To Whom It Concerns …

Dieses Blog nimmt am CSS Naked Day 08 teil.

Was das ist und wie man das in seinem Blog umsetzt, kann man zum Beispiel bei Frank nachlesen.

Wie jede andere Software auch ist WordPress nicht immun gegen Sicherheitslücken. Wenn man die Installation auf dem neuesten Stand hält und keine dubiosen PlugIns verwendet, kann man sich (eine vernünftige Server-Konfiguration und -Pflege vorausgesetzt) schon ziemlich sicher sein.

Dennoch würde man sich wohler fühlen, wenn man irgendwelche Tools benutzen könnte, um die Sicherheit (wenigstens bezüglich bereits bekannter Lücken) testen zu können. Ähnlich wie Port-Scanner und Co. gibt es auch einen WordPress Scanner von BlogSecurity.net.

Nach Eingabe des URI¹ überprüft das Tool – nach Möglichkeit – welche WordPress-Version eingesetzt wird, welche PlugIns installiert wurden und welche Versionsnummern sich auslesen lassen. Ferner wird überprüft, ob das verwendete Theme anfällig für Cross-Site Scripting (XSS) ist.

Weiterlesen »

1. 1 Früher nannte man den URI noch URL.

Da es anscheinend noch einige Unklarheiten bezüglich der Informationspflichten (vulgo: Impressumspflicht) für Weblogs gibt, hier noch schnell ein nachgereichter Link, der die Problematik in 5 Fragen kurz umreißt.

5 Fragen zu Impressumspflichten in Weblogs

Bei meinen unregelmäßigen Recherchen zum Thema Blog-Recht bin ich zufällig bin ich auf das noch ganz junge „Kriegs-Recht“-Blog von (Rechtsanwalt) Henning Krieg und auf die Ankündigung einer Artikelserie Blogs & Recht gestoßen.

Abgesehen davon, dass ich gespannt bin, welche nebelbehangenen Rechtsuntiefen dort vielleicht endlich auch für die vielen bloggenden juristischen Laien einmal verständlich erklärt werden, fand ich vor allem das Bild vom Hamburger Barcamp sehr amüsant. Es zeigt eine Folie aus einer Session „Blogs und Recht“ zum Thema Beleidigungen im Blog. Dort werden (sicherlich geschickt provokativ gewählt) zwei Urteile (bzw. Teile von Urteilsbegründungen) gezeigt, die klar machen, wie unsicher das Terrain für uns Blogger abgesteckt ist.

Zum einen wird ein Beschluss des OLG Köln¹ zitiert, in dem festgestellt wird, dass die Bezeichnung einer Person als A****loch keinesfalls eine Beleidigung, sondern lediglich eine ‚pointierte Äußerung‘ des Missfallens darstelle. Andererseits konstatiert das zweite aufgeführte Zitat², dass das Ansprechen eines anderen in der Du-Form eine Bekundung persönlichen Missachtung und beleidigend sei. :-/

Das sich bei solcher Rechtsprechung kein freizeitmäßiger Blogger mehr sicher ist, was er denn noch sorglos schreiben kann, dürfte kaum mehr verwundern. Ich persönlich finde die Titulierung als „A****loch“ um einiges beleidigender als die einfache Anrede mit „Du“, aber das scheinen die Gerichte wohl anders zu sehen. Vielleicht liegt’s am Altersunterschied?!

1. 1 OLG Köln Beschluss vom 19.12.2001 – 28 T 8/01
2. 2 Leider finde ich zum zweiten Zitat keine entsprechende Quelle im Internet, die ich hier verlinken könnte.

WordPress Deutschland hat die Initiative Pro-Backup ins Leben gerufen und möchte damit alle WordPress-Benutzer daran erinnern, regelmäßig ihr Blog zu sichern. Denn schließlich wissen vermutlich alle Anwender um die Notwendigkeit und den Sinn von (regelmäßigen) Backups, nur leider fehlt uns meistens die dafür nötige Zeit. Oder es ist uns zu kompliziert. Oder wir vergessen es einfach.

Daher sollen während der Backup-Woche (5.-11.3.2007) in verschiedenen Artikeln Tipps und Anregungen zum Thema WordPress-Backup erscheinen, um den einen oder anderen vielleicht doch mal wieder zu einem aktuellen Backup zu bewegen.

Meiner Meinung nach Weiterlesen »

Mit Interesse habe ich jüngst gelesen, wie bei Robert gefragt wurde, ob man “ungestraft” Werbung auf sein Blog setzen darf, um vielleicht die (Server-)Kosten oder ähnliches ein wenig abzumildern, ohne dass man automatisch dazu verpflichtet sei, dafür ein Gewerbe anzumelden.

Ein Problem, über das ich bislang noch nicht nachgedacht hatte. Klingt zunächst aber nachvollziehbar, da man ja beim Einbinden von Werbung durchaus eine gewisse Gewinnerzielungsabsicht vermuten kann.

Glücklicherweise hat sich Martin Hiegl des Problems angenommen und “bei der Finanzwirtin meines Vertrauens nachgefragt, welche selbst mit (ehem.) Kollegen vom Finanzamt gesprochen hat.” Heraus kam erstaunlicherweise, dass eine allgemeine Pflicht zur Gewerbeanmeldung nicht automatisch existiert. Generell fallen solche Einnahmen unter den Punkt “sonstige Einkünfte”, die der normalen Einkommensteuer unterliegen.

Ferner gilt sogar praktischerweise, dass diese gar nicht einkommensteuerpflichtig sind, wenn sie weniger als 256 Euro im Kalenderjahr betragen. Bei den meisten persönlichen Blogs dürften die dadurch erzielten Einkünfte in der Tat darunter bleiben.

Ich habe vorgestern mein Blog auf die WordPress-Version 2.1 gehievt und muss zum jetzigen Zeitpunkt konstatieren: Keine Probleme.

Vorsichtig, wie ich bin, habe ich natürlich erst eine lokale Kopie der Installation unter XAMPP aufgesetzt und das Upgrade vor dem Ernstfall erst getestet.

Vor dem eigentlichen Upgrade habe ich noch folgende Plugins auf den neuesten Stand gebracht:

• WordPress Database Backup 2.0
  (wird ab WordPress 2.1 nicht mehr mit WordPress mitgeliefert)
• Google Sitemap Generator 3.0b6
  (über Probleme mit älteren Versionen hatte ich bei Frank gelesen)
• Ultimate Tag Warrior 3.1415926
  (Die Vorgängerversion hatte wohl arge Probleme, die zum Verlust der Tags führten! Mehr dazu etwa bei moeffju.net, dessen Hack ich aber nicht einspielen/-bauen musste!)

Für das Upgrade habe ich dann (das erste Mal) radikal die Verzeichnisse wp-includes und wp-admin, sowie im Hauptverzeichnis alle Dateien außer .htaccess und wp-config.php gelöscht und das komplette neue Archiv entpackt.

Danach kurz die Administrations-Seite aufrufen und mit zwei Klicks das Upgrade der Datenbank durchführen lassen (eine Fehlermeldung über von mir angelegte Indizes habe ich da ignoriert, da die neuen Indizes nicht besser gewesen wären als die alten) und “fertig war der Lack”. Alles läuft und bisher keine Probleme.

Ein Aleitung zum Upgrade gibt es von perun (Allerdings ohne Gewähr, da ich die Anleitung erst nachher gesehen und daher nicht getestet habe!).

Wer sichergehen möchte, dass das eigene Lieblings-Plugin auch in der neuen Version weiterhin klaglos sein Dienst verrichtet, kann natürlich zuerst auf den “offiziellen” Kompatibilitätslisten nachschauen, wie es mit den einzelnen Erweiterungen aussieht, oder den entsprechenden Autor direkt anschreiben, wenn das Plugin nicht in der Liste auftaucht. Viele Plugins laufen auch ohne Anpassungen reibungslos weiter, aber das weiß man ja halt nie vorher.

Ob man den Schritt schon jetzt wagt, muss jeder selbst entscheiden. Ein gewisses Risiko bleibt immer. Bei Alexander etwa, war wohl einige Nacharbeit im Template notwendig und beim 5-Finger-Blog hat es im ersten Anlauf gar nicht geklappt, während andere Seiten, wie der Datenschutzkontor oder Meandering Passage überhaupt keine Probleme hatten.

Gedanken und Details zum jüngsten Update finden sich auch bei Jörg.

Das ist ja mal wieder typisch. Da findet man irgendein Voting, und dann rauschen diejenigen, die später dazustoßen, sofort an einem vorbei. Das ist ein bisschen deprimierend.

Also, treue Leserschaft:
Zeigt was ihr könnt und votet fleißig weiter für dieses Blog.

Dazu muss man sich nicht einmal anmelden und es geht auch ganz schnell: Einfach auf die nebenstehende Grafik klicken und auf der dann erscheinenden Seite auf “Zugang mit “Hit In” für die Seite, von der Sie kommen.” klicken.

Durch Zufall bin ich auf http://www.diebestenblogs.de/ gestoßen, die anscheinend die besten Blogs im Netz listen wollen.

Mal sehen, wie sich das entwickelt (und wie weit mein Blog da kommt). Vielleicht findet man beim Stöbern in der Liste ein paar interessante, neue Blogs.

Über einen Artikel bei Robert bin ich auf den kleinen nofollow-Report von Frank Helmschrott gestoßen und habe mein eigenes Blog angepasst.

Worum geht es?

“nofollow” bezeichnet hier das Attribut rel="nofollow", dass man in Hyperlinks angeben kann. Dieses Attribut (genauer: dieser Attributwert) wurde im Jahre 2005 von einem großen Suchmaschinenbetreiber erdacht¹, um dem ständig wachsenden Kommentar-Spam entgegenzuwirken.

Spammer hatten die Kommentarfunktion von Weblogs und Foren als lohnendes Ziel erkannt, um günstig ihren Pagerank zu pushen. Auf diesem Wege ist es sehr einfach, auf unzähligen fremden Seiten einen Link auf die eigene Präsenz zu bekommen, wodurch Suchmaschinen die eigene Seite als “sehr gefragt” wahrnehmen und weit oben in ihren Suchergebnissen platzieren.

Da dieser Missbrauch von den Betreibern der plötzlich verlinkenden Seiten nicht beabsichtigt war und meistens auch zu einer starken Verfälschung der Relevanz-Ermittlung führte, kam das nofollow-Attribut auf die Welt.

Sobald ein Suchmaschinen-Robot auf einen Link mit diesem Attribut trifft, so ignoriert er selbigen und bezieht ihn nicht mehr in die Relevanz-Ermittlung mit ein. In der Hoffnung, dass diese Art von Spam dadurch unattraktiv wird und allmählich verschwindet, baute man entsprechende Automatismen ein, die alle nicht vom Betreiber selbst stammenden Verweise derart kennzeichneten.

Der Erfolg blieb aus

Leider löste sich das Problem nicht in Luft auf² und die Spammer machten munter weiter.

Im Rahmen des Web 2.0 entstand dadurch aber ein neues Problem: Legitime Kommentare und Backlinks³, die in Weblogs auf ähnliche Artikel in anderen Blogs hinweisen und die ein elementarer Pfeiler der Blogosphäre sind, wurden ebenfalls ignoriert und schadeten damit der Community.

Der Wunsch, ein Weblog auch ohne Spam-Filter betreiben zu können (ohne mit Spam-Kommentaren überflutet zu werden), blieb leider unerfüllt, so dass der Nutzen dieses Attributs (vor allem, wenn es – wie etwa in WordPress – automatisch und undifferenziert eingefügt wird) in Anbetracht des dadurch entstehenden “Schadens” eher fragwürdig erscheint.

Die Initiative

Daher bildete sich die NoNoFollow-Initiative, die sich dafür einsetzt, dass dieses Attribut nicht mehr in der Blogosphäre wildert.

Sie versucht, diese Unsitte aus der Blogosphäre zu verbannen, da das Attribut seinen Zweck verfehlt habe. Es ginge doch darum, den Spam zu bekämpfen und nicht die Blogs⁴.

Um WordPress das Einfügen des Attributes abzugewöhnen, gibt es bereits einige WordPress-PlugIns. Ich benutze seit gestern das doFollow-Plugin von Kimmo Suominen, um die Links wieder Community-freundlicher zu gestalten.

1. 1 Details und Geschichte des nofollow-Attributs kann man in der Wikipedia nachlesen.
2. 2 Vermutlich sind die Kosten für dieses Spamming zu gering und der Anteil der Leute, die eben auch manuell auf einen solchen Link klicken, anscheinend immer noch hoch genug, um lukrativ zu sein. Eine Schlussfolgerung, die ich auch beim eMail-Spam bis heute eigentlich gar nicht glauben mag.
3. 3 Damit sind die sogenannten Track- oder Pingbacks gemeint.
4. 4 Das ist die freie Übersetzung des Mottos der Initiative.