15. September 2006 von Michael | Wordpress
Es ist immer schön, wenn sich Erfolg einstellt für die geleistete Arbeit, insbesondere auch, wenn es etwa Open-Source-Projekte sind, die frei z.B. unter GPL veröffentlicht sind.
Dieser Erfolg zeigte sich die letzten Tage und Wochen vermehrt aufgrund von mir geschriebener Plugins für WordPress.
1.) Math Comment Spam Protection:
Nicht nur, dass das Plugin u.a. von den deutschsprachigen Top-Blogs Dr. Web und Basic Thinking eingesetzt wird, nun ist auch noch Google-Mitarbeiter und SEO-Spezialist Matt Cutts auf dieses Plugin umgestiegen: Changed my captcha.
2.) Maintenance Mode Plugin
Zu diesem Plugin kam vor ein paar Tagen folgende Mail rein:
I also want to let you to know that I am planning to include your plugin in my soon-to-be published book (in Japan) on WordPress. The publish date is not set yet, but I can send you an amazon.co.jp link when it’s available. The title will be something like „WordPress Guidebook.“
(URL zum Amazon-Link folgt)
Diese und weitere Plugins sowie Tipps zu WordPress findet Ihr übrigens hier: Software Guide / WordPress.
Tatsächlich habe ich meine Plugins rein aus Spaß und Interesse erstellt, ohne Interesse an kommerziellem oder anderen Erfolg. Aber da freut man sich um so mehr, wenn dann solche Projekte erfolgreich aufgenommen werden.
11. September 2006 von Michael | Wordpress
Seit einigen Jahren betreue ich nun schon den Webauftritt eines Ferienhauses, welches meine Eltern vermieten.
Ich habe die Seite nun von Joomla auf WordPress umgestellt, weil mich das bisher verwendete Tabellenlayout nervte und Joomla nach wie vor keine tabellenlose Ausgabe anbietet. Zudem erschien mir Joomla als CMS zu oversized für die Anforderungen. Im Rahmen der Umstellung habe ich der Seite gleich ein neues Aussehen verpasst:
WordPress ist wohl ideal für den Zweck: ich habe hier ausschließlich Pages verwendet, mit dem Home-Page Control-Plugin habe ich eine Page als Startseite festgelegt. Ansonsten nichts besonderes. Die Navigation unter Schleching und Umgebung wurde mit wenigen Zeilen PHP-Code umgesetzt um u.a. abzufragen, welche Seite aktuell geladen ist, um dementsprechend diese zu highlighten.
Folgende Plugins sind im Einsatz: Home-Page Control für statische Startseite, Exec-PHP um PHP-Code im Beitragstext einzubinden, German Permalinks für korrekte Umlaut-Übernahme in Permalinks, Google Sitemap für den gleichnamigen Google-Dienst und Link Indication, um den Pfeil neben allen externen Links automatisch erscheinen zu lassen.
Über Kritik und Verbesserungsvorschläge wäre ich dankbar.
22. August 2006 von Michael | Wordpress
Gestern habe ich eine neue Version meines WordPress-Plugins Breadcrumb Navigation XT veröffentlicht.
Wer das Plugin noch nicht kennt: es ermöglicht eine sog. Breadcrumb-Navigation (Brotkrümelnavigation), welche man normalerweise nur von größeren CMS kennt, in WordPress.
Was ist neu:
Es wird nun die Anzeige der Kategorie(n) in der Breadcrumb-Navigation für einzelne Blog-Beiträge unterstützt bzw. kann per Option zugeschaltet werden.
Wurde also z.B. ein Blog-Artikel in der Kategorie „Suchmaschinen“ abgelegt, so kann die Brotkrümel-Navigation z.B. dann wie folgt aussehen:
Home > Blog > Suchmaschinen > Google hat Yahoo übernommen
11. August 2006 von Michael | Wordpress
WordPress Garden berichtet von schön designten Weblogs, die auf WordPress basieren. Interessant, um sich Inspirationen zu holen.
Da fällt mir gerade ein, dass u.a. Fahlstad sehr schöne WordPress-Themes zum Download bietet. Natürlich immer Geschmackssache, aber ich finde die Themes sehr nett, werden auch nicht von jedem eingesetzt, d.h. mit kleineren Anpassungen kann man sich damit durchaus ein individuelles Blogtheme erstellen, das nicht jeder einsetzt.
27. Juli 2006 von Michael | Wordpress
Der Autor des WordPress-Plugins Spam Karma, Dr Dave, warnt vor einer Sicherheitslücke in WordPress.
Critical Announcement affecting ALL WordPress users:
If you are running WordPress as your blogging platform and if you have been trusting enough to leave User registration enabled for guests, DISABLE IT IMMEDIATELY (in wp-admin >> options: make sure “Anyone can register†is not checked).
Additionally, delete or disable ANY guest account already created by people you are not sure about.
WordPress-Benutzer sollen also temporär in den Optionen „Jeder kann sich registrieren“ deaktivieren, zudem sollten verdächtige registrierte User rausgeworfen werden.
Mehr Infos gibt es im WordPress.de-Forum, beim S-O-S SEO Blog und im Folgebeitrag von Dr. Dave.
WordPress 2.0.4 Beta
Wie es scheint, ist in der aktuellen Beta-Version 2.0.4 die Lücke geschlossen. Herunterladen kann man diese unter wordpress-2.0.4-beta.zip. Einfach bestehende Dateien ersetzen und danach .../wp-admin/upgrade.php ausführen.
Die Beta-Version scheint auch sonst sehr stabil zu sein und enthält bislang keine bekannten Fehler. Dennoch hat sich das Entwicklungsteam entschlossen, dass noch ein paar Tage getestet wird bevor man die finale Version 2.0.4 veröffentlicht, um zu vermeiden, dass wieder eine ähnlich fehlerhafte Version wie die 2.0.3 rauskommt.
Nachtrag (29.07.):
Vor wenigen Stunden wurde die finale Version von WordPress 2.0.4 veröffentlicht, damit ist die Sicherheitslücke geschlossen.
4. Juli 2006 von Michael | Wordpress
Im Artikel Frühstücksfleisch wird immer aggressiver hatte ich auf das Plugin Did You Path Math? verwiesen, welches ganz einfache Rechenaufgaben stellt.
Beispiel:
Probleme mit diesem Plugin:
- Es lässt sich nur in wenige Themes sauber integrieren, und selbst da ist JavaScript notwendig zu Platzierung des Formularfeldes
- Der Besucher muss Cookies zulassen
- Gibt man einen falschen Wert ein (auch: fehlendes Pflichtfeld wie Email-Adresse), und geht nach der Fehlermeldung wieder zurück, so ist der Kommentar-Inhalt und damit u.U. viel investierte Mühe des Besuchers weg.
- Das Plugin führt unnötige Schreib- und Löschaktionen in der MySQL-Tabelle durch, wenn ein User ein falsches oder kein Ergebnis eingegeben hat; hier sollte eigentlich gar keine Schreib/Lösch-Aktion nötig sein.
Daher habe ich das Plugin Math Comment Spam Protection geschrieben.
Der Code ist komplett neu erstellt und basiert auf einem völlig anderen Konzept wie das Did You Path Math? – Plugin. Identisch ist die Idee dahinter: Der Besucher muss eine simple Rechenaufgabe lösen und gibt das Ergebnis in ein Formular ein.
Das Ergebnis wird über eine PHP-Funktion codiert und über ein verstecktes Feld übertragen. Nach dem Absenden des Formulars wird auch die Benutzereingabe mit dem selben Algorithmus encodiert und mit dem Wert des versteckten Feldes verglichen. Wenn die Werte übereinstimmen, wird der Kommentar veröffentlicht.
Ich kann nur sagen, dass es klappt ;-) Seit 2 Tagen ist das Plugin hier auf Software Guide im Testeinsatz, und statt mehreren tausend Spam-Kommentaren / Tag hatte ich jetzt keinen einzigen Spam-Kommentar mehr.
Trackbacks/Pingbacks funktionieren natürlich weiterhin, und gegen Spam-Trackbacks kann dieses Plugin nicht antreten. Daher habe ich vorhin noch das Plugin Trackback Validator installiert, welches alle Trackbacks als Spam markiert, welche auf dem verlinkenden Blog keinen Back-Link zur getrackbackten Seite haben.
26. Juni 2006 von Michael | Wordpress
Der Kommentar-Spam auf dieser Seite wird immer schlimmer. Heute kamen innerhalb weniger Stunden über 4.000 Spams rein, gestern 5.500 Spams.
Diese Angriffe kommen als normaler Kommentarspam, also nicht über Trackbacks.
Akismet hat dabei sauber alles geblockt. Trotzdem sind diese Angriffe nervig, schließlich kann unter den tausenden geblockten Kommentaren auch ein als falsch eingestufter dabei sein. Aber eine Einzelprüfung fällt bei diesen Spam-Massen aus. Zudem bedeutet dies eine massive Serverlast (der Spam selbst, dann die Arbeit durch Akismet, und dann das Anzeigen/Löschen).
Abhilfe?
Da es normaler Kommentar-Spam ist, wird dieser durch Bots durchgeführt, u.a. gibt es folgende Ansätze:
- Captcha. Also diese Bildchen, auf denen man nie erkennt, was man nun eingeben soll: „o“ oder „O“, „l“, „L“ oder „i“, etc. Nein, das möchte ich meinen Lesern nicht zumuten. Zudem ist Captcha nicht sicher, siehe z.B. captcha decoder.
- Rechenaufgaben. Es gibt das Did You Path Math?-Plugin, dieses stellt den Usern sehr einfache Rechenaufgaben, wie etwa „Was ist die Summe von 9 + 3 ?„. Problem bei diesem Plugin: Gibt man einen falschen Wert ein (auch: fehlendes Pflichtfeld wie Email-Adresse), und geht nach der Fehlermeldung wieder zurück, so ist der Kommentar-Inhalt weg.
- JavaScript-Lösung. Hashcash berechnet per JS clientseitig einen speziellen Wert, welcher zum Server zur Prüfung gesendet wird. Angeblich 100% sicher.
Allerdings sperrt man damit Besucher ohne aktiviertem JavaScript aus (Thema ‚Barrierefreiheit‘), außerdem wurden bei mir zudem ohne aktivierten JS alle Kommentare ausgeblendet.
- Kommentar-Vorschau: Ersetzt man den „Speichern“-Button durch einen „Vorschau“-Button, welcher nach dem Anklicken erst mal eine Vorschau anzeigt, soll dies einige Bots davon abhalten, dass die Spams gepostet werden. Il Filosofo bietet mit Comments Preview ein solches Plugin an. Mir ist das allerdings noch zu unflexibel in der Einrichtung und daher nicht 100% auf meine Seite zuschneidbar. Dennoch macht das Plugin einen guten Eindruck, für den ein- oder anderen sicherlich so verwendbar.
Zumindest ein Ansatz: Modifiziertes Akismet
Rich Boakes zeigt mit seinem am 08. Juni vorgestelltem Plugin Akismet htaccess extension eine interessante Lösung:
Installation: man ersetzt die akismet.php durch Richs modifizierte Version. Danach sieht man Folgendes, wenn man die geblockten Spams im WordPress-Admin prüft:
Das ist ein Screenshot von heute mittag und zeigt Spams von gestern und heute, da ich gestern alle als Spam eingestuften Kommentare löschte. Es werden hier die 10 meisten Spammer angezeigt, wie im Screenshot ersichtlich liegen 4.801 Spam-Kommentare von wrkplace . com (Online-Poker) vor.
Das Plugin fasst die Spams zusammen, damit kann man diese auf einen Rutsch löschen. Übrig bleiben dann u.U. auch Kommentare, die fälschlicherweise als Spam eingestuft wurden.
Zudem bietet das Plugin das Bannen von IPs (siehe „Ban the listed IP addresses“). Hierdurch erfolgt ein „Deny from…“-Eintrag in der .htaccess, allerdings eben nur IP-basierend, z.B. wrkplace . com spammt mich weiterhin.
Für weitere Tipps und Hinweise bin ich dankbar.
Jetzt packe ich mal mein Gepäck, denn morgen früh geht es erstmal für 2 Tage nach Frankreich. Ich hoffe, dass es sich der Spam nicht nochmal verzehnfacht, denn vor 4 Tagen hatte ich schon mal über massiv angestiegenen Spam berichtet, „damals“ waren es nur gute 500 Spams.
22. Juni 2006 von Michael | Wordpress
Auf diesem Blog habe ich gerade massive Spam-Attacken festgestellt, innerhalb weniger Stunden sind 556 (!) neue Spam-Beiträge eingegangen:
Das verwendete Anti-Spam-Plugin (Akismet) hat alles zuverlässig geblockt. Normalerweise überfliege ich diese geblockten Spams immer kurz bevor ich sie lösche, denn ganz selten wird ein echter Beitrag als Spam erkannt.
Dies kann ich bei diesem Aufkommen nun leider nicht mehr machen, sondern lösche diese.
Ist auch noch nie so extrem gewesen, so 20-30 Spams waren die Regel / Tag.
Bitte um Verständnis, falls ich dadurch einen fälschlicherweise als Spam eingestuften Kommentar lösche.
Wahnsinn, während ich die letzten 2 Minuten diese Zeilen schrieb, sind aus 556 schon 574 neue Spams geworden.
Robert berichtet auch von Spam-Massen („…in nicht einmal 5 Minuten 300 Spameinträge…“).
Ich werde ein paar Maßnahmen ergreifen, ich denke an:
- Umstieg von reinem Akismet auf Spamkarma mit Akismet-Plugin
- Auto moderate comments Plugin einsetzen
- Bei den Kommentaren nur einen „Vorschau“-Button anbieten, erst danach kann gespeichert werden. Soll angeblich viele Bots verwirren.
