Schlagwort-Archive: plugin

Blog-Spam: Alte Beiträge dichtmachen?

von Stefan Evertz am 24.08.06 um 0:28 Uhr |

Die regelmäßig eingehenden Spam-Kommentare und Trackbacks dürften jedes Blog früher oder später treffen – und sorgen schnell für große Freude beim Blogbetreiber, wenn man nicht Anti-Spam-Filter wie z.B. Spam Karma 2 (unknowngenius.com) einsetzt. Hier in meinem Blog trudeln täglich etwa 30-40 solcher Kommentare ein, bei anderen (bekannteren) Blogs gehen durchaus 100 Spam-Kommentare und mehr am Tag ein.

In aller Regel sind vor allem ältere Artikel von Spam-Versuchen betroffen, wobei ich hier im Blog immer häufiger beobachte, dass frisch veröffentlichte Artikel nahezu sofort zum Zielobjekt werden (siehe auch www.basicthinking.de/blog).

Mike Schnoor beschreibt nun als mögliche Gegenmaßnahme, ältere Artikel für (neue) Kommentare und Trackbacks zu sperren (siehe auch www.sichelputzer.de):

Ich glaube, das einfachste und meiner Meinung nach schönste Mittel zumindest für WordPress Blogs ist ein manuelles Update der Datenbank. Einfach mal den SQL-Query UPDATE wp_posts SET comment_status = “closed”, ping_status = “closed” where ID < 1000 eingeben, und schon hat man von mehreren duzend Spameinträgen pro Tag endlich ruhe. Anzumerken ist, dass die ID mit dem Wert unter 1000 natürlich nur als Beispiel für diejenige ID entspricht, ab der man alle alten Einträge aushebeln möchte. Und wer interessiert sich denn nun ernsthaft für das Gewäsch von vor drei Monaten, bei dem die Kommentare sowieso jedes Feuer ausgelutscht haben? 😉

Tipp: Man kann dies übrigens auch automatisch durch das Plugin „Auto Shutoff Comments“ (codex.wordpress.org) erledigen lassen.

Mir stellt sich hier allerdings eine durchaus spannende Grundsatzfrage: Ist zu einem alten Beitrag immer schon alles gesagt?

Ausgehend von der Ãœberlegung, dass selbst die Stammleser (mal ganz zu schweigen von den Google-Besuchern) nicht alle alten „Schätzchen“ eines Blogs kennen, entgeht dem Blogger hier durchaus die Gelegenheit, weiteres Feedback, einen Nachtrag oder eine Korrektur zu erhalten – auch wenn der Beitrag eben nicht mehr ganz aktuell ist.

Gerade für neue Leser – ob sie nun von Google oder von einem anderen Blog kommen – dürfte es auch nicht gerade einladend wirken, geschlossene Kommentare vorzufinden. Das Spam-Problem, dass für das „abweisende“ Auftreten gesorgt hat, wird dabei nur den wenigsten bekannt sein.

Insofern habe ich mich dazu entschlossen, bis auf weiteres die älteren Artikel offen zu lassen – jedenfalls solange „Spam Karma“ weiter so erfolgreich filtert und mein Blog dabei nicht in den Ãœberlastungs-Abgrund zieht. 🙄

Update 24.08.06, 10:37 Uhr:
Mike hat mittlerweile „nachgelegt“. Unter www.sichelputzer.de[2] beschreibt er einige kleine Anpassungen an WordPress, mit denen dann für altere Artikel zumindest die Kommentarmöglichkeit für (registrierte) Stammleser bestehen bleibt.

Flash Cortex-Update – und Google Video auf deutsch

von Stefan Evertz am 05.08.06 um 19:53 Uhr |

Wie ich ja bereits in meiner Wunschliste zu Flash Cortex erwähnte, stand der Mitte Juli gestartete deutsche Ableger von „Google Video“ (video.google.de, siehe auch www.golem.de) ganz oben auf der Liste der geplanten Arbeiten an meinem Video-Plugin für WordPress. Nachwuchsbedingt hat sich die Umsetzung zwar etwas verzögert, aber nun ist das Update da.

Flash Cortex „kennt“ nun – neben den schon vorher integrierten Anbietern YouTube, Google Video und Sevenload – fünf weitere Video-Anbieter:

Weiterhin wurde die Syntax erweitert, d.h. die einzubindenden Videos können nun auch wie folgt gekennzeichnet werden, um Probleme mit dem WYSIWYG-Editor von WordPress zu umgehen:

[flash]http://youtube.com/watch?v=123abc456DE[/flash]

Die aktuelle Version (0.9.5) gibt es auf der Seite zu „Flash Cortex„.

WordPress: Neue oder alte Sicherheitslücke? (Update 1-2)

von Stefan Evertz am 27.07.06 um 9:37 Uhr |

Der Schöpfer des Anti-Spam-Plugins „Spam Karma 2“ (unknowngenius.com/blog[1]), Dr. Dave, hat gestern vor einer generellen Sicherheitslücke in WordPress gewarnt, die mit der Benutzerverwaltung zusammenhängt (siehe auch unknowngenius.com/blog[2], englisch):

If you are running WordPress as your blogging platform and if you have been trusting enough to leave User registration enabled for guests, DISABLE IT IMMEDIATELY (in wp-admin >> options: make sure „Anyone can register“ is not checked).
Additionally, delete or disable ANY guest account already created by people you are not sure about.

Darren Browse berichtet ergänzend von einer eher beschwichtigenden Rückmeldung des WordPress-Chefentwicklers Matthew Mullenweg (siehe auch www.problogger.net, englisch):

Just spoke with Matt. He’s not aware of the issue and can’t tell by the post if it’s something worth being worried about or not – but he’s going to contact Dr Dave to see. He also mentioned that 2.0.4 will be out shortly and it could be something that is resolved in that upgrade. All seems to be in hand.

Und ich frage mich die ganze Zeit, ob es sich dabei möglicherweise um die bereits für WordPress 2.0.2 gemeldete Sicherheitslücke handelt, die eigentlich mit WordPress 2.0.3 behoben werden sollte. Falls die Sicherheitslücke weiterhin besteht, könnten Blogs, die das Plugin “Filosofo Enroll Comments” (oder ähnliche Plugins) benutzen, weiterhin durch die Sicherheitslücke betroffen sein, da das Plugin auf die Benutzerverwaltung von WordPress setzt

Ãœber sachdienliche Hinweise würde ich mich jedenfalls freuen 🙄

(via www.sichelputzer.de, da Mike offenbar häufiger als ich auf die News-Seite des Plugins schaut…)

Update 27.07.06, 12:50 Uhr
Die Faktenlage ist weiterhin unklar, da bisher keine „Stellungnahme“ der WordPress-Entwickler vorliegt. Besorgniserregend finde ich allerdings die Beobachtungen von CountZero unter www.4null4.de:

In the mean time, I was able to confirm the severity of this issue through mere sniffing through the WP sources. Gosh, I must admit that I never thought that WP could contain such a blatantly silly security error. I’m wondering why it hasn’t been exploited before!

Er hat – laut seinem Kommentar unter www.sichelputzer.de[2] – den Quelltext der WP 2.1alpha untersucht. Wenn das wirklich stimmen sollte, würde dies nicht nur eine heikle Sicherheitslücke offenbaren, sondern möglicherweise auch bedeuten, dass die ursprüngliche Sicherheitslücke in der Benutzerverwaltung nicht oder nur unzureichend geschlossen worden wäre 🙁

Warten wir also weiter – angesichts der aktuellen Uhrzeit in den Staaten (7 Uhr Ostküste) dürfte das allerdings noch einige Stunden dauern, denn auch Softwareentwickler sollen Gerüchten zufolge gelegentlich schlafen…

Update 28.07.06, 06:43 Uhr:
Dr. Dave hat mittlerweile in einem neuen Artikel auf die diversen Nachfragen reagiert – und stellt nebenbei (in Kommentar Nr. 10) richtig, dass sich die gemeldete Sicherheitslücke nicht auf WordPress-Versionen vor der aktuellen Version 2.0.3 bezieht (siehe auch unknowngenius.com/blog[2]:

Elliot: Please, call me a doofus, but at least give me enough credit that I wouldn’t suddenly post a panicky announcement regarding an exploit fixed two months and one version of WordPress ago.

Im deutschen WordPress-Forum war dann gestern nachmittag zu lesen, dass das Problem nicht mehr vorliegt (siehe auch forum.wordpress.de):

Ja, was Dave aufgetan hat ist ein generelles Problem! Das Problem ist in der aktuellen 2.0.4 (beta) allerdings schon behoben worden, bevor Dave es veröffentlicht hat.

In einem Kommentar auf http://www.problogger.net[2]: schreibt Dr. Dave gestern abend allerdings etwas anderes:

At the time this post was written, 2.0.4 included absolutely no fix for the problem whatsoever, and if there was a modicum of awareness among some devs (following the first notification), I would have to fiercely disagree with their initial estimate of the situation and the solutions they were considering bringing. Anyway, no need to panic, simply turn the damn option off and insure everybody else does the same until a tested fix is out.

Zum einen stellt sich daher nach wie vor die Frage: Wurde die alte Sicherheitslücke nicht behoben oder handelt es sich um eine weitere bzw. „neue“ Sicherheitslücke? Und falls es sich um eine „neue“ Sicherheitslücke handelt, wurde bzw. wird sie nun behoben?

Zum anderen irritiert mich etwas der – bei Dr. Dave und CountZero zwischen den Zeilen durchschimmernde bzw. unterstellte – grundsätzliche Umgang der WordPress-Kernentwickler mit den vermuteten Sicherheitslücken, der etwas an Microsoft erinnert. Aber vielleicht liegt das auch am – vor allem hitzebedingt – fehlenden Schlaf meinerseits 🙄

Hoffen wir also einfach mal, dass in Kürze die nächste WordPress-Version 2.0.4 erscheint und dieses Thema ein Ende hat…

Wunschliste für Flash Cortex

von Stefan Evertz am 19.07.06 um 23:10 Uhr |

Mit meinem WordPress-Plugin „Flash Cortex“ kann man ja mittlerweile Videos von sevenload, video.google(.com), und youtube ins Blog einbinden. Und scheinbar scheint das Plugin einen wachsenden Nutzerkreis zu finden – schön, dass noch mehr Blogger so bequem sind wie ich und sich das doppelte Kopieren sparen wollen 😉

Natürlich soll die „Einsetzbarkeit“ des Plugins weiter ausgebaut und auf weitere Video-Anbieter ausgedehnt werden. Deshalb möchte ich auf diesem Wege eine Wunschliste in den Kommentaren eröffnen; alle eingehenden Anregungen, Wünsche und natürlich auch eventuelle Fehler werde ich gerne bei der weiteren Entwicklung berücksichtigen. Dabei hoffe ich, dass mir unser Neuzugang noch Ressourcen für eine zeitnahe Umsetzung übrig läßt 😉

Die Integration folgender Anbieter (bzw. der dort verfügbaren Videos) habe ich bereits im Auge:

Und nun seid ihr gefragt, werte Leser und / oder „Flash Cortex“-Benutzer: Immer her mit den Ideen!

Tipps bei Spam-Tsunami im Blog

von Stefan Evertz am 27.06.06 um 9:21 Uhr |

Seit letztem Donnerstag war das Blog von Robert Basic (www.basicthinking.de/blog) nur sehr eingeschränkt erreichbar (siehe auch www.sichelputzer.de). Offenbar wurde das Blog von einem ausgewachsenen Tsunami aus Kommentar-Spam überrollt. Unter www.basicthinking.de/blog[2] zieht er nun ein erstes Fazit:

Seit der letzten Spam-Statistik am 13.06. sind nochmals knapp 10.000 Spameinträge dazugekommen. Der Server war aufgrund der zahlreichen Spamversuche seit Donnerstag fast völlig blockiert.
[…]
Meine Spamattacken waren so gebaut, dass jede IP immer nur 1-5x vorkam, die IP-Bereiche waren völlig unterschiedlich, ebenso wiesen die Header-Daten keine bestimmte Signatur auf, an der man sich orientieren konnte.

Im weiteren fasst er dann die getroffenen Gegenmaßnahmen zusammen, die mittlerweile dafür gesorgt haben, dass das Blog erfreulicherweise wieder erreichbar ist. Neben serverorientierten Optimierungen bezogen sich die Maßnahmen vor allem auf ein Update der WordPress-Version sowie auf die verwendeten Plugins. Dabei hat diese unfreiwillige Nagelprobe offenbar gezeigt, dass verschiedene Plugins unter großer Last mehr Probleme verursachen als lösen (Spam Karma 2, WP-Cache).

Und während ich mich weiterhin erfolglos frage, welche Motivation hinter dieser Attacke liegen könnte, kann ich jedenfalls die Lektüre und sicherheitshalber auch einen Ausdruck des Artikels unter www.basicthinking.de/blog[2] nur empfehlen – wer weiß, wann die nächste Welle kommt…