WP Security Problem

, ,

Anscheinend gibt es beim Einsatz von WordPress laut von Dr. Dave eine Sicherheitslücke, sofern man es erlaubt, dass sich fremde User selbstständig innerhalb von WordPress registrieren. Deswegen gibt es hier den Lesebefehl für alle betroffenen Administratoren – und bitte weitersagen! Ob etwas wahres dran ist, kann ich jedenfalls zur Zeit nicht beurteilen.

Nachtrag: Ein wichtiges Randdetail ist mir im Moment aufgefallen: Dr. Dave setzt WordPress 1.5.3-beta1 für sein Blog ein. Kann es also sein, dass es sich um den Fehler von vor ein paar Wochen handelt, der mit WordPress 2.0.3 behoben wurde?

Nachtrag 2: Tja… ich glaube mittlerweile wirklich, dass es schon durch das Update auf WP 2.0.3 behoben wurde. Und ja ich war gestern zu müde um richtig zu lesen – natürlich ist SK2 davon nicht betroffen, sondern WordPress selbst. Los, treibt die Sau durch’s Dorf zum Verspeisen auf dem Marktplatz! ;)

/von

Flimmerkram

Diesen Nachmittag leidete ich unter Kopfschmerzen und einem leichten Übelkeitsgefühl. Einerseits hatte ich heute morgen schon aufgrund der heißen Nacht ein wenig Druck im Hinterkopf gespürt, doch als ich gegen Mittag am Rechner saß, nahmen die schon abgeklungenen Schmerzen zu. Dazu kam das flaue Gefühl im Bauch. Irgendwann vor 30 Minuten habe ich mich hingelegt, da diese doch unschöne Situation mir zu viel wurde. Nun habe ich den Rechner wieder angeworfen und mir fiel förmlich der Geistesblitz ein: Der Monitor flackerte!

Der Grund für meine körperlichen Einbußen ist also einfach enttarnt worden, dass ein Fehler bei Windows durch ein Programm im „Vollbild“ Modus die Grafikeinstellungen verhauen hatte. Mit 60 Hertz brachte es mir nur einen Dickschädel – jetzt habe ich es wieder geändert und der Kopfschmerz ist von dannen. Super. Mein Dank gilt speziell an alle Hersteller von Software, die unter Microsoft Windows XP läuft. Danke!

/von

Bionade für Flensburg

Wir haben uns gestern eine neue Kiste von Bionade aus dem Citti-Park geholt. Hier bei uns in Flensburg gibt es die leckeren Erfrischungsgetränke noch, aber in Berlin sind sie nahezu ausverkauft. Die kleinen Bierflaschen Bionadeflaschen schlagen derzeit mit 0,59 Euro inkl. Pfand die Runde, aber besser als wenn wir gleich 2 Euro in einem Lokal dafür ausgeben. Mittlerweile trinken wir mindestens eine Bionade pro Tag anstelle des üblichen Mineralwassers. Sie schmeckt subjektiv gemessen auch tausendmal besser als eine Saftschorle… schon ein teurer Spaß, aber wenn wir die bummeligen 15 Euro pro Kasten im Lokal auf den Kopf hauen würden, wären wir auch nicht so gut gelaunt! ;)

/von

Erneuter DoS für Basicthinking!?

,

Wie bereits vor einigen Wochen ist das Blog von Robert Basic, seit geraumer Zeit nicht erreichbar. Weiß jemand aus der Blogosphäre bescheid? Hat Robert wieder einen Idioten im Nacken sitzen, der ihn mit DoS oder einer serverzusammenbrechenden Spam-Flut zumüllt? Ich habe keine Ahnung, aber es fällt mir doch vehement seit mindestens Montag, wenn nicht gar schon seit Sonntag auf, dass die Basicthinking-Domain und entsprechend dazugehörige weitere Domains von Robert nicht erreichbar sind.

/von

Macnews – Macnemo

Das stinkt aber schon nach Fisch… das sagt man normalerweise, wenn man alte Sachen neu auf(be)wertet und ganz toll verkaufen möchte. Was passiert, wenn man seine Stammleser vor halbfertige, aber noch nicht veröffentlichte Tatsachen in Bezug auf a) Layoutänderungen, b) technische Veränderungen, c) strukturelle Veränderungen stellt – also im Prinzip ein kompletten Relaunch vollführt? Richtig, der User akzeptiert es und ist schlussendlich davon begeistert, die neue Umgebung zu nutzen.

Doch in dem Fall von Macnews sieht es ganz anders aus: Indem der Administrator eine neue Version des alten und hochgradig beliebten Forums anbietet, riecht es eher nach User-Verarschung. Auch der Ton in der Diskussion ist scharf und kritisch, aber auch konstruktiv gehalten. Eigentlich ist das genau so, wie man eine Diskussion sehen möchte – doch anscheinend ist es dem Administrator recht egal, was dort passiert. Folglich sind die Stammleser und Stammuser dieser großen Community rund um den Mac wenig begeistert davon, was mit ihrer geliebten Community passieren soll. Veränderungen sind gut, oder sie sind schlecht, und oftmals passiert auch etwas ganz unvorhergesehenes: Die Community wandert ab zu Macnemo… und binnen eines Tages sind schon 723 Postings in 116 Threads mit derzeit 138 registrierten Usern.

Das ist die neue, verkannte und ungeballte Marktmacht des Users. Wehe den Unternehmen, die dieses Potential als unwichtig einschätzen… denn durch den Wegfall der Community ist bestimmt das eine oder andere Werbebanner nicht mehr angeklickt.

/von

Sommerstimmung

Es ist seltsam ruhig um uns herum geworden. In unserer sonst so belebten Strasse geht kaum etwas vor sich, es ist vergleichsweise ruhig und erstaunlicherweise gibt es ausnahmsweise eine Reihe freier Parkplätze vor unserem Haus. Da werden wohl die Sommerferien mit dran Schuld sein. Desweiteren haben auch wir wieder weitesgehend unsere Ruhe, da zumindest das Gerüst vor unserem Haus verschwunden ist.

Tja, neben den Sommerferien wird sich wohl ein Großteil der Menschen auch am Strand die Sonne auf den „Pelz“ brennen lassen. Sobald Mike von seiner letzten Klausur für diese Woche wiederkommt, steht bei uns ebenso der Strand auf dem Plan. Irgendwann muss man ja mal anfangen an der Sonnenbräune zu arbeiten. Und so ein Tag „Urlaub“ tut dem psychischen Wohlbefinden mal ganz gut bevor es weitergeht. Aber nächte Woche Freitag sind auch wir endlich durch mit all unseren Klausuren bevor wir dann erstmal richtig Urlaub machen werden :)

Da bleibt einem bei dieser Hitze nur noch eins zu sagen: nichts anbrennen lassen, wenn man die Sonne genießt. So und jetzt packe ich die Strandsachen zusammen…

/von

Ein Blog Stöckchen

Es ist Sommer. Die deutschsprachige Blogosphäre hat nichts anderes zu tun, als sich gegenseitig ein paar Stöckchen zuzuschmeissen. Dieses hier kommt von Robert über Don – ach was solls, schaun wir doch mal was da sich so alles ergibt!

Warum bloggst du?
Das weiß ich auch nicht mehr. Nein quatsch, es hat alles damit angefangen, dass ich natürlich meine eigene (alte) Homepage mit einem Content-Management-System gestalten wollte. Es ging mir einfach auf die Nerven, immerwährend neues HTML mit alten Formatvorlagen zu kredenzen. Daher kam ich in den Genuß des Blogs als CMS, der Rest ist im Archiv auffindbar…

Seit wann bloggst du?
Irgendwann seit 2002 wie eben erwähnt auf der eigenen Homepage, 2003 mit einem echten Blog, und 2004 mit WordPress glaube ich.

Selbstporträt?
Was das bringt weiß ich auch nicht, ich bin kein guter Zeichner. Aber das Bild im „Über Uns“ Bereich zeugt von meinem Äußeren.

Warum lesen deine Leser deinen Blog?
Sensationslust. Nur das kommt für mich in Frage! ;) Aber warum jemand Weblogs lesen tut, bleibt einem immer selbst überlassen. Diejenigen, die auch hier ein paar Kommentare hinterlassen, die machen se sicherlich an dem Inhalt, an meiner Schreibweise, mir selbst oder vielleicht an unseren Bildern aus?

Welche war die letzte Suchanfrage, über die jemand auf deine Seite kam?
Das war soeben „bild.t-online blog“! ;)

Welcher deiner Blogeinträge bekam zu Unrecht zu wenig Aufmerksamkeit?
Jeder Eintrag, der keinen „echten“ Kommentar (also kein Spam) hat.

Dein aktueller Lieblings-Blog?
Ich lese über 300 Weblogs bzw. RSS Feeds täglich. Da kann man keine Nummer 1 draus machen, zumal es allen anderen Autoren auch unfair wäre, soetwas als Wertung zu machen. Einfach meine Blogroll als Referenz dafür nehmen…

Welchen Blog hast du zuletzt gelesen?
Nicht viele zur Zeit, da ich im Klausurenstress bin… meinen eigenen von Lounge Mix?

Wie viele Feeds hast du gerade im Moment abonniert?
Ach ja, es sind am Wochenende etwas mehr als 300 gewesen, siehe oben!

An welche vier Blogs wirfst du das Stöckchen weiter und warum?
1. Sam, weil es mich doch irgendwie interessiert, was er so alles mit diesen Fragen in Verbindung setzt. ID = 122 Passwort = 4a2efa014d
2. OliverG, damit ich noch mehr spannendes über ihn in Erfahrung bringen kann. ID = 122 Passwort = feb3fd4ce1
3. BloggingTom, damit mal ein bisschen wieder die Schweiz bei dem ganzen Spektakel integriert wird. ID = 122 Passwort = be1d608adb
4. Herrn Exit, weil es einfach passt! ID = 122 Passwort = d474be4b07

Und wer das Stöckchen nicht haben will? Na der kann es mir ja wiedergeben und ich werfe es einfach woanderhin… und wichtig dabei ist, dass ihr die Stöckchen bei Annahme auch verbucht: Der Stöckchen-Tracker gibt eine Übersicht, und bitte hier anmelden.

/von

Battlestar Galactica Season 3

Hier gibt es ein paar interessante Informationen für jeden Fan der Neuauflage von Battlestar Galactica. Diese Serie übertrifft meine Erwartungen an eine SciFi Show um ein Vielfaches, und was auf der Convention gesagt wurde – am besten selbst mit ein paar Spoilern ansehen bei the mrbrown show.

/von

Preisfestlegung beim Webdesign

Ich musste ein wenig schmunzeln, als ich in einer Diskussion zwischen zwei Webdesignern folgendes zu Gesicht bekam. Ich darf bestimmt kopieren, ohne die Quellen namentlich zu nennen… es ist ja auch nur ein längeres amüsantes Zitat:

A: Die Erstellung einer Webseite mit 8 – 10 Unterseitenseiten und einigen Grafiken lag hier bei 800 – 1200 Euro netto.

B: kommt ein Kunde ins Autohaus und fragt: Was kostet eigentlich ein Auto?
Händler: zwei oder vier Türen?
Kunde: vier
Händler: dann wären es 12.000 Euro
Kunde: und mit zwei?
Händler: dann sind’s nur 6000

A: Nun zu meiner Frage was ist hier der angemessene Stundensatz? Bzw. der angemessene Preis für eine Webseite ca. 25 – 30 Unterseiten

B: Wie schon oben angedeutet, richtet sich der Preis in der Regel nach der Leistung. So wie ich den Preis des Autos nicht an der Zahl der Türen festmachen kann, sind andere Dinge relevant

Ich finde es einfach köstlich, dass einige Menschen immer noch den Leistungsumfang von Designarbeiten anhand einzelner Seiten bemessen. Was mache ich mit einem Blog, wo von heute auf morgen ohne das Zutun des Webdesigners eine Vielzahl von einzelnen Seiten erstellt werden können?

/von

Spam Karma 2 Problem (Mit Antwort)

,

Ich hatte ja schon ein paar Vermutungen in der Vergangenheit geäußert, dass ich auf so einigen Blogs aus irgendwelchen Gründen in der Moderationsschleife mit meinen Kommentaren lande. Oder sogar durch irgendwelche widrigen Umstände als Spam gewertet werde.

Hier ist ein Beispiel dafür vom CW Notizblog, wie ich in deren Spam Karma 2 auftauchte (siehe Bild).

Daraufhin habe ich mich prompt mit einer E-Mail an den lieben Dr. Dave gewendet, der ja auch das SK2 konzipiert hat. Die Commenter Granularity fiel mir ja bisher auch nicht so positiv auf – hier bei uns im Blog und in allen von mir betreuten Blogs ist der Wert von mir bisher immer deaktiviert worden.


Dear Dr. Dave,

in the past I noticed that some of my comments are getting blocked by wordpress sites which use either akismet or sk2 or a combination of both.

However, this is a screenshot from one wordpress source which has a small misconfiguration in its sk2 settings. I believe the IP address is caught from the server-network itself since I know that my IP is usually being sent correctly.

Furthermore, while thinking of my own server, I noticed that the originally positive effects of using commenter granularity rather enabled spammers to use my domain/url or the url of other regular (and legal) commenters to receive a higher (positive) karma. Whenever they’ve been including my own domain/url or the ones of legal (and real) commenters, they were granted a supreme bonus from the granularity plugin. In order to fight them, I turned it off and can only advise you to either rethink the idea of using the granularity for benefits or simply disable it from the start in the initial settings – and only leave the option to enable it for advanced users.

What do you think?

Best regards
Mike Schnoor

Ich bin gespannt, wann und vor allen Dingen wie er antworten wird.

Nachtrag: Hier ist seine Antwort!

As for IP, there sometimes are issues due to the way PHP works across servers (many, many different configurations, resulting in sometimes inaccurate IPs and unfortunately little way to work around this without also offering backdoors to spammers).

You are right that as it is, granularity could theoretically be exploited by spammers… much as nearly every other blacklisting system. There’s practically no way to prevent spammers from poisoning a blacklist or assuming the identity of somebody else… However, you need to take in account that all this spam is automated and very generic: spammers do not tailor their spams for one single site, as would be required in order to use your URL when spamming your blog… Furthermore, granularity gives different weights to each parameter (IP, URL, email, positive, negative…), depending on their reliability and importance. The latest beta (http://www.wp-plugins.net/sk2/sk23_beta.zip) has brought some improvements too. And you can now add any domain you do *not* want used by either blacklists or granularity checks as a „greylist“ entry. For example, adding your own domain there will ensure no spammer can benefit from it.

Overall, I have some plans for major improvements over the way granularity (and a few other plugins) work… but unfortunately SK2 is only a side-hobby and I can only devote limited time to it, so this is progressing slowly… At any rate, I recommend checking the SK2 newsfeed (automatically displayed in your SK2 admin page) every once in a while for update notices.

Naja, immerhin ist jetzt das Problem einerseits dem Autoren von SK2 bewußt, andererseits hat er leider auch keine echte Abhilfe für den Fall, dass man als regulärer Kommentator recht häufig „geahndet“ wird. Mal sehen, wie es sich weiter entwickelt…

/von