Dampfmaschine

Jeder Blogger wird, sobald sein Blog etwas bekannter wird, Besuch von Spambots erhalten, die jede Menge Kommentare mit Werbung und Links zu zweifelhaften Seiten erhalten und absolut nichts mit den Themen der jeweiligen Artikel zu tun haben. Dass man das nicht nur seinen Besuchern bzw. Lesern ersparen, sondern auch das zufüllen der eigenen Datenbak mit solchem Spam vermeiden möchte ist eigentlich selbstverständlich.

Im Rahmen der von toscho losgetretenen Inititative möchte ich hier auch kurz über meine Bemühungen gegen den Spam und die von mir momentan eingesetzte Lösung schreiben.

Zu Beginn hatte ich an sich garkeine besonderen Antispam-Systeme im Einsatz ich habe einfach sämtliche Kommentare im Blog moderiert (was ich zur rechtlichen Absicherung auch heute noch tue) und dabei dann den Spam aussortiert. Diese Lösung hat natürlich einen gewaltigen Haken: Sie skaliert nicht. Spätestens nachdem ich nach nur ein paar Tagen hunderte an Spamkommentaren manuell löschen musste, musste eine neue Lösung her. Nach einigem Suchen bin ich dann auf das Wordpress-Plugin NospamNX von Sven Kubiak gestoßen. Das Plugin steht unter GPL und lässt sich durch einfaches kopieren in den Plugin-Ordner installieren.

Die Funktionsweise des Plugins ist ebenso einfach wie effektiv. Dem Kommentarformular wird ein weiteres Feld hinzugefügt, das per CSS direkt wieder versteckt wird. Für normale Blogkommentatoren ist somit kein Unterschied erkennbar, ihr Browser zeigt das Feld nicht an, also können sie es nicht ausfüllen und es bleibt bei legitimen Kommentaren in der Regel leer. Den Lesern bleiben somit nervige Maßnahmen wie Captchas erspart, die die Zugänglichkeit mindern und das Kommentieren erschweren.

Spambots hingegen sind meist nicht in der Lage, das CSS richtig zu interpretieren und füllen automatisiert alle Felder inklusive dem versteckten aus. Daran erkennt das Plugin dann, dass es sich um einen Bot handelt und sortiert den Kommentar als Spam aus oder (je nach Konfiguration) blockiert ihn direkt.

In der Praxis funktioniert das System nach meiner Erfahrung sehr gut. Je nachdem, wie viele Artikel ich hier schreibe, können innerhalb von ein paar Tagen bis Wochen hier im Blog mehrere hundert Spam-Kommentare auflaufen. Momentan beschränkt sich meine Arbeit darauf, diese auf legitime Kommentare zu überliegen und in regelmäßigen Abständen zu löschen.

Nicht darüber automatisch aussortierte Kommentare sind nichtautomatisierter Spam (bei mir maximal 3 Kommentare im Jahr) und Pingbacks bzw. Trackbacks. Zu den weiteren Nachteilen des Systems zählt leider, dass es sich nicht mit dem OpenID-Plugin für Wordpress verträgt. Jeder über OpenID authentifizierte Kommentar wird aufgrund der Änderung des Namens als Spam aussortiert, obwohl ich diese Kommentare im Gegenteil gerne direkt freigeschaltet sehen würde. Nach Aussage des Autors wird sich diese Situation leider auch in nächster Zeit nicht ändern. Da es leider keine vergleichbaren Plugins (abgesehen von Anti Spam Bee, das bei mir im Test den selben Fehler erzeugt) gibt und ich auf jeden Fall eine Lösung haben möchte, bei der die Kommentare nicht an externe Server senden möchte, werde ich vorerst mit diesem Mangel leben.

Nun habe ich viel über Wordpress geschrieben, mein zweites Blog betreibe ich jedoch mit Drupal. Dort ist es mir leider bisher nicht gelungen, eine ähnlich leistungsfähige Lösung zu finden. Das Spam-Modul bietet zwar diverse Möglichkeiten zur Filterung von Spam, funktionierte jedoch in meinem Test sehr schlecht und löschte im Extremfall sogar legitime Kommentare, die keinerlei Spam-Charakteristika aufwiesen. Die andere Möglichkeit, Spamicide, funktioniert zwar ähnlich wie NospamNX für Wordpress, bietet mir jedoch zu wenige Konfigurationsmöglichkeiten, so dass ich die Kommentare nicht mehr sinvoll kontrollieren könnte. Somit bin ich dort wie oben beschrieben momentan auf die manuelle Ausfilterung von Spam angewiesen.

Soweit mein Einblick in die Spambekämpfung in Blogs. Ich freue mich auf weitere Artikel über die Spmabekämpfung vielleicht auch abseits von Wordpress.

Ich komme ja in letzter Zeit leider relativ selten zum bloggen und wenn werden es öfters politische Kommentare in meinem Zweitblog, wodurch dieses hier etwas ins Hintertreffen gerät. Zu den absoluten Pflichten eines jeden Bloggers gehört es aber, seine Software aktuell und den Spielraum für Angriffe damit möglichst gering zu halten.

Heute ist mal wieder ein Update der von mir verwendeten Blogsoftware Wordpress erschienen, das eine Sicherheitslücke patchen und generell die Sicherheit der Software durch weitere Maßnahmen erhöhen soll. Die neue Version trägt die Versionsnummer 2.8.5 und ist wie immer als Komplett- und Updatepaket bei Wordpress Deutschland erhältlich.

Das wird möglicherweise das letzte Wordpress-Update sein, das ich mitmache, da Wordpress sich nach den bisherigen Ankündigungen zu urteilen zu einer überfrachteten Alleskönner-Software entwickelt und ich diesen Trend nicht mitmachen möchte. Ich bin momentan noch auf der Suche nach einer besseren Lösung, was jedoch schwierig zu werden scheint, da kaum ein anderes System gute Möglichkeiten zur Übernahme der Inhalte und Linkstruktur aus Wordpress bietet.

Liebe Skriptkiddies,

es war wirklich sehr fürsorglich von euch, mir mein Admin-Passwort mehrmals neu zugenerieren, aber ihr könnt mir glauben, ich hatte es nicht vergessen, wirklich nicht, unterlasst das also bitte zukünftig, auch wenn die Möglichkeit besteht.

Hintergrund: Er kürzlich ist mal wieder eine Lücke in Wordpress bekanntgeworden, die es ermöglicht, ohne vorherige Bestätigung ein neues Passwort für den Admin-Account zu generieren, das demjenigen dann per Email zugeschickt wurde. Auch wenn man keinen Zugriff auf das System erlangen kann, könnte man damit aber den Admin aus einer Installation aussperren. Mittlerweile ist mit Version 2.8.4 ein Update da, das den Fehler behebt, Upgrade- und Kompletpaket wie immer bei Wordpress Deutschland. Wer sich also nerviges Passwort-raussuchen erspren will, sollte das Update schnellstmöglich einspielen. Ich kann aus eigener Erfahrung bestätigen, dass die Lücke bereits ausgenutzt wird.

Als ich mit dem Microblogging über die Plattform Identica anfing wollte ich natürlich auch meine aktuellen Dents in mein Blog einbinden und aus Wordpress heraus meine Blogeinträge ankündigen können. Da es aber nur für Twitter wirklich funktionierende und gut gewartete Plugins gibt, habe ich damals die Twitter-Tools von Alex King entsprechend angepasst, um sie mit der Twitter-API von Identica zu verwenden. Selbstverständlich habe ich danach auf Anfrage meinen angepassten Code veröffentlich, so dass ihn andere Blogger ebenfalls verwenden konnten.

Heute hat mich Wordpress darauf hingewiesen, dass die Version 2.0 des Plugins erschienen ist. Neu in der Version sind unter Anderem die Unterstützung von bit.ly als URL-Shortener, das automatische Hinzufügen von Hashtags und das Ausnehmen von Kategorien vom Tweeten. Wenn man das Plugin jetzt aber manuell oder automatisch updatet sind die Modifikationen wieder weg und das Plugin funktioniert wieder nur mit Wordpress. Da ich aber weder über das Wissen noch die Zeit verfüge, einen eigenen Fork des Plugins zu pflegen, möchte ich hier einfach nur die Anpassungen zur Verfügung stellen, damit Jeder selbst über das Update entscheiden und die Modifikationen vornehmen kann. Damit das Plugin mit Identica funktioniert, müssen in der twitter-tools.php die folgenden Zeilen ausgetauscht werden:


define('AKTT_API_POST_STATUS', 'http://identi.ca/api/statuses/update.json');
define('AKTT_API_USER_TIMELINE', 'http://identi.ca/api/statuses/user_timeline.json');
define('AKTT_API_STATUS_SHOW', 'http://identi.ca/api/statuses/show/###ID###.json');
define('AKTT_PROFILE_URL', 'http://identi.ca/###USERNAME###');
define('AKTT_STATUS_URL', 'http://identi.ca/notice/###STATUS###');
define('AKTT_HASHTAG_URL', 'http://identi.ca/tag/###HASHTAG###');


Soweit ich das bis jetzt feststellen konnte funktioniert auch die neue Version damit einwandfrei mit Identica. Wenn doch Probleme auftreten, werde ich mich bemühen, diese zu beheben. Vielleicht möchte aber auch Jemand, der sich besser mit php auskennt einen Fork des Plugins erstellen und pflegen, wie es mit den Identica-Tools schonmal probiert wurde.

Update: Wie pundit in den Kommentaren erwähnt hat, muss die Zeile
$hashtag = urlencode(’#’.$hashtag);
noch zusätzlich umgeändert werden in
$hashtag = urlencode($hashtag);

Sonst werden die Tags bei identica nicht ordentlich verlinkt und man landet in der allgemeinen Tag-Cloud.

Mit der Version 2.8.3 ist heute eine weitere Bugfixversion von Wordpress erschienen. Diese behebt eine kürzlich bekannt gewordene Sicherheitslücke, die es registrierten Benutzern erlaubt, Zugriff auf Plugin- und Theme-Einstellungen zu erhalten.

Die neue Version gibt es wie immer als komplettes oder Upgradepaket bei Wordpress Deutschland. Bei allen betroffenen Blogs sollte natürlich baldmöglichst ein Update erfolgen, bevor die Lücke in größerem Ausmaß ausgenutzt wird.

Mit dem Update wurde hier auch wieder die Registrierungsfunktion aktiviert, die ich aus Sicherheitsgründen deaktiviert hatte.

Mal wieder ein etwas überraschendes Update. Heute wurde Wordpress 2.8.2 veröffentlicht, das eine schwerwiegende XSS-Sicherheitslücke patcht und deswegen unbedingt eingespielt werden sollte. Eine Beschreibung der behobenen Verwundbarkeit findet sich im Blog auf Wordpress.org, das Update-Paket für die und die aktualisierte DE-Edition wie immer bei Wordpress Deutschland.

Wegen interner Probleme bei den Wordpress-Leuten sollte man momentan nicht die automatische Updatefunktion verwenden, sondern das Update manuell durchführen.

Soeben ist die Version 2.8.1 der beliebten Blogsoftware Wordpress erschienen. Diese Version bringt keine neuen Funktionen, sondern in erster Linie zahlreiche Bugfixes, die genaue Liste der Änderungen ist auch in der Ankündigung verlinkt.

Da diese Version eine Sicherheitslücke behebt, sollte jedes Wordpress-basierende Blog möglichst schnell auf den aktuellen Stand gebracht werden. Eine aktualisierte DE-Version gibt es wie immer in Kürze bei Wordpress-Deutschland. Sofern man die Sprachdatei beibehält und keine Neuinstallation vorhat kann aber auch die internationale Version für das Update verwendet werden.

Ich blogge jetzt schon eine ganze Weile über die verschiedensten Themen und natürlich beschäftigt man sich dabei immer wieder mit den Mechanismen und Entwicklungen dahinter. Eine Frage, die sich mir kürzlich gestellt hat ist, ob Bilder in Einträgen diese an sich aufwerten, lesenswerter oder generell attraktiver machen. Ich habe bis jetzt immer die Herangehensweise gewählt, dass das wichtig ist, was ich mitteilen möchte und das ist in den meisten Fällen der Text. Natürlich habe ich auch bei Berichten über Demos oder ähnliche Aktionen versucht, dort Bilder der einzelnen Aktionen einzufügen und meinen Lesern so einen direkten Eindruck davon zu vermitteln.

Teilweise habe ich auch bei einzelnen Artikeln Logos verwendet, sofern die entsprechenden Organisationen sie dafür freigegeben hatten, aber die Regel ist nach wie vor der reine Text. Natürlich ist es immer schwierig, passende freie Bilder zu finden, man möchte ja nicht für jeden Artikel erstmal ein paar Stunden telefonieren müssen, um die Rechte zu klären. Natürlich sollte man auch nicht überall zwanghaft Bilder reinklatschen. Aber wie ist generell eure Meinung dazu. Wenn ein Eintrag eines oder mehrere Bilder enthält, ist dann die Wahrscheinlichkeit höher, dass ihr ihn lest und empfindet ihr diesen Artikel dann generell als “besser” oder hat das keinen Einfluss auf euer Leseverhalten?

Um zu antworten könnt ihr gerne von eurem eigenen Blog einen Pingback oder Trackback setzen oder völlig anonym hier kommentieren.

Mit 2.8 wurde heute eine neue Version der beliebten Blogsoftware Wordpress veröffentlicht. Auch dieses Blog hat gerade ein Upgrade auf die neue Version hinter sich. Die neue Version bringt etliche Detailverbesserungen mit sich, so beispielsweise Verbesserungen bei XMLRPC, eine besssere Datenbankperformance oder SimplePie als RSS-Parser, größere neue Funktionen und Updates gibt es jedoch nicht. Eine vollständige Liste findet sich auch im Blog von Wordpress Deutschland.

Das Update auf die neue Version kann wie immer über das Paket von wordpress.org erfolgen. Auf neue Pakete für die deutsche Ausgabe und eine aktualisierte Sprachdatei müssen wir hingegen noch ein bisschen warten. Diese soll in Kürze bei Wordpress Deutschland verfügbar sein.

Update: Mittlerweile steht auch die aktualisiert Sprachdatei und die DE-Edition der Version 2.8 zum herunterladen bereit. Wer seine Installation bereits mit der englischen Version auf den aktuellen Stand gebracht hat und nicht das deutsche Standard-Theme verwendet kann einfach nur die Sprachdatei aktualisieren.

Die Idee hinter OpenID ist eine ganz einfache. Statt sich ständig auf verschiedenen Webseiten mit x unterschiedlichen Benutzernamen und Passwörtern einzuloggen, könnte doch eine einzige reichen, die dann allen anderen die Identität bestätigt und einem somit das eingeben von Benutzername und Passwort erspart. Das Konzept ist relativ einfach zu verstehen, hatte jedoch lange Zeit einen bedeutenden Nachteil: Man musste einer (meist kommerziell betriebenen) Webseite sämtliche Daten und auch die Kontrolle über die eigene virtuelle Identität anvertrauen.

Dunkelangst hat mich dann kürzlich bei der Einführung von OpenID in seinem Blog darauf hingewiesen, dass mittlerweile über ein Plugin jedes Wordpress-Blog sowohl OpenIDs von anderen Seiten verarbeiten, als auch selbst als OpenID-Provider fungieren kann. Somit ist die Kontrolle wieder komplett bei mir und es spricht eigentlich kaum etwas gegen die Nutzung der Technologie, vor allem, da auch mehr und mehr Webseiten es unterstützen.

Jeder, der einen OpenID-Account bei einer beliebigen Webseite hat, kann diesen ab sofort in meinem Blog zum Posten von Kommentaren oder zum registrieren eines Accounts verwenden. Viele Webseiten wie Google, Myspace oder Yahoo sind selbst OpenID-Provider (akzepktieren aber leider meist keine OpenIDs zum anmelden) so dass Nutzer dieser Dienste oft schon über eine OpenID verfügen, ohne es zu wissen. Für Myspace beispielsweise reicht es, http://www.myspace.com/benutzername anzugeben, um mit OpenID einen Kommentar zu posten.

Wer noch keine OpenID hat, aber gerne eine möchte, kann sich eine bei den zahlreichen auf der Wikipediaseite gelisteten Diensten anlegen, das OpenID-Plugin im eigenen Blog installieren oder sich hier einen Account registrieren. Jeder im Blog registrierte Account wird nämlich automatisch ebenfalls zur OpenID und kann über die URL http://blog.pozimski.eu/?author=(entsprechende Zahl, im Profil einsehbar) verwendet werden. Ich kann aber nicht garantieren, dass dieser Dienst für alle Zeiten zur Verfügung stehen wird.

Ein paar Haken hat die Sache allerdings auch. Dadurch, dass man nach Angabe einer OpenID-URL erstmal auf die Betreiberseite weitergeleitet wird, ergibt sich die Möglichkeit des Phishings, indem man eine ähnliche Seite baut und dem Benutzer stattdessen unterschiebt. Man sollte OpenID deswegen nur auf vertrauenswürdigen Seiten benutzen. Außerdem sollte man das entsprechende Passwort sicher machen, da es ja zum Schlüssel für verschiedene Seiten wird. Natürlich wird damit auch nicht die Anonymität im Internet aufgehoben, da man jederzeit wie üblich ohne OpenID kommentieren kann.

Das OpenID-Plugin für Wordpress verfügt über gettext-Unterstützung, jedoch konnte ich keine deutsche Sprachdatei finden. Da es mir aber wichtig ist, dass die Sprache meines Blogs möglichst einheitlich ist, habe ich die vorhandene englische Vorlage schnell übersetzt. Die mo-Datei und die Quelldatei stehen unter den selben Lizenzen wie das Plugin (GPL und BSD dual) und können somit von jedem verwendet werden, indem man die mo-Datei in das Unterverzeichnis “lang” des OpenID-Plugins kopiert. Es handelt sich aber ausdrücklich um eine schnelle, oberflächliche Übersetzung, die ich mit der Zeit verbessern werde und daher wahrscheinlich nicht den üblichen Qualitätsstandards entspricht.

Um also OpenID in meinem Blog zu benutzen, reicht es, statt der Webseite eine OpenID-URL beim kommentieren, registrieren oder einloggen einzugeben. Wenn man nicht möchte, dass die URL auch als Benutzername verwendet wird, sollte man zusätzlich noch einen anders lautenden Namen angeben. Um einen Mehrwert zu bieten, sind Kommentare, die per OpenID abgegeben werden, erstmal von der Moderation ausgenommen. Sollten sich Spambots dem anpassen oder das sonstwie ausgenutzt werden, werde ich das aber wieder rückgängig machen.