WordPress ist nicht gleich WordPress

Hand-Drawn-Wordpress-256Im Deutschsprachigen Forum von wpde.org tauchen immer wieder Beiträge auf, die sich auf die eingesetzte Version von WordPress.com beziehen. Es wird zwar von beiden Seiten darauf hingewiesen, dass die verwendeten Umgebungen unterschiedlich sind und der eine dem anderen bei Anfragen nicht helfen kann, doch das wird in der Hektik von Hilfesuchenden gerne übersehen.

Ich habe mir mal die Mühe gemacht und versucht hier mal die Unterschiede, nebst Vorteile und Nachteile der beiden Versionen darzulegen.

Weiterlesen

Sicherheitslücke in TimThumb

timEine erneute Sicheheitslücke in TimThumb ist gefunden worden.

2011 wurden bereits etliche Blogs gehackt, welche in den Themes und Plugins die Datei  timthumb.php einsetzten. Dieses Mal betrifft es allerdings die so genannte WebShot Funktion, welche unter anderem auch zum Skalieren, oder Beschneiden der Bilder genutzt werden kann. Ein gutes hat diese Sache allerdings. WebShot ist normalerweise Standardmäßig deaktiviert und so dürfte die Anzahl der verwundbaren Webseiten nicht ganz so hoch sein, wie bei der ersten Sicherheitslücke.

TimThumb ist im überigen das beliebteste Ziel für Hackerangriffe.

Betroffen sind alle Plugins und Themes, welche TimThumb 2.8.13. einsetzen und ein Update (Austausch) der betroffenen Datei timthumb.php  auf Version 2.8.14 ist dringend empfohlen, falls das verwendete Theme, oder Plugin diese Datei beinhaltet.

 

DDos WordPress

timWie auf heise.de am 14.03.14 zu lesen war, wurden etliche WordPress Blogs mittels einer Funktion, die eigentlich nicht dafür vorgesehen war für eine so genannte Denial-of-Service Attake (DDos) missbraucht, ohne das die Blogbetreiber etwas davon mit bekamen. Ausgenutzt wurde dafür die Pingback Funktion welche eigentlich dazu dient, dass andere Blog Artikel abragen können, die der Blogbetreiber erstellt hat. Wird hierfür allerdings ein nicht vorhandener Artikel angefragt, produziert der Server verständlicher Weise einen 404 Fehler (Seite nicht gefunden) und wenn diese Abfrage mehrfach in der Sekunde wiederholt wird, kann dieses den betroffenen Blog ausbremsen, oder schlimmstenfalls die Datenbank der WordPress Installation außer Gefecht setzen.

Da dieses allerdings eine “gute” Funktion von WordPress betrifft welche da missbraucht wird ist kaum mit einem Update, oder gar dem Wegfall der Pingback Funktion zu rechnen.

Auf Sucuri.net ist ein Artikel dies bezüglich veröffentlicht, mit der Empfehlung zur Verwendung eines Source Codes, der dann zumindest die Pingbacks ausschaltet, aber Trackbacks noch zulassen dürfte. Man schlägt vor, daraus ein Plugin zu kreieren und den Filter darin zu implementieren. Ich wage mal zu behaupten, dass es völlig ausreicht diesen Code in die functions.php des verwendeten Themes zu packen, da nicht damit zu rechnen ist, dass Blogbetreiber öfter ein neues Theme auf dem Blog verwenden. Zumal ja jedes weitere verwendete Plugin bei WordPress auch auf die Server Recourcen geht und es auch Blogs bei Hostern gibt, welche nur 64M im PHP Memory Limit zur Verfügung stellen. Da heißt es dann also Haushalten beim Plugin Einsatz.

add_filter( ‘xmlrpc_methods’, function( $methods ) {
   unset( $methods['pingback.ping'] );
   return $methods;
} );

Autoupdate bei WordPress deaktivieren

rd_animatedWordPress wartet nun mit einer neuen Funktion auf, die sich bei näherer Betrachtung als eher hinderlich erweisen kann. Das Automatische Update. Im WordPress Forum gab es ein paar User, die plötzlich damit Probleme hatte.

Sinn und Zweck des ganzen. WordPress aktualisiert sich im Hintergund selbstständig und der Blogbetreiber bekommt dann eine entsprechende Meldung per Email. Doch das funktioniert nicht so richtig, wie ich auch selber feststellen konnte.

Die Meldung besagte zwar, dass WP aktualisiert wäre, doch im Dashboard mussten andere und auch ich, das ganze nochmals per Hand durchführen. Gut, ich denke man wird das Problem noch beheben, doch ist diese Funktion wirklich so gut? Immerhin gab es in Vergangenheit häufig Probleme, dass nach Updates einige Blogs nicht mehr funktionierten, da Plugins, oder Themes mit den neuen Versionen nicht mehr kompatibel waren.

Sinnvoller wäre es, dem User die Möglichkeit zu geben selber zu wählen, ob und welche Updates automatisch durchgeführt werden sollen. Ansonsten muss man hingehen per Ergänzung in der wp-config.php, oder mittels Plugin die Auto Update Funktion zu deaktivieren.

Kommentare nicht immer erwünscht?

communityWer einen WordPress Blog betreibt, hat meist auch die Kommentarfunktion aktiviert, um Leben in den Blog zu bekommen und die Besucher zu animieren, ihre Meinung zu einem Beitrag abzugeben, oder Alternativen aufzuzeigen.

Eigentlich eine gute Sache, doch nicht überall ist es erwünscht, dass eine Meinung kund getan wird. Man kann zwar in den Einstellungen bei WordPress die Kommentarfunktion entweder generell deaktivieren, oder halt für Statische Seiten und Beiträge individuell beim Erstellen/Bearbeiten festlegen, ob dort die Kommentarfunktion erwünscht ist.

Allerdings braucht man bei Statischen Seiten eigentlich die Kommentarfunktion weniger und seit einem der Updates von WordPress generiert WP sogar für Mediendateien (Bilder) dynamische Seiten, welche ebendfalls die Kommentarfunktion beinhalten. Brauche ich persönlich nicht, da dieses “Feature” eigentlich eher nur für Betreiber von Fotoblogs interessant ist.

Doch in den Einstellungen kann man das nicht beeinflussen, ob auf Medienattachements Kommentare deaktiviert werden, da trotz Link auf die Bilddatei trotzdem mit dem entsprechenden Aufruf eine Seite mit Kommentarfunktion angesteuert werden kann.

Mit einer kleinen Ergänzung der functions.php des Verwendeten Themes kann man nun allerdings die Kommentarfunktion für Statische Seiten und Medien Anhänge generell deaktivieren, ohne ein Plugin einsetzen zu müssen, wodurch man sich auch das lästige Löschen von Spam Bot Kommentaren sparen kann.

 

Sicherheitslücken in Themes?

timEigentlich ist es ja ganz fein, wenn man ein so genanntes Premium Theme für WordPress einsetzt. Sehen teilweise richtig Schick aus und man braucht nicht stundenlang auf dem Keyboard herumhacken, bis man selber ein halbwegs brauchbares Ergebniss hat. Doch was ist, wenn man plötzlich eine Sicherheitslücke im WordPress und dafür auch noch Geld bezahlt hat?

Bei Exploid Database häufen sich in letzter Zeit wieder die Meldungen, dass sich scheinbar eine Sicherheitslücke in älteren diversen Premium Themes befindet, welche es Hackern und Skriptkiddies gleichermaßen ermöglicht beliebige Skripte in WordPress Blogs hochzuladen, wenn denn diese das jeweils Betroffene Theme einsetzen. Ein Update oder Notfalls sogar ein Wechsel des Themes wird daher angeraten, da diverse der betroffenen Themes vom Anbieter bereits vom Markt genommen, bzw. aktualisiert wurden.

Falls ihr eines dieser Themes einsetzt und euch nicht sicher seid, kontaktiert den Support des Theme Authors und fragt nach. Lieber einmal nachfragen, als Gefahr laufen den Blog in eine Viren- und Spamschleuder zu verwandeln.

Auf dieser Website könnt ihr euch informieren, welche Themes von welcher Sicherheitslücke betroffen sind. Teilweise stehen in der Dokumentation auch die Versionsnummern der Themes, die Betroffen sind.

All in One Hacking

phishDas schon mal manipulierte Plugins, oder Themes für WordPress durch die Internetwelt geistern, ist nicht erst seit gestern bekannt. Doch was da jetzt passiert ist an Dreistigkeit echt nicht mehr zu überbieten.

Jeder, der einen WordPress Blog in Eigenregie betreibt macht sich natürlich auch Gedanken, was die Optimierung für Suchmaschinen angeht. Nicht wenige greifen dazu auf die Kostenlos Version des All in One SEO zurück. Doch in letzter Zeit häufen sich allerdings Phishingversuche, in dem Blogbetreiber eine Email erhalten worin das Versprechen gegeben wird, man wäre auserwählt die Kostenpflichtige Version umsonst zu bekommen. Davor kann man nur warnen. Wer das besagte Plugin unter der in der Email angegebenen Internet Adresse heruterläd und in seinem WordPress Blog aktiviert, schafft so eine Hintertür für Hacker welche dann Schadcode auf den Blog hinterlegen können und so dann versuchen die Rechner von Besuchern mit Trojanern zu infizieren.

Auf Heise-Online und dem Blog der Pluginauthoren wird bereits vor diesen Emails gewarnt.

Auch wenn es viele Kostenlose Erweiterungen in Form von Themes und Plugins für WordPress gibt, gibt es auch einige Professionelle Programmierer, welche von ihren Kostenpflichtigen Pro-Versionen auch abgespeckte Kostenlose Versionen anbieten, welche von jederman genutzt werden können. Also im Zweifel immer mal beim Plugin- oder Themeauthor nachfragen, oder dessen Seite besuchen.

AdRotate Bug

Hand-Drawn-Wordpress-256Wer das Plugin AdRotate nutzt und auf die aktuelle Version updated, wird sich eventuell wundern, dass plötzlich im Adminbereich die Adminbar (wird immer ganz oben auf der Seite angezeigt) verschwunden ist.

Es handelt sich dabei um einen Bug, der beim Pluginautor allerdings bekannt ist und man arbeitet derzeit eine Lösung aus.

Mehr Informationen werden auf der Website des Pluginautors bekannt gegeben.

Edit; Das problem wurde inzwischen von dem Pluginautor behoben und auch die Aktualisierung über das Autoupdate funktioniert nun wieder wie gewohnt.

Drosselung bei der Telekom, was geht mich das an?

„Drosselung bei der Telekom, was geht mich das an?“ lautet die Überschrift unseres Artikels hier, und ja es geht jeden Kunden und nicht-Kunden etwas an. Was hier beginnt ist ein Versuch des rosa Riesen zu schauen wie weit sie gehen können und ob man die Wurst von zwei Enden anschneiden kann.

„Ja, aber ich brauche doch keine 75 GB im Monat.“ Sicher ? Es geht sehr schnell, vorallem wenn man Video-on-Demand (Maxdome, Everwatch usw), Videodienste (YouTube, Vimeo, DailyMotion, usw.), Musikstreaming (Grooveshark, Spotify, iTunes Match, Amazon Cloud-Player, Google Music), aber auch z.B. MP3′s einkauft. Auch was man gern vergisst sind Downloads von Origin, Steam, Desura oder die schönen DLC’s für die Spielkonsole, aber auch simpler, Updates für Software. Ich könnte jetzt so weiter machen, und grade bei Familien mit div. Konsolen, Computern und mobilen Geräten kommt es sehr schnell zusammen. Und mit der Geschwindigkeit von 384 kilobit pro Sekunde ist das Internet nicht mehr nutzbar und damit funktionell kaputt (33.6 kbaud Modem, wir erinnern uns ?)

Dieser Clip illustriert deutlich die Problematik bei Drosselung (Danke an @digigies fürs Teilen)

Weiterlesen

Die Hotspot VPN der Telekom unter Ubuntu (Gnome/Unity) nutzen

VPN-Server Icon by Regional Computing Centre of Erlangen (RRZE) unter CC BY-SA 3.0

Mancher weiß vielleicht, das die Telekom bei den Hotspot-Tarifen eine VPN bereitstellt. Diese sollte benutzt werden, da die WLAN Verbindung zum Hotspot keine Verschlüsselung benutzt und wir alle kennen die Artikel über Tools zum Abgreifen von Informationen an Hotspots. Wer sich dieser Dinge nicht bewusst ist findet bei Heise einen sehr guten Artikel zum Thema.

Aber genug der Vorrede, hier sind die notwendigen Schritte:

Weiterlesen