Software Guide

Seit einigen Jahren betreue ich nun schon den Webauftritt eines Ferienhauses, welches meine Eltern vermieten.

Ich habe die Seite nun von Joomla auf WordPress umgestellt, weil mich das bisher verwendete Tabellenlayout nervte und Joomla nach wie vor keine tabellenlose Ausgabe anbietet. Zudem erschien mir Joomla als CMS zu oversized für die Anforderungen. Im Rahmen der Umstellung habe ich der Seite gleich ein neues Aussehen verpasst:

WordPress ist wohl ideal für den Zweck: ich habe hier ausschließlich Pages verwendet, mit dem Home-Page Control-Plugin habe ich eine Page als Startseite festgelegt. Ansonsten nichts besonderes. Die Navigation unter Schleching und Umgebung wurde mit wenigen Zeilen PHP-Code umgesetzt um u.a. abzufragen, welche Seite aktuell geladen ist, um dementsprechend diese zu highlighten.

Folgende Plugins sind im Einsatz: Home-Page Control für statische Startseite, Exec-PHP um PHP-Code im Beitragstext einzubinden, German Permalinks für korrekte Umlaut-Übernahme in Permalinks, Google Sitemap für den gleichnamigen Google-Dienst und Link Indication, um den Pfeil neben allen externen Links automatisch erscheinen zu lassen.

Über Kritik und Verbesserungsvorschläge wäre ich dankbar.

Wie die Netzspielwiese berichtet bietet der Hoster all-inkl.com neuerdings die Möglichkeit, im Administrationsbereich beliebte CMS-, Blog- und Forensoftware per Mausklick zu installieren. Derzeit sind das Typo3, Joomla, WordPress und phpBB.
Ich hatte bei all-inkl.com über mehrere Jahre mehrere Webseiten und war soweit zufrieden. Da ich allerdings das Server-Hosting nicht attraktiv genug fand und auch keine virtuellen Server angeboten wurden, bin ich zur Jahresende zu Strato bzw. teilweise auch zu 1und1 gewechselt.
Dieses Angebot von all-inkl.com kommt aber sicherlich Leuten entgegen, die per Mausklick ein solches System einsetzen wollen, ohne sich teilweise umständlich mit der Konfiguration auseinanderzusetzen, bis das ganze endlich läuft. WordPress ist da wohl am unproblematischsten, aber z.B. Typo3 kann da wohl schon mal zicken.

À propos Strato: Wie Robert berichtet stellt Strato lt. Golem-Artikel in einigen Webhosting-Paketen das Blog-System WordPress zur Verfügung.

Ich hoffe, dass weitere Hoster nachziehen, und — was m.E. noch viel wichtiger ist — immer den aktuellsten Softwarestand anbieten um Hacks durch längst bekannt gewordene Sicherheitslücken in den Systemen zu vermeiden.

Nachtrag:
Wie Matthias im Kommentar erwähnt, kann bei HostEurope WordPress und phpBB ebenfalls per Mausklick installiert werden.

Nachtrag 2:
Joerg berichtet im Kommentar von Hoster domainfactory, es gibt dort wohl schon geraume Zeit verschiedene OpenSource-Systeme, die per Mausklick installiert werden können. Z.B. Serendipity, WordPress, Mambo, Joomla, phpBB, eXtreme Message Board, Vanilla, osCommerce, ExtCalendar 2, zwei Wikis und zwei Galleryscripts.

Gestern habe ich eine neue Version meines WordPress-Plugins Breadcrumb Navigation XT veröffentlicht.
Wer das Plugin noch nicht kennt: es ermöglicht eine sog. Breadcrumb-Navigation (Brotkrümelnavigation), welche man normalerweise nur von größeren CMS kennt, in WordPress.

Was ist neu:
Es wird nun die Anzeige der Kategorie(n) in der Breadcrumb-Navigation für einzelne Blog-Beiträge unterstützt bzw. kann per Option zugeschaltet werden.
Wurde also z.B. ein Blog-Artikel in der Kategorie „Suchmaschinen“ abgelegt, so kann die Brotkrümel-Navigation z.B. dann wie folgt aussehen:

Home > Blog > Suchmaschinen > Google hat Yahoo übernommen

WordPress Garden berichtet von schön designten Weblogs, die auf WordPress basieren. Interessant, um sich Inspirationen zu holen.

Da fällt mir gerade ein, dass u.a. Fahlstad sehr schöne WordPress-Themes zum Download bietet. Natürlich immer Geschmackssache, aber ich finde die Themes sehr nett, werden auch nicht von jedem eingesetzt, d.h. mit kleineren Anpassungen kann man sich damit durchaus ein individuelles Blogtheme erstellen, das nicht jeder einsetzt.

Der Autor des WordPress-Plugins Spam Karma, Dr Dave, warnt vor einer Sicherheitslücke in WordPress.

Critical Announcement affecting ALL WordPress users:

If you are running WordPress as your blogging platform and if you have been trusting enough to leave User registration enabled for guests, DISABLE IT IMMEDIATELY (in wp-admin >> options: make sure “Anyone can register” is not checked).
Additionally, delete or disable ANY guest account already created by people you are not sure about.

WordPress-Benutzer sollen also temporär in den Optionen „Jeder kann sich registrieren“ deaktivieren, zudem sollten verdächtige registrierte User rausgeworfen werden.

Mehr Infos gibt es im WordPress.de-Forum, beim S-O-S SEO Blog und im Folgebeitrag von Dr. Dave.

WordPress 2.0.4 Beta

Wie es scheint, ist in der aktuellen Beta-Version 2.0.4 die Lücke geschlossen. Herunterladen kann man diese unter wordpress-2.0.4-beta.zip. Einfach bestehende Dateien ersetzen und danach .../wp-admin/upgrade.php ausführen.
Die Beta-Version scheint auch sonst sehr stabil zu sein und enthält bislang keine bekannten Fehler. Dennoch hat sich das Entwicklungsteam entschlossen, dass noch ein paar Tage getestet wird bevor man die finale Version 2.0.4 veröffentlicht, um zu vermeiden, dass wieder eine ähnlich fehlerhafte Version wie die 2.0.3 rauskommt.

Nachtrag (29.07.):

Vor wenigen Stunden wurde die finale Version von WordPress 2.0.4 veröffentlicht, damit ist die Sicherheitslücke geschlossen.

Mittlerweile kennt wohl fast jeder Tags (Schlagwörter). Für ein bestimmtes ‚Objekt‘ vergibt man diese Schlagwörter, solche Objekte können sein: Weblog-Beiträge, Digitalkamera-Bilder, Weblinks, Videos, u.v.m.

Beispiel:

Man macht Urlaub in Südafrika und erstellt mehrere hundert Fotos mit der Digitalkamera. Nach dem Urlaub lädt man die Bilder in der Fotoverwaltung hoch, macht ggfs. noch kleinere Bearbeitungen (Helligkeit einstellen, Bild um 90° drehen etc.), und vergibt Tags (Schlagwörter).
Z.B. legt man dort auch ein Foto wie das folgende ab:

Hier kann man u.a. folgende Schlagwörter eingeben: Südafrika, 2006, Steine, Wiese, Laub, Wasser, alles was einem also spontan zu dem Bild einfällt, ohne sich Gedanken zu machen bezügl. Kategorisierung etc.

Anwendung:

Eine gute, intuitiv bedienbare Software bietet nun folgendes:
1 Jahr nach dem Urlaub möchte man sich wieder die Bilder ansehen. Man geht in die Fotoverwaltung, und klickt in der Liste der Schlagwörter auf „Südafrika“. Dort erscheinen weitere Schlagwörter (u.a. 1998, 2006, Steine, Wiese, Laub, Wasser, Meer, Sand, …)
Anhand der Jahreszahlen erinnert man sich, dass man ja sowohl 1998 als auch im Jahr 2006 in Südafrika war. Da man die Bilder vom Jahr 2006 sehen will, klickt man auf „2006“. Nun erscheint wieder eine Liste, und zwar nur die Schlagwörter der Bilder, die sowohl „Süfafrika“ als auch „2006“ enthalten. Man kann jetzt entweder die Bilder nacheinander ansehen, oder weiter filtern, in dem man z.B. auf „Wasser“ klickt.

D.h. mittels Tagging können Objekte (a) relativ schnell in eine Sammlung eingeordnet und (b) wieder schnell aufgefunden werden.
Zudem ist das System kategorieübergreifend, das obige Bild muss man nicht zwanghaft in „Südafrika / 2006 / Wiese“ ablegen, durch die Verwendung von Tags kann man viele Alternativen wählen.

Umsetzung

Soweit die Theorie. Der Bookmark-Dienst del.icio.us bietet genau diese Möglichkeiten für Bookmarks. Man kann damit beliebig einsteigen (ein Tag aus der kompletten Liste anklicken), und weiter filtern, d.h. weitere Tags auswählen, in dem man auf das ‚+‘-Zeichen vor dem Tag klickt:

Die Zahl vor den Tags entspricht hier übrigens der Anzahl der Objekte (Bookmarks), die das zusätzliche Tag enthalten.

Zusätzlich sieht man in del.icio.us im oberen Bereich Folgendes, wobei das ‚+‘-Zeichen anzeigt, dass auf mehrere Tags gefiltert wird:

Your items tagged suedafrika+2006+wasser

Umsetzung in Blogs

Blogs sind hier leider ziemlich eingeschränkt. Obwohl nahezu jedes Blog Tags verwendet und auch eine Tagcloud zur Darstellung der im Blog verwendeten Tags anbietet, bieten Weblogs meines Wissens keine Möglichkeit der einfachen Filterung / Eingrenzung.

Z.B. sucht man in einem Blog einen Artikel über eine virtuelle Festplatte von Google, man hat gehört sowas soll es geben, erinnert sich aber nur noch, dass man darüber in dem entsprechenden Blog gelesen hat.
Also geht man dort zur Tagcloud und sieht dort in sehr großer Schrift „Google“ stehen. Man klickt nun darauf, und es erscheinen alle Artikel, die das Tag ‚Google‘ enthalten, chronologisch untereinander. Eine weitere Filterung ist aber nicht möglich. Klickt man nämlich in der Tagcloud auf „Festplatte“, erscheinen alle Artikel, die mit „Festplatte“ getaggt wurden (ohne Berücksichtigung, ob diese auch den Begriff ‚Google‘ enthalten). Hier fehlt also die oben beschrieben Filter-Funktion, die z.B. del.icio.us bietet. In del.icio.us kann man Artikel anzeigen lassen, die beides enthalten, also sowohl ‚Google‘ als auch ‚Festplatte‘. Zudem werden immer die weiteren Filtermöglichkeiten angezeigt.

In Blogs bleibt dem Besucher wohl nur eines übrig: die Blog-Suchfunktion benutzen. Nur spätestens hier stellt sich die Frage, warum überhaupt Tags verwendet werden in Blogs, für den Besucher scheinen diese nahezu wertlos zu sein.

Fazit

Meines Erachtens müssen hier Weblogs bzw. die zugrunde liegende Software verbessert werden, ein wenig Taggen hier und eine Tagcloud dort ist nicht ausreichend, die Software muss den Rest bieten. del.icio.us macht das ganze meines Erachtens vorbildlich, solange in Blogs auf Tag-Kombinationen nicht wie in del.icio.us gefiltert werden kann, bietet das Tagging m.E. für Besucher kein Mehrwert.
Eine Lösung ist mir derzeit nicht bekannt, um eine Funktionalität wie unter del.icio.us z.B. auf einem WordPress-Blog zu bieten.
Jedenfalls ist das Tagging, wie es derzeit in Blogs (wie auch auf Software Guide) betrieben wird, keine Unterstützung für Besucher, um Artikel schnell zu finden. Die simple Volltextsuche ist hier wohl zuverlässiger.
Ich werde das ganze jedenfalls weiter verfolgen und darüber berichten, mein Ziel ist es, Besuchern einen ähnlichen Service wie bei del.icio.us zu bieten.

Vorkommnisse

Am 22. Juni berichtete ich von vermehrtem Spamaufkommen auf Software Guide: innerhalb weniger Stunden über 500 neuer Spam-Beiträge. Am 26. Juni berichtete ich von einer Verzehnfachung, also mehrere tausend Spam-Beiträge/Tag, und mögliche Abhilfen. Am 4. Juli hatte ich daraufhin das Mathe-Antispam-Plugin veröffentlicht.

Robert Basic berichtete fast parallel ebenfalls von massiven Problemen mit Spam, bei ihm war das ganze noch einen Schritt weiter, da teilweise lange Wartezeiten auftraten aufgrund der Spamattacken, also massiv negativer Einfluss auf die Server-Performance (siehe u.a. Spam-Stats und Gegenmaßnahmen).
Denis hatte es noch härter erwischt.

Auslöser

Hauptauslöser waren massive direkte Spamattacken per Bots, diese gingen nicht über Trackback/Pingback, sondern direkt über die Kommentar-Funktion.

Das Problem ist in keinem der Fälle, dass tatsächlich Spam durchkommt, denn etweder wurde Akismet oder Spamkarma eingesetzt. Beide WordPress-Plugins haben einen unterschiedlichen Ansatz, arbeiten aber sehr zuverlässig.

Hauptprobleme

Die Hauptprobleme waren vielmehr:

• Wird ein (Spam-)Kommentar abgegeben, so erfolgen durch diese Plugins mehrere Schreib- und Lesevorgänge in der MySQL-Datenbank, was bei Attacken den Server entsprechend beansprucht und ausbremsen kann.
• Bei mehreren tausend als Spam eingestuften Kommentaren kann es vorkommen, dass dazwischen False Positive sind, also echte Kommentare, die als Spam eingestuft wurden. Diese gehen in den Massen allerdings unter und werden vom Administrator gelöscht. Aus der Tätigkeit der Moderation wird also bei mehreren tausend Spams/Tag nur ein „per Mausklick alle als Spam gekkenzeichneten Nachrichten löschen“.

Lösung

Als Lösung wurde von Software Guide daraufhin Folgendes eingesetzt:

1. Math Comment Spam Protection Plugin:
   Das Plugin habe ich vor wenigen Tagen geschrieben, es stellt beim Kommentieren simple Mathe-Aufgaben. Mehr zu dem Plugin siehe unten.
2. Trackback Validator Plugin: Markiert alle Trackbacks als Spam, welche auf dem verlinkenden Blog keinen Back-Link zur getrackbackten Seite haben.
3. Akismet: Läuft weiterhin im Hintergrund und blockt alles, was trotzdem durchkommt.

Auf Software Guide ist das Konzept bisher aufgegangen, kein einziger Kommentar kam durch, die Anzahl der als Spam markierten Kommentare ging auf < 20 Stück / Tag zurück. Robert verwendet seit 06.07. ebenso dieses Konzept, wie er unter Die sanfteste Methode gegen Werbemüll berichtet, und scheint bisher ebenso gute Erfahrungen zu machen.

Mathe-Anti-Spam

Die meisten Spams blockt von Anfang an das Math Comment Spam Protection Plugin. Diskussionen dazu siehe auch unter Dr. Web: Spamschutz mit Rechenaufgaben.
Das Plugin stellt in seiner Version 1.0 einfachste Additionsaufgaben. Selbstverständlich lässt sich das per Bot sehr einfach umgehen, indem man das HTML ausliest und die Summe entsprechend übergibt. Allerdings verwenden derzeit nur die wenigsten Blogs einen solchen Schutz, somit ist die Abdeckung für Spammer völlig uninteressant.

Weiter plane ich für die Zukunft, das Plugin entsprechend zu erweitern und auch die Ausgaben der Zahlen und Operatoren als Text anzubieten, u.v.m.

Bilder und Captchas möchte ich nicht verwenden, da diese die Zugänglichkeit weiter einschränken. Zudem sind auch Captchas meist sehr einfach durch Bots lösbar, siehe PWNtcha – captcha decoder, Using AI to beat CAPTCHA oder W3C: Inaccessibility of CAPTCHA.

Das mit den Matheaufgaben ist nur eine Maßnahme von mehreren, und ist sicherlich verbesserungswürdig. Da aber heute der allergrößte Teil aller Webseiten keinerlei solcher oder ähnlicher Maßnahmen zur Spam-Abwehr treffen, ist diese Maßnahme sehr wirkungsvoll. Einige Webmaster nutzen von noch einfachere Möglichkeiten, wie etwa eine Checkbox (Kommentar wird nur gespeichert, wenn diese gesetzt ist) oder Kommentarvorschau. Das Plugin mit den Matheaufgaben ist da einen Schritt weiter, aber sperrt keine Anwender aus (als wie es etwa bei Captchas der Fall ist), auch da die Aufgaben selbst sehr einfach gehalten sind.
Die Rechenaufgaben zu berücksichtigen ist für Spammer zum heutigen Stand völlig uninteressant, da dieses Antipspam-Verfahren nur von einer minimalen Anzahl an Webseiten genutzt wird. In ein paar Jahren mag dies anders aussehen, aber bis dahin gibt es auch eine neuere Version des Plugins :-)

Im Artikel Frühstücksfleisch wird immer aggressiver hatte ich auf das Plugin Did You Path Math? verwiesen, welches ganz einfache Rechenaufgaben stellt.

Beispiel:

Probleme mit diesem Plugin:

• Es lässt sich nur in wenige Themes sauber integrieren, und selbst da ist JavaScript notwendig zu Platzierung des Formularfeldes
• Der Besucher muss Cookies zulassen
• Gibt man einen falschen Wert ein (auch: fehlendes Pflichtfeld wie Email-Adresse), und geht nach der Fehlermeldung wieder zurück, so ist der Kommentar-Inhalt und damit u.U. viel investierte Mühe des Besuchers weg.
• Das Plugin führt unnötige Schreib- und Löschaktionen in der MySQL-Tabelle durch, wenn ein User ein falsches oder kein Ergebnis eingegeben hat; hier sollte eigentlich gar keine Schreib/Lösch-Aktion nötig sein.

Daher habe ich das Plugin Math Comment Spam Protection geschrieben.

Der Code ist komplett neu erstellt und basiert auf einem völlig anderen Konzept wie das Did You Path Math? – Plugin. Identisch ist die Idee dahinter: Der Besucher muss eine simple Rechenaufgabe lösen und gibt das Ergebnis in ein Formular ein.
Das Ergebnis wird über eine PHP-Funktion codiert und über ein verstecktes Feld übertragen. Nach dem Absenden des Formulars wird auch die Benutzereingabe mit dem selben Algorithmus encodiert und mit dem Wert des versteckten Feldes verglichen. Wenn die Werte übereinstimmen, wird der Kommentar veröffentlicht.

Ich kann nur sagen, dass es klappt ;-) Seit 2 Tagen ist das Plugin hier auf Software Guide im Testeinsatz, und statt mehreren tausend Spam-Kommentaren / Tag hatte ich jetzt keinen einzigen Spam-Kommentar mehr.

Trackbacks/Pingbacks funktionieren natürlich weiterhin, und gegen Spam-Trackbacks kann dieses Plugin nicht antreten. Daher habe ich vorhin noch das Plugin Trackback Validator installiert, welches alle Trackbacks als Spam markiert, welche auf dem verlinkenden Blog keinen Back-Link zur getrackbackten Seite haben.