicht mehr aktualisiert wurden und das ist nur deswegen zu Stande gekommen, weil die Hoster jetzt nach und nach auf aktuellere PHP-Versionen umsteigen

*grusel!*

Wördpress des tages

Wer mich schon etwas länger kennt, weiß ja, dass ich das bäckend von wördpress so wenig mag, dass ich mir lieber ein skript geschrieben habe, mit dem ich ein wördpress-blog über die API befüllen kann. Der irgendwann verbaute WYSIWYG-editor war mir schon immer zuwider, und selbst die einfache textarea ist zusammen mit dem ganzen javascript-kram im bäckend nicht wirklich eine freude. Klar, zur not geht das alles (ich kann ja leider auch nicht überall meine skriptchen laufen lassen), aber wirklich damit herumschlagen will ich mich nicht. Außerdem geht mir HTML wirklich leicht von der hand. (Ist ja auch nicht so schwierig.)

Aber jetzt gibts mal etwas neues von wördpress. Offenbar soll der WYSIWYG-editor neu erfunden werden. Dieser prototyp sieht aus, als wäre er für die meisten menschen gar nicht so eine schlechte idee — wenn sie dann irgendwann die ganze funkzjonalität finden, die in einer etwas eigenwilligen benutzerführung präsentiert wird. Der jetzige WYSIWYG-editor von wördpress ist in jedem fall eine gewaxene müllhalde, mit ganz komischen brüchen, wenn man inhalte aus der mediatek einbauen will. Das dingens einmal gut geplant neu zu machen, ist also ein vernünftiger vorsatz. Aber wie ich die wördpress-entwickler kenne, wird das ergebnis ein träges, zähflüssiges etwas werden, das mit meinen arbeitsrechnern schlicht unbenutzbar ist. (Bei wordpress.com ist es jetzt schon so übel, dass der „verbesserte editor“ eine viertelminute zum inizjalisieren braucht und auch dann noch manchmal ein paar sekunden später während des tippens den cürsor wild rumspringen lässt, was für einen schnelltipper, der mal eben einen kleinen fehler korrigieren will, ein krampf im arsch ist.)

Trotzdem, ein leises lob gibts von mir allein deshalb, weil diesmal nicht wie sonst so oft ein scheinproblem gelöst wird. Ich glaube zwar nach wie vor, dass eine vernünftige desktop-anwendung eine bessere (und leichter handhabbare) idee als die fette, in javascript realisierte „anwendung im brauser“ wäre und dass so ein webbrauser doch eine unangemessen „bloatige“ laufzeitumgebung für kohd ist, aber jede zeit hat ihre wirre mode, die allerlei menschen komisches zeug tun lässt. Die momentane mode sind halt „anwendungen im brauser“. Dieser bullschitt ist so weit gediehen, dass die brauser immer weiter trivialisiert und immer weniger als anwendung benutzbar werden, damit die darin laufende „anwendung“ nicht mit einer zweiten benutzerschnittstellenschicht überlagert wird. Ich bin mal gespannt, wie lange es noch dauert, bis die knöpfe zum vor- und rückblättern in den brausern weggemacht werden… 😦

Wördpress des tages

Achtung, hier kommt ein ganzer korb voller frischer schlampigkeiten in wördpress-plugins.

Benutzt hier jemand wördpress und hat da ein paar plugins drinnen? Zum beispiel analytics stats counter, admin custom login (gleich mit zwei sicherheitslöchern), trust form, WP-filebase download manager, WP-spamfree, file manager, global content blocks, gwolle guestbook, newstatpress, wordpress download manager, magic fields 1, google analytics dashboard, alpine photo tile for instagram, wordpress adminer, user login log, contact form manager oder contact form?

Alle mit ausbeutbaren, teilweise fürchterlichen XSS-lücken. Also los, aktualisiert mal! Am besten, ihr aktualisiert schnell. Und wenn das nicht geht, schaltet wenigstens die verdammten plugins ab, die hier erwähnt wurden! Oder wollt ihr ein gekräcktes blog haben, das irgendwelchen idjoten zur verteilung von schadsoftwäjhr dient, für die ihr dann juristisch verantwortlich gemacht werdet?

Wördpress des tages

Benutzt jemand oder jefrud wördpress zusammen mit dem wördpress-addon easy table, weil er oder sie das an sich sehr einfache (aber tippintensive) auszeichnen von tabellen in HTML zu umständlich findet? Nun, ich will es mal so sagen: es ist mit diesem nicht ganz so gründlich geproggten plugin von der schwierigkeit her kinderkram für leicht fortgeschrittene kinder, auf dem sörver beliebigen kohd auszuführen oder an die anmeldedaten ranzukommen. Und das weiß jetzt jeder. Also deaktiviert das ding mal ganz schnell, bis der fehler gefixt ist!

Goldener facepalm des tages

Was es nicht alles für tolle addons für wördpress gibt:

Davon sind aber ausschließlich verwundbare WordPress-Versionen bedroht, auf denen ein PHP-Plugin zum Einsatz kommt, das PHP-Code in Kommentaren zulässt

Kannste dir gar nicht selbst ausdenken, sowas!

Wozu, zu heftig hackenden henker, wozu braucht man etwas, was jedem horst aus dem internetz die möglichkeit gibt, programmkohd zu schreiben, der auf anderer leute sörver ausgeführt wird?! Wer ist so gnadenlos kopfentkernt und installiert sich ein derartiges scheunentor in seine webseit? Und was denkt der sich dabei in seinem zuckenden rückenmark?

Ach, ich verstehe: die welt ist reif. Sie will gepflückt werden.

„Cloud“ des tages (zusammen mit wördpress)

Na, macht hier jemand seine bäckups vom wördpress-blog in die amazon-„cloud“ und automatisiert diesen prozess mit dem wördpress-plugin „blogvault“? Tja, da sind ein paar daten abgeregnet, und einige blogs, bei denen das so gemacht wurde, sind schon längst gepwnt und verteilen jetzt schadsoftwäjhr…

Hej, und was machen so viele daten beim entwickler eines plugins? Ach, ist ja „cloud“. Ist also das benutzen der kompjuter anderer leute. Das macht man jetzt so. Das ist voll gut. Hat der onkel reklameheini und sein hässlicher bruder jornalist gesagt. Na, dann macht es mal weiter so, ihr idjoten!

Wördpress des tages

Na, habt ihr alle brav eurer wördpress geupdäjhtet? Wenn nicht, habt ihr spätestens jetzt jeden verdammten grund, es so schnell wie möglich zu tun:

Der wördpress-pätsch der letzten woche hat einen zu diesem zeitpunkt in der öffentlichkeit unbekannten zero-day-fehler behoben, der jedem häcker über das internet die bearbeitung oder löschung von seiten in wördpress ermöglicht

Hl. scheiße!

Spätestens, nachdem diese geschichte draußen ist, könnt ihr euch darauf verlassen, dass jedes häckkind ein auge auf die unterschiede zwischen den versjonen wirft und versucht, den fehler zu verstehen und mit einer testinstallazjon der vorherigen versjon nachzuvollziehen.

Und glaubt es mir einfach: die vorstellung, mit einem kleinen häckchen beliebige inhalte auf zigmilljonen webseits veröffentlichen zu können, ist für kriminelle arschlöcher unwiderstehlich attraktiv. Für schadsoftwäjhr (wie etwa erpressungstrojaner), die über eure blogs ausgeliefert wird, werdet im zweifelsfall ihr als betreiber juristisch verantwortlich gemacht (was auch eine zivilrechtliche haftung für den angerichteten schaden begründen kann). Und wer nicht spätestens jetzt die aktuelle versjon aufspielt und mit dieser dummen verweigerung hoch fahrlässig handelt, wird völlig zu recht dafür verantwortlich gemacht!

Los, ran an die aktualisierung!

(Wenn schon jemand betroffen ist: es hat ja hoffentlich jeder bäckups rumliegen, oder?! Oh, nicht? Na, das ist aber auch ein bisschen dumm…)

Heise des tages

Wie nennt heise onlein das, wenn eine andere softwäjhr als… sagen wir mal: fläsch… wegen akuter sicherheitsprobleme eine neue versjon kriegt? Richtig, heise onlein nennt das so:

WordPress 4.7.2 steigert die Sicherheit

Oh, wie schön! 😀

Was für eine überschrift gesetzt worden wäre, wenn es sich um eine sicherheitsaktualisierung für fläsch gehandelt hätte, könnt ihr euch hoffentlich selbst vorstellen. So funkzjoniert der tägliche hirnfick durch eure feinde, die jornalisten.

Und das noch nicht einmal auf grundlage von schleichwerbegeldern, sondern nur, weil fläsch nicht auf den kompromat-eifons läuft, die die presse immer so lieb von äppel geschenkt kriegt.

Übrigens: eine wahrheitspresse ist es nicth.