To Whom It Concerns …

Seit heute ist mein Blog gegen „Internet-Ausdrucker“ geschützt. Ich schätze mal, dass ich das zumindest für die Vor-Wahlkampf-Zeit so lassen werde.

Details und Hintergrund-Infos zu dieser Aktion findet ihr bei Politiker-Stopp.de. Dort wird auch erklärt, was man unternehmen muss, um das auch auf der eigenen Webseite einbauen¹ zu können.

Für all jene, die das ebenfalls (möglicherweise temporär) in ihrem WordPress-Blog einbauen wollen, habe ich das mal ganz quick’n'dirty in ein kleines PlugIn² gegossen, dass ihr euch hier herunterladen könnt. Mit diesem PlugIn bleibt eine XHTML-konformes Blog auch weiterhin valide.

(Gefunden im Datenschutzblog)

1. 1 Die dort angegebene Vorgehensweise ist zwar einfach, erzeugt aber leider nicht mehr Standard-konforme Webseiten. :(
2. 2 Zum Installieren des PlugIns die Datei einfach herunterladen, ZIP-Datei entpacken, Script in das PlugIn-Verzeichnis des Blogs hochladen und in der PlugIn-Verwaltung aktivieren.

Nach den verschiedenen Hacks auf WordPress-Blogs, muss man sich ja Gedanken machen, wie man das Ganze verhindert (immer aktuelle Versionen, etc. …) und wie man solche Einbrüche erkennt.

Gerade für letzteres hat Robert Bašić kurz nach seinem Neustart ein sehr interessantes Tool vorgestellt: HackDetect.

Das (kostenlose!) Tool funktioniert im Prinzip ganz simpel: Es merkt sich, welche Dateien und Verzeichnisse in welcher Form jetzt auf dem WebServer liegen und meldet bei jeder folgenden Prüfung sobald er dort eine Veränderung festgestellt hat. Das muss dann zwar nicht unbedingt ein Schädling sein (etwa wenn man selbst Bilder für Beiträge hochlädt, oder man in der Administrationsoberfläche selbst gerade am Theme rumschraubt), aber sollte ein Schädling sich gerade festgesetzt haben, so würde man dies nun bemerken.

Ein bisschen mitdenken ist also notwendig, aber auf jeden Fall wird der Abgleich der Dateibäume erheblich vereinfacht. Und wenn man die Ausnahmen (mit Bedacht!) sinnvoll konfiguriert (von sich ständig automatisch ändernden Dateien wie einer automatischen Sitemap etwa), dann kann man die Anzahl der dann noch zu prüfenden Meldungen gut reduzieren.

Als kleiner „Haken“¹: Man muss seine FTP-Zugangsdaten in das Programm eingeben, damit es Zugriff auf den Verzeichnisbaum bekommt. Klar. Aber da das Programm eben keinen öffentlichen Quelltext hat, muss man dem Programmierer der Software an dieser Stelle natürlich vertrauen.

Ich habe keinerlei Grund, dem Autor Johannes Oppermann, der sein Programm kostenlos zur Verfügung stellt, in irgendeiner Weise zu misstrauen, aber korrekterweise muss ich an dieser Stelle halt mal erwähnt haben.

Als weitere Ideen zum Schutz/Monitoring werden auch noch folgende Links genannt:

• Das WordPress-Plugin DigoWatchWP, das automatisiert eMail-Benachrichtigungen verschickt, sobald sich Blog-Beiträge ändern²
• Frank Bültges Liste WordPress Plugins für mehr Sicherheit

1. 1 Vielleicht auch nur für so Übervorsichtige wie mich?!
2. 2 Sich ändernde Beiträge sind natürlich nur dann verdächtig, wenn man nicht gerade an einem Beitrag gearbeitet hat. ;)

Ein wichtiger Hinweis an alle Webseiten-Betreiber!

Zur Zeit scheint sich ein unangenehmer Gast auf verschiedenen Webseiten¹ herumzutreiben, von dem die Seitenbetreiber vermutlich noch gar nichts wissen.

Vermutlich ist es auch ein anderer Schädling als der, der Robert Bašić gerade dazu gezwungen motiviert hat, sein Blog neu aufzuspielen.

Auf irgendeine Weise wurden (bei diesem Schädling und nicht bei dem o.g. Bašić-Schädling) wohl Quelldateien des Blogs gehacked und derartig modifiziert, dass eingehende Anfragen auf die Adresse anyresults.com umgeleitet werden.

Anscheinend aber auch nicht immer! Wenn ich die Seite direkt ansurfe, gibt es anscheinend keine Weiterleitung. Man muss wohl schon einen Referrer übermitteln, um weitergeleitet zu werden. Danach ist die Weiterleitung dann anscheinend auch aus. (Cookies?)

Daher ist das Testen, ob die eigene Seite betroffen ist, etwas schwieriger, weil man beim Versuch, direkt nachzuschauen, eben nicht weitergeleitet wird.

Weiterlesen »

1. 1 Ich weiß nicht, ob es nur (WordPress-)Blogs betrifft (mir ist es bisher nur bei einigen Blogs aufgefallen), so dass ich hier einfach für alle schreibe.

Wie jede andere Software auch ist WordPress nicht immun gegen Sicherheitslücken. Wenn man die Installation auf dem neuesten Stand hält und keine dubiosen PlugIns verwendet, kann man sich (eine vernünftige Server-Konfiguration und -Pflege vorausgesetzt) schon ziemlich sicher sein.

Dennoch würde man sich wohler fühlen, wenn man irgendwelche Tools benutzen könnte, um die Sicherheit (wenigstens bezüglich bereits bekannter Lücken) testen zu können. Ähnlich wie Port-Scanner und Co. gibt es auch einen WordPress Scanner von BlogSecurity.net.

Nach Eingabe des URI¹ überprüft das Tool – nach Möglichkeit – welche WordPress-Version eingesetzt wird, welche PlugIns installiert wurden und welche Versionsnummern sich auslesen lassen. Ferner wird überprüft, ob das verwendete Theme anfällig für Cross-Site Scripting (XSS) ist.

Weiterlesen »

1. 1 Früher nannte man den URI noch URL.

Für all jene, die lokal einen XAMPP installiert haben (etwa um ein WordPress-Update vorher lokal durchzuspielen¹, wie es bei DenkZEIT oder WebDesign-in.de empfohlen wird; hilfreiche Tipps finden sich unter anderem im Blogshop, T2 oder Error500) und zufälligerweise auch Skype benutzen, hier ein kurzer Hinweis:

Da Skype standardmäßig auch den HTTP-Port 80 benutzt, kann man XAMPP (bzw. den darin enthaltenen Webserver Apache) und Skype nicht gleichzeitig verwenden. Versucht man, den Webserver zu starten, während Skype verbunden ist, schlägt dies (im Controlcenter ohne Fehlermeldung) fehl. Also entweder deaktiviert man Skype vor dem Start des Webservers, oder man ändert den Apache-Port, oder man bringt Skype dazu, den Standard-Port in Ruhe zu lassen. (Diskussion zu diesem Thema findet sich im Homepage-Forum.)

Normalerweise kann man Skype nach dem Starten des Webservers auch ohne Änderungen einfach problemlos neu starten.

1. 1 Wie ich es bei größeren Änderungen immer gern mache.

Da sage nochmal einer, dass sich BackUps nicht lohnen.

Anlässlich der WordPress BackUp-Woche hatte ich ja einen kurzen Artikel veröffentlicht, und ohne es zu ahnen habe ich dadurch an einem Gewinnspiel teilgenommen.

Durch einen Trackback auf meinen Artikel habe ich dann kürzlich erfahren, dass ich zu den glücklichen Gewinnern gehöre. Dafür vielen Dank.

Vorgestern kam dann auch endlich der Gewinn (aus der Schweiz) bei mir an. Wie man nebenstehendem Foto entnehmen kann, ist es dann doch nicht phpMyAdmin kompakt, sondern XAMPP komakt geworden (wie es anscheinend auch bei Marnem und Jaman zu Vertauschungen kam). Das ist aber genauso gut. Schließlich ist (mir) XAMPP schon lange eine geschätzte Hilfe bei der Web-Entwicklung.

Mal sehen, was ich da noch lernen kann …

Herr Gerhard fragte in seinem Blog, wie ich den Footer in meinen RSS-Feed bekomme. Nun gut, dann will ich auch gleich mal antworten:

Das ganze ist weniger spektakulär als man vielleicht denken mag. Frank Bueltge hat für diesen Zweck das praktische WordPress-Plugin “©Feed” geschrieben, das genau diesen Zweck erfüllt. Es schreibt einen frei veränderbaren Text unter jeden Feed-Beitrag.

Wenn man möchte, kann man auch einen digitalen Fingerabdruck für das Blog einfügen, so dass das PlugIn selbständig im Netz nach Content-Dieben suchen kann. So findet man beispielsweise Seiten, die automatisch die selbst mühsam geschriebenen Blog-Beiträge per RSS-Feed einlesen und auf ihrer Seite (evtl. sogar als ihre eigenen) ausgeben.

Der letzte Versionssprung dieses Plugins ist einer Erweiterung meiner bescheidenen Wenigkeit zu verdanken (wie man – wenn auch leider falsch geschrieben – dem Changelog auf der Seite entnehmen kann), die es nun auch ermöglicht, die eigenen Blog-Seiten aus den Suchergebnissen mit den Content-Dieben herauszufiltern.

Na dann: Viel Spaß damit, ihr beiden. :)

WordPress Deutschland hat die Initiative Pro-Backup ins Leben gerufen und möchte damit alle WordPress-Benutzer daran erinnern, regelmäßig ihr Blog zu sichern. Denn schließlich wissen vermutlich alle Anwender um die Notwendigkeit und den Sinn von (regelmäßigen) Backups, nur leider fehlt uns meistens die dafür nötige Zeit. Oder es ist uns zu kompliziert. Oder wir vergessen es einfach.

Daher sollen während der Backup-Woche (5.-11.3.2007) in verschiedenen Artikeln Tipps und Anregungen zum Thema WordPress-Backup erscheinen, um den einen oder anderen vielleicht doch mal wieder zu einem aktuellen Backup zu bewegen.

Meiner Meinung nach Weiterlesen »

Ich habe vorgestern mein Blog auf die WordPress-Version 2.1 gehievt und muss zum jetzigen Zeitpunkt konstatieren: Keine Probleme.

Vorsichtig, wie ich bin, habe ich natürlich erst eine lokale Kopie der Installation unter XAMPP aufgesetzt und das Upgrade vor dem Ernstfall erst getestet.

Vor dem eigentlichen Upgrade habe ich noch folgende Plugins auf den neuesten Stand gebracht:

• WordPress Database Backup 2.0
  (wird ab WordPress 2.1 nicht mehr mit WordPress mitgeliefert)
• Google Sitemap Generator 3.0b6
  (über Probleme mit älteren Versionen hatte ich bei Frank gelesen)
• Ultimate Tag Warrior 3.1415926
  (Die Vorgängerversion hatte wohl arge Probleme, die zum Verlust der Tags führten! Mehr dazu etwa bei moeffju.net, dessen Hack ich aber nicht einspielen/-bauen musste!)

Für das Upgrade habe ich dann (das erste Mal) radikal die Verzeichnisse wp-includes und wp-admin, sowie im Hauptverzeichnis alle Dateien außer .htaccess und wp-config.php gelöscht und das komplette neue Archiv entpackt.

Danach kurz die Administrations-Seite aufrufen und mit zwei Klicks das Upgrade der Datenbank durchführen lassen (eine Fehlermeldung über von mir angelegte Indizes habe ich da ignoriert, da die neuen Indizes nicht besser gewesen wären als die alten) und “fertig war der Lack”. Alles läuft und bisher keine Probleme.

Ein Aleitung zum Upgrade gibt es von perun (Allerdings ohne Gewähr, da ich die Anleitung erst nachher gesehen und daher nicht getestet habe!).

Wer sichergehen möchte, dass das eigene Lieblings-Plugin auch in der neuen Version weiterhin klaglos sein Dienst verrichtet, kann natürlich zuerst auf den “offiziellen” Kompatibilitätslisten nachschauen, wie es mit den einzelnen Erweiterungen aussieht, oder den entsprechenden Autor direkt anschreiben, wenn das Plugin nicht in der Liste auftaucht. Viele Plugins laufen auch ohne Anpassungen reibungslos weiter, aber das weiß man ja halt nie vorher.

Ob man den Schritt schon jetzt wagt, muss jeder selbst entscheiden. Ein gewisses Risiko bleibt immer. Bei Alexander etwa, war wohl einige Nacharbeit im Template notwendig und beim 5-Finger-Blog hat es im ersten Anlauf gar nicht geklappt, während andere Seiten, wie der Datenschutzkontor oder Meandering Passage überhaupt keine Probleme hatten.

Gedanken und Details zum jüngsten Update finden sich auch bei Jörg.

Aufgrund einer Sicherheitslücke sollte man ja schnell auf WordPress 2.0.6 upgraden. Kaum hat man dies getan, schon hört man von einer (neuen?) Sicherheitslücke, die erst im nächsten (ursprünglich nicht mehr vorgesehenen) Release 2.0.7 gefixt wird.

Wer auf Nummer sicher gehen will, der installiert schon jetzt den Releasecandidate WordPress 2.0.7-RC1.

Wer sich nicht zu viel Aufwand machen will, ersetzt in seiner WordPress 2.0.6-Installation einfach die geänderten Dateien mit den entsprechenden Dateien aus dem Archiv für WordPress 2.0.7-RC1. Im einzelnen sind das:

• wp-admin\inline-uploading.php
• wp-admin\post.php
• wp-includes\classes.php
• wp-includes\functions.php
• wp-includes\version.php
• wp-settings.php

Nachtrag

11.1.2007 15:29

Auf heise.de gibt es nun auch genauere Informationen zu der aktuellen Sicherheitslücke, von der auch WordPress 2.0.6 betroffen ist

Nachtrag

12.1.2007 0:14

All jene, die noch gar nicht auf WordPress 2.0.6 aufgerüstet haben und noch die 2.0.5-er Version fahren, sollten vor dem Versuch, die oben genannten Dateien für den Patch auf 2.0.7-RC1 zu ersetzen, erst auf die Version 2.0.6 upgraden. Sonst kann es zu Problemen kommen. Gute Hinweise (und ein Diff) finden sich bei Patrick Kempf.