Dampfmaschine

Jeder Blogger wird, sobald sein Blog etwas bekannter wird, Besuch von Spambots erhalten, die jede Menge Kommentare mit Werbung und Links zu zweifelhaften Seiten erhalten und absolut nichts mit den Themen der jeweiligen Artikel zu tun haben. Dass man das nicht nur seinen Besuchern bzw. Lesern ersparen, sondern auch das zufüllen der eigenen Datenbak mit solchem Spam vermeiden möchte ist eigentlich selbstverständlich.

Im Rahmen der von toscho losgetretenen Inititative möchte ich hier auch kurz über meine Bemühungen gegen den Spam und die von mir momentan eingesetzte Lösung schreiben.

Zu Beginn hatte ich an sich garkeine besonderen Antispam-Systeme im Einsatz ich habe einfach sämtliche Kommentare im Blog moderiert (was ich zur rechtlichen Absicherung auch heute noch tue) und dabei dann den Spam aussortiert. Diese Lösung hat natürlich einen gewaltigen Haken: Sie skaliert nicht. Spätestens nachdem ich nach nur ein paar Tagen hunderte an Spamkommentaren manuell löschen musste, musste eine neue Lösung her. Nach einigem Suchen bin ich dann auf das Wordpress-Plugin NospamNX von Sven Kubiak gestoßen. Das Plugin steht unter GPL und lässt sich durch einfaches kopieren in den Plugin-Ordner installieren.

Die Funktionsweise des Plugins ist ebenso einfach wie effektiv. Dem Kommentarformular wird ein weiteres Feld hinzugefügt, das per CSS direkt wieder versteckt wird. Für normale Blogkommentatoren ist somit kein Unterschied erkennbar, ihr Browser zeigt das Feld nicht an, also können sie es nicht ausfüllen und es bleibt bei legitimen Kommentaren in der Regel leer. Den Lesern bleiben somit nervige Maßnahmen wie Captchas erspart, die die Zugänglichkeit mindern und das Kommentieren erschweren.

Spambots hingegen sind meist nicht in der Lage, das CSS richtig zu interpretieren und füllen automatisiert alle Felder inklusive dem versteckten aus. Daran erkennt das Plugin dann, dass es sich um einen Bot handelt und sortiert den Kommentar als Spam aus oder (je nach Konfiguration) blockiert ihn direkt.

In der Praxis funktioniert das System nach meiner Erfahrung sehr gut. Je nachdem, wie viele Artikel ich hier schreibe, können innerhalb von ein paar Tagen bis Wochen hier im Blog mehrere hundert Spam-Kommentare auflaufen. Momentan beschränkt sich meine Arbeit darauf, diese auf legitime Kommentare zu überliegen und in regelmäßigen Abständen zu löschen.

Nicht darüber automatisch aussortierte Kommentare sind nichtautomatisierter Spam (bei mir maximal 3 Kommentare im Jahr) und Pingbacks bzw. Trackbacks. Zu den weiteren Nachteilen des Systems zählt leider, dass es sich nicht mit dem OpenID-Plugin für Wordpress verträgt. Jeder über OpenID authentifizierte Kommentar wird aufgrund der Änderung des Namens als Spam aussortiert, obwohl ich diese Kommentare im Gegenteil gerne direkt freigeschaltet sehen würde. Nach Aussage des Autors wird sich diese Situation leider auch in nächster Zeit nicht ändern. Da es leider keine vergleichbaren Plugins (abgesehen von Anti Spam Bee, das bei mir im Test den selben Fehler erzeugt) gibt und ich auf jeden Fall eine Lösung haben möchte, bei der die Kommentare nicht an externe Server senden möchte, werde ich vorerst mit diesem Mangel leben.

Nun habe ich viel über Wordpress geschrieben, mein zweites Blog betreibe ich jedoch mit Drupal. Dort ist es mir leider bisher nicht gelungen, eine ähnlich leistungsfähige Lösung zu finden. Das Spam-Modul bietet zwar diverse Möglichkeiten zur Filterung von Spam, funktionierte jedoch in meinem Test sehr schlecht und löschte im Extremfall sogar legitime Kommentare, die keinerlei Spam-Charakteristika aufwiesen. Die andere Möglichkeit, Spamicide, funktioniert zwar ähnlich wie NospamNX für Wordpress, bietet mir jedoch zu wenige Konfigurationsmöglichkeiten, so dass ich die Kommentare nicht mehr sinvoll kontrollieren könnte. Somit bin ich dort wie oben beschrieben momentan auf die manuelle Ausfilterung von Spam angewiesen.

Soweit mein Einblick in die Spambekämpfung in Blogs. Ich freue mich auf weitere Artikel über die Spmabekämpfung vielleicht auch abseits von Wordpress.

Nein, das wird jetzt hier kein reines Release-Ankündigungs-Blog für Wordpress, in den nächsten Tagen werde ich hoffentlich wieder etwas mehr zum Bloggen kommen, aber die Wordpress-Entwickler lassen einen als Blogger nicht zur Ruhe kommen und haben mal wieder eine neue Version veröffentlicht.

Primär wurden dieses Mal diverse Bugs der letzten Version korrigiert, wer noch eine ältere Version laufen und damit keine Probleme hat, muss also nicht zwingend updaten. Die aktuelle deutschsprachige Version sowie das Updatepaket findet man wie immer bei Wordpress Deutschland.

Nach einer etwas längeren Entwicklungszeit haben die Entwickler heute das nächste Update für die Blogsoftware Wordpress veröffentlicht. Da meine Versuche, das Blog in Drupal zu importieren, bisher leider nicht besonders erfolgreich verlaufen sind und keine andere Alternative (s9y erfüllt meine Anforderungen nicht) in Sicht ist, habe ich beschlossen, ohne grundsätzliche Notwendigkeit auf die neueste Version upzudaten, da künftige Sicherheitsupdates wahrscheinlich darauf aufbauen werden und ich das System vorerst nicht selber Patchen möchte.

Für mich hauptsächlich interessant sind in dieser Version der neu eingebaute “Papierkorb”, über den man gelöschte Artikel wiederherstellen kann und die eingebauten rudimentären Bildbearbeitungsfunktionen, auch wenn ich mich bei Letzteren ernsthaft frage, was das in einer Blogsoftware zu suchen hat. Weiterhin neu eingebaut wurden beispielsweise Artikelbilder, eine neue Methode zum einbinden von Videos und die Möglichkeit zur Massenaktualisierung der Plugins. Eine vollständige Liste der neuen Features findet sich im Entwicklerblog oder in der deutschen Übersetzung bei Wordpress Deutschland. (dort findet man auch wie üblich die aktuelle deutschsprachige Version und die Sprachdatei)

Soweit ich das bis jetzt beurteilen kann, ist das Update in meinem Blog absolut reibungslos verlaufen und auch alle Plugins arbeiten mit der neuen Version wie gewohnt zusammen. Oberflächlich bemerkt man zunächst auch keine großartigen Veränderungen, der Großteil der Änderungen scheint also seine Arbeit unter der Haube zu verrichten.

Dieses mal wurden zwar keine wirklich kritischen Löcher gestopft, aber man will ja auch nicht, dass die verwendete Software bekannte Sicherheitslücken aufweist. Wordpress 2.8.6 ist also raus und das Update ist bei mir auch problemlos verlaufen.

Update- und Komplettpaket der deutschssprachigen Version gibt es wie immer bei Wordpress Deutschland.

Ich komme ja in letzter Zeit leider relativ selten zum bloggen und wenn werden es öfters politische Kommentare in meinem Zweitblog, wodurch dieses hier etwas ins Hintertreffen gerät. Zu den absoluten Pflichten eines jeden Bloggers gehört es aber, seine Software aktuell und den Spielraum für Angriffe damit möglichst gering zu halten.

Heute ist mal wieder ein Update der von mir verwendeten Blogsoftware Wordpress erschienen, das eine Sicherheitslücke patchen und generell die Sicherheit der Software durch weitere Maßnahmen erhöhen soll. Die neue Version trägt die Versionsnummer 2.8.5 und ist wie immer als Komplett- und Updatepaket bei Wordpress Deutschland erhältlich.

Das wird möglicherweise das letzte Wordpress-Update sein, das ich mitmache, da Wordpress sich nach den bisherigen Ankündigungen zu urteilen zu einer überfrachteten Alleskönner-Software entwickelt und ich diesen Trend nicht mitmachen möchte. Ich bin momentan noch auf der Suche nach einer besseren Lösung, was jedoch schwierig zu werden scheint, da kaum ein anderes System gute Möglichkeiten zur Übernahme der Inhalte und Linkstruktur aus Wordpress bietet.

Liebe Skriptkiddies,

es war wirklich sehr fürsorglich von euch, mir mein Admin-Passwort mehrmals neu zugenerieren, aber ihr könnt mir glauben, ich hatte es nicht vergessen, wirklich nicht, unterlasst das also bitte zukünftig, auch wenn die Möglichkeit besteht.

Hintergrund: Er kürzlich ist mal wieder eine Lücke in Wordpress bekanntgeworden, die es ermöglicht, ohne vorherige Bestätigung ein neues Passwort für den Admin-Account zu generieren, das demjenigen dann per Email zugeschickt wurde. Auch wenn man keinen Zugriff auf das System erlangen kann, könnte man damit aber den Admin aus einer Installation aussperren. Mittlerweile ist mit Version 2.8.4 ein Update da, das den Fehler behebt, Upgrade- und Kompletpaket wie immer bei Wordpress Deutschland. Wer sich also nerviges Passwort-raussuchen erspren will, sollte das Update schnellstmöglich einspielen. Ich kann aus eigener Erfahrung bestätigen, dass die Lücke bereits ausgenutzt wird.

Als ich mit dem Microblogging über die Plattform Identica anfing wollte ich natürlich auch meine aktuellen Dents in mein Blog einbinden und aus Wordpress heraus meine Blogeinträge ankündigen können. Da es aber nur für Twitter wirklich funktionierende und gut gewartete Plugins gibt, habe ich damals die Twitter-Tools von Alex King entsprechend angepasst, um sie mit der Twitter-API von Identica zu verwenden. Selbstverständlich habe ich danach auf Anfrage meinen angepassten Code veröffentlich, so dass ihn andere Blogger ebenfalls verwenden konnten.

Heute hat mich Wordpress darauf hingewiesen, dass die Version 2.0 des Plugins erschienen ist. Neu in der Version sind unter Anderem die Unterstützung von bit.ly als URL-Shortener, das automatische Hinzufügen von Hashtags und das Ausnehmen von Kategorien vom Tweeten. Wenn man das Plugin jetzt aber manuell oder automatisch updatet sind die Modifikationen wieder weg und das Plugin funktioniert wieder nur mit Wordpress. Da ich aber weder über das Wissen noch die Zeit verfüge, einen eigenen Fork des Plugins zu pflegen, möchte ich hier einfach nur die Anpassungen zur Verfügung stellen, damit Jeder selbst über das Update entscheiden und die Modifikationen vornehmen kann. Damit das Plugin mit Identica funktioniert, müssen in der twitter-tools.php die folgenden Zeilen ausgetauscht werden:


define('AKTT_API_POST_STATUS', 'http://identi.ca/api/statuses/update.json');
define('AKTT_API_USER_TIMELINE', 'http://identi.ca/api/statuses/user_timeline.json');
define('AKTT_API_STATUS_SHOW', 'http://identi.ca/api/statuses/show/###ID###.json');
define('AKTT_PROFILE_URL', 'http://identi.ca/###USERNAME###');
define('AKTT_STATUS_URL', 'http://identi.ca/notice/###STATUS###');
define('AKTT_HASHTAG_URL', 'http://identi.ca/tag/###HASHTAG###');


Soweit ich das bis jetzt feststellen konnte funktioniert auch die neue Version damit einwandfrei mit Identica. Wenn doch Probleme auftreten, werde ich mich bemühen, diese zu beheben. Vielleicht möchte aber auch Jemand, der sich besser mit php auskennt einen Fork des Plugins erstellen und pflegen, wie es mit den Identica-Tools schonmal probiert wurde.

Update: Wie pundit in den Kommentaren erwähnt hat, muss die Zeile
$hashtag = urlencode(’#’.$hashtag);
noch zusätzlich umgeändert werden in
$hashtag = urlencode($hashtag);

Sonst werden die Tags bei identica nicht ordentlich verlinkt und man landet in der allgemeinen Tag-Cloud.

Mit der Version 2.8.3 ist heute eine weitere Bugfixversion von Wordpress erschienen. Diese behebt eine kürzlich bekannt gewordene Sicherheitslücke, die es registrierten Benutzern erlaubt, Zugriff auf Plugin- und Theme-Einstellungen zu erhalten.

Die neue Version gibt es wie immer als komplettes oder Upgradepaket bei Wordpress Deutschland. Bei allen betroffenen Blogs sollte natürlich baldmöglichst ein Update erfolgen, bevor die Lücke in größerem Ausmaß ausgenutzt wird.

Mit dem Update wurde hier auch wieder die Registrierungsfunktion aktiviert, die ich aus Sicherheitsgründen deaktiviert hatte.

Mal wieder ein etwas überraschendes Update. Heute wurde Wordpress 2.8.2 veröffentlicht, das eine schwerwiegende XSS-Sicherheitslücke patcht und deswegen unbedingt eingespielt werden sollte. Eine Beschreibung der behobenen Verwundbarkeit findet sich im Blog auf Wordpress.org, das Update-Paket für die und die aktualisierte DE-Edition wie immer bei Wordpress Deutschland.

Wegen interner Probleme bei den Wordpress-Leuten sollte man momentan nicht die automatische Updatefunktion verwenden, sondern das Update manuell durchführen.

Soeben ist die Version 2.8.1 der beliebten Blogsoftware Wordpress erschienen. Diese Version bringt keine neuen Funktionen, sondern in erster Linie zahlreiche Bugfixes, die genaue Liste der Änderungen ist auch in der Ankündigung verlinkt.

Da diese Version eine Sicherheitslücke behebt, sollte jedes Wordpress-basierende Blog möglichst schnell auf den aktuellen Stand gebracht werden. Eine aktualisierte DE-Version gibt es wie immer in Kürze bei Wordpress-Deutschland. Sofern man die Sprachdatei beibehält und keine Neuinstallation vorhat kann aber auch die internationale Version für das Update verwendet werden.