Heise des tages

Wie nennt heise onlein das, wenn eine andere softwäjhr als… sagen wir mal: fläsch… wegen akuter sicherheitsprobleme eine neue versjon kriegt? Richtig, heise onlein nennt das so:

WordPress 4.7.2 steigert die Sicherheit

Oh, wie schön! 😀

Was für eine überschrift gesetzt worden wäre, wenn es sich um eine sicherheitsaktualisierung für fläsch gehandelt hätte, könnt ihr euch hoffentlich selbst vorstellen. So funkzjoniert der tägliche hirnfick durch eure feinde, die jornalisten.

Und das noch nicht einmal auf grundlage von schleichwerbegeldern, sondern nur, weil fläsch nicht auf den kompromat-eifons läuft, die die presse immer so lieb von äppel geschenkt kriegt.

Übrigens: eine wahrheitspresse ist es nicth.

WordPress des tages

Angreifer hätten demzufolge theoretisch ein Viertel aller Webseiten auf einen Streich übernehmen können

Übrigens: so etwas wie eine automatische aktualisierung gehört immer abgeschaltet! Die paar klicks, um das von hand anzustoßen (oder in meinem fall: die kleine SSH-sitzung mit dem websörver und die paar klicks, in vielen anderen fällen: der kleine FTP oder besser SFTP-uplohd und die paar klicks) sind nicht so eine hohe hürde, dass man davor noch ein treppchen zum leichteren drüberhüpfen aufbauen muss. Da kenne ich ganz andere softwäjhrzicken als wördpress…

WördPress des tages

WordPress*in 4.7 kommt *kotz!*

Ich wünsche den leuten, die solche ideen durchdrücken, dass sie blind werden und sich ihre eigenen papiergeborenen schriftsprachlichen konstrukzjonen von einem kompjuter vorlesen lassen müssen, um darin zu navigieren. (Und wer jetzt trollen mag und meint, dass meine hier gepflegte rechte gutschreibung ein ähnliches problem habe: hat sie nicht, weil ich sie vorsätzlich sehr fonetisch entworfen habe. In vielen fällen ist das ergebnis einer sprachausgabe durch eine softwäjhr sogar besser als bei der dudenrechtschreibung. Wer einen feierfox hat, hat ja sprachausgabe und kann einfach mal den vergleich machen. Erst einen text aus diesem rotzeblog verlesen lassen, und dann einen text eines typischen genderpolitbüros. Kostet nix außer ein paar minuten lebenszeit. Manchmal sollen sich ja auch die augen öffnen, wenn man hört…)

Zum glück braucht man die deutsche übelsetzung nicht, wenn man englisch kann — und zum glück kommt das englische ohne ein grammatikalisches geschlecht aus, so dass es niemals zu derart absurden schreibweisen kommen wird, wenn sich p’litische ambizjon eine rechtschreibung sucht.

Prof. dr. Offensichtlich

Prof. dr. Offensichtlich ist kurz ins SEO-gewerbe gegangen und hat da bei einer kurzen untersuchung zum erstaunen des gesamten bekannten universums rausgekriegt, dass eine fette, moppelige softwäjhr wie dieses wördpress vor allem ganz schön träge ist. Schon kacke, wenn man dann von guhgell abgestraft wird, weil die webseit halt so kriecht. Die welt wird nach dieser erkenntnis des forschen forschers niemals mehr die gleiche sein!

(Offenlegung: ich habe so etwas ähnliches schon vor rd. acht jahren von mir gegeben, und man hat mich für einen spinner gehalten, als ich die auffassung vertrat, dass wördpress auf einen kern runtergedampft werden sollte, der so klein wie möglich ist und dass etliche jetzige standardfunkzjonalitäten in opzjonale, aber zusammen mit dem kern gepflegte plugins ausgelagert werden sollten. Seitdem hat sich nix verbessert. Ich gucke mir gar nicht mehr an, wie viele queries bei einem seitenaufruf abgesetzt werden und mülle die festplatte der sörver mit einem riesigen cache zu, der nicht nötig wäre, wenn wördpress nicht so kriechen würde. Wördpress ist ein system, das nicht dafür gebaut wurde, dass eine webseit auch leser hat.)

Wördpress des tages

Wer sein wördpress gerade klicki-klicki-is-ja-einfach auf die aktuelle versjon 4.6 gebracht hat, hat bei einigen webhostern, die ihr PHP aus gutem grund sehr restriktiv konfigurieren eine fehlermeldung Warning: ini_get_all() has been disabled for security reasons, die ganz nebenbei auch noch den dateipfad der wördpress-installazjon auf dem sörverrechner vor der ganzen welt offenlegt.

Aber hej, wördpress-anwender, das kleine fehlerchen müsst ihr verstehen. Samuel Wood erklärt euch auch, warum:

Ahh. Yeah, that’s something of a problem.

A call to ini_get_all() was added to WordPress 4.6. There’s really no option not to call it

Versteht ihr?! Müsst ihr verstehen! Das ist alternativlos! Das sagt euch ein entwickler! Ein heiliger! Ein priester! Das ist eine eminenzbasierte wahrheit! Es geht nicht ohne diesen funkzjonsaufruf, der zu solchen problemen bei sehr sicherheitsbewussten hostern führen kann. Vergesst einfach, dass wördpress 4.5 ohne auskam, und glaubt ganz fest an die alternativlosigkeit der entscheidungen der wördpress-entwickler! (Dass man da einfach einen klammeraffen hätte vorsetzen können, so dass wenigstens keine fehlermeldung auf dem bildschirm ausgegeben wird, ist scheinbar nicht jedem entwickler dort bewusst.)

Eine kurze erste hilfe in deutscher sprache gibts beim websupporter. Wer ein richtiges eigenes sörverchen hat, weiß sicherlich schon, wie man die php.ini bearbeitet, um das problem ohne editieren der wördpress-kwelltexte zu beheben. Und wer nicht, frisst halt ein bisschen scheiße… 😦

Und jetzt, nachdem ihr das endlich fehlerfrei zum laufen gebracht habt, freut euch endlich über die neue wördpress-versjon! Da sind auch ganz tolle sachen dran gemacht worden. Erstmal ist alles in AJAX verpackt worden, damit es sich schneller „anfühlt“. Und dann gibt es noch ein ganz besonderes „neues“ leistungsmerkmal:

Die im ersten Moment wohl auffälligste Änderung ist das Entfernen der Schriftart Open Sans als Backend-Font. Stattdessen wird nun auf systemeigene Schriftarten gesetzt, wodurch die Performance verbessert wird und sich das Schriftbild besser in das genutzte System einfügt.

Ja, richtig: wördpress verzichtet jetzt darauf, zusätzlich zu den eh schon etlichen megabyte blähmasse auch noch seine eigene schriftart mitzubringen, so dass ganz einfach (und wie fast überall sonst) die standardschriftart des brausers verwendet wird. Das geht übrigens wirklich schneller. Warum nicht gleich so? Hätte nix gekostet und mühe gespart? Wäre nett gegenüber allen menschen mit volumentarifen gewesen? Ähhhh… 😦

Ach!

Auch weiterhin viel spaß mit wördpress! Wir hatten alle viel zu lange ruhe und es gab viel zu viele versjonen, die man aufgespielt hat und die funkzjoniert haben, da darf man sich doch nicht dran gewöhnen… :mrgreen:

Wördpress-security-großalarm des tages

Benutzt hier jemand wördpress mit dem „all in one SEO pack“? Warum? Etwa, weil da das zauberwort SEO drinsteht und ihr glaubt, dass es so hokus pokus mühelos mehr seitenbesucher gibt, die ihr mit reklamezumutungen in geld verwandeln könnt?

Ach, das ist ja gar nicht mein tema. 😉

Benutzt hier jemand wördpress mit dem „all in one SEO pack“? Das sollen ja doch so ein paar milljönchen nutzer sein…

Und schon die neue versjon installiert?

Wenn nicht, dann ist es jedem honk aus dem internet möglich, an euer blog eine HTTP-anfrage zu senden, die dazu führt, dass irgendwann später bei euch im blog irgendwelches völlig beliebiges javascript von diesem honk ausgeführt wird. Damit kann man dann… nur so ein beispiel… euer zugangstoken abschnorcheln, rausfunken und die gesamte webseit nach herzenslust pwnen. Und ihr dürft dann eine datensicherung zurückspielen (falls ihr überhaupt eine datensicherung habt) und eventuell wochen- bis monatelang mit der wenig vorteilhaften reputazjon leben, schadsoftwäjhr zu verteilen, spämm zu senden oder phishing-seiten zu hosten. Und dann hilft auch alles SEO nicht mehr, wenn ihr auf jeder blacklist steht…

Also, macht schnell einen updäjht von dem ding, denn die kriminellen schlafen nicht und der angriff darauf ist kinderleicht!

Und vielleicht solltet ihr bei dieser gelegenheit mal drüber nachdenken, ob ihr die ganzen plugins für euer wördpress wirklich braucht… denn jede erhöhung der komplexität einer installazjon ist das gegenteil von sicherheit.

Auch weiterhin frohes glauben an bekwemes security-schlangenöl!

The Bulletproof Security plugin for WordPress [sic!] is prone to a multiple cross-site scripting vulnerabilities because it fails to sufficiently sanitize user-supplied input.

An attacker may leverage this issues to execute arbitrary script code in the browser of an unsuspecting user in the context of the affected site. This may allow the attacker to steal cookie-based authentication credentials and to launch other attacks.

Ohne weitere worte!

Security des tages

Könnt ihr euch noch daran erinnern, wie neulich die webseit von linux mint gekräckt wurde und wie dort ein linux mit vorinstallierter schadsoftwäjhr zum daunlohd hingelegt wurde?

Nun, inzwischen ist etwas klarer, wie es dazu kommen konnte: mit wordpress natürlich, dem lieblings-CMS der kräcker und kriminellen.

Und nicht nur das:

Zwar haben die Betreiber der Webseite wohl die neueste WordPress-Version ohne verwundbare Plug-ins im Einsatz gehabt, aber ein selbst angepasstes Theme und eine „laxe Rechtevergabe“ hätten wohl zu der Lücke geführt

Die betreiber der webseit einer großen linuxdistribuzjon — da müsst ihr jetzt alle andächtig murmeln: „linux ist sicherer als windohs“ — haben sich als richtige spezjalexperten erwiesen. Mit der „laxen rechtevergabe“ sind nämlich vermutlich die rechte im dateisystem des webservers gemeint. Leute, die es auf ihrem serverrechner nicht hinbekommen, so viel wie möglich für den webserver nur lesbar zu machen und dafür zu sorgen, dass der webserver in schreibbaren verzeichnissen keine möglicherweise irgendwie hochgeladenen CGI- oder PHP-skriptchen ausführen kann, kennen sich bestimmt so richtig pralle toll mit security aus!

Klar ist wordpress ein biest, das keineswegs einfach so zu installieren ist, dass angreifer vor ihrem erfolg entmutigt werden. Aber die webseit eines linux-distributors ist ja auch kein blog eines gartenzwergzuchtvereines aus hinterndorf im dunkeln.

Da wünsche ich auch allen gläubigen und blinden weiterhin viel spaß dabei, linux mint zu benutzen und sich „sicher“ zu fühlen, weil linux nun einmal „sicher“ ist, denn sonst würde das ja nicht jeder sagen, dass linux „sicher“ ist… und ansonsten ist es bekwem und hübsch und mausklick und dabei noch „sicher“, weil jeder sagt, dass es „sicher“ ist… :mrgreen:

Kein betrübssystem — auch ein einigermaßen gutes nicht — ist ein ersatz für ein funkzjonierendes, aktiv und lernbereit benutztes gehirn!

„Mit linux wär das nicht passiert“ des tages

Erstmals hat es ein Erpressungs-Trojaner im großen Stil auf Webserver abgesehen: Die Ransomware CTB-Locker befällt Websites und verschlüsselt alle Dateien, die sie finden kann. Anschließend erscheint beim Aufruf der Site nur noch der Erpresserbrief, welcher den Admin zur Überweisung von Bitcoins auffordert. Hunderte Web-Präsenzen sind dem Krypto-Trojaner bereits zum Opfer gefallen

Wenn ich heise glauben darf, erwischt es diesmal häufig „wordpress“. Tja, liebe webseitbetreiber, das ist eigentlich eine gute gelegenheit, mal ganz schnell eine aktuelle versjon aufzuspielen und sich ernsthafte gedanken über eine angemessene datensicherungsstrategie zu machen.

Unbestätigten gerüchten aus völlig uninformierten kreisen zufolge soll noch heute nachmittag der heise-onlein-kommentar linux-webserver sind ein sicherheitsalbtraum vom spezjalexperten „fab“ veröffentlicht werden. 😀

Wördpress des tages

„Hej“, haben sich die wördpress-entwickler vor nicht so langer zeit gesagt, „bringen wir wördpress doch mal den oembed-standard bei, damit artikel-vorschauen von wördpress-blogeinträgen automatisch in S/M-seits eingebettet werden können“. Und so wurde oembed bestandteil der aktuellen wördpress-versjon 4.4.

Aber es handelt sich um wördpress, und das bedeutet, dass ein hässlicher und ärgerlicher fehler gleich mitgekohdet wurde.

Immerhin wird der fehler mit der wördpress-versjon 4.5 behoben sein. Das ist gut.

Wördpress des tages

Nachtrag: der fix ist draußen, also los! Er hat bei mir kein einziges problem gemacht, außer die probleme, die WP 4.2 sowieso schon macht. (Aber der emoji-müll ist wenigstens kein sicherheitsproblem.)

In der aktuellen versjon 4.2 (und auch in den vorherigen versjonen) von wördpress ist eine interessante XSS-lücke: es ist möglich, durch verfassen eines überlangen kommentares javascript im blog abzusetzen, das ausgeführt wird, wenn dieser kommentar angeschaut wird. Ja, es reicht dafür völlig, einen kommentar zu schreiben. Und ja, damit kann das blog pwnen, wenn der kommentar von jemanden angeschaut wird, der gerade an wördpress angemeldet ist.

Die lücke ist übel, weil sie relativ leicht auszunutzen ist. Demnächst heißt es also wieder: fix installieren!

(Mann, wie mich die ganze javascript-kacke immer ankotzt!)

Guhgell des tages

Was herauskommen kann, wenn man sich auf kostenlose dienste von guhgell verlässt, erlebt gerade der entwickler des wördpress-plugins „antispam bee“, Sergej Müller. [Der link geht zu guhgell doppelplusgut. Skript- und träckingalarm! Hier ist ein bildschirmfoto.] Wenn er weiterhin die funktion anbieten will, die sprache eines blogkommentares über guhgells APIs zu ermitteln, kostet das fortan 20 dollar für jeweils eine milljon zeichen. Angesichts der gut 800 spämmkommentare, die ich jeden verdammten tag im spämmblog kriege und die oft eine erstaunliche länge (im durchschnitt deutlich über 2000 zeichen, für einen einblick in den täglichen strom der scheiße habe ich mal ein kleines bildschirmfoto gemacht) bei vernichtend wenig inhalt haben, ist das ein ganz ordentliches kostenrisiko für einen entwickler, der nicht einmal geld damit verdient.

Aber hej, was interessieren guhgell schon spämmfreie webseits, wenn man doch auch geld machen kann…

Ich wünsche euch auch weiterhin viel spaß dabei, kostenlos angebotene dienste zu nutzen!

Security des tages

Der MD5-häsch des installazjonszeitpunktes ist ein ziemlich schlechter schlüssel für eine wördpress-erweiterung, vor allem, wenn damit über SQL-injekzjon das pwnen des blogs möglich ist.

Hej, leute: schreiben eure websörver keine logdateien? Wisst ihr nicht, dass es freie und bewährte progrämmchen gibt, um logdateien auszuwerten? Wozu braucht ihr solche stat-dinger in einem fetten und damit anfälligen blogsystem, die nicht nur das dingens unsicher machen können, sondern außerdem auch noch die last auf der MySQL-datenbank erhöhen?

Ach!

Wördpress-sicherheitsproblem des tages

In wördpress-blogs in versjonen unter 4 kann ein kommentator javascript-kohd einbetten, der nur für den admin im dashboard sichtbar wird. Damit lässt sich eine menge anstellen… wer also noch eine ältere versjon verwendet, sollte genau jetzt das loch stopfen! 😦

(Übrigens ist auch gerade ein wördpress 4.0.1 veröffentlicht worden. Neben einigen „esoterischen“ fixes sind da drei XXS-angriffsmöglichkeiten gefixt worden, das sieht so aus, als hätten sich da gerade leute den kohd noch einmal sehr genau angeschaut. Auch hier sollte gar nicht lange nachgedacht werden.)

Nachtrag: Ich habe eben acht blogs aktualisiert, und das gepätschte wördpress macht bei mir keinerlei probleme. 😉

Effektiv, zuverlässig, einfach zu nutzen

Wie gut, dass es so tolle sicherheitssoftwäre wie das wördpress-addon „WordPress BulletProof Security“ gibt. Einfach installieren, einmal klick klick durchkonfigurieren und gut, so das versprechen. Und da draußen laufen massenhaft leute rum, die an solche versprechungen glauben. Die werden sich demnächst vielleicht über den möglichen XSS-angriff, die SQL-injection und die möglichkeit, den websörver für abfragen externer datenbanken zu „benutzen“ freuen.

Aber jetzt die gute nachricht für nutzer: die fehler sind in der aktuellen versjon gefixt. Und das aktualisieren geht ja klick klick, also los! Eine gewisse skepsis gegen das versprechen einfach zu erzielender sörversicherheit zu entwickeln, wäre aber auch angebracht.