All posts tagged “Wordpress”

D2k goes mobile

Ab sofort kann dieses Blog auch mit einem PDA oder iPhone in einer vernünftigen Ansicht betrachtet werden. Dank Matthias bin ich nämlich auf das Plugin WordPress-PDA gestoßen, das die Ausgabe recht komfortabel umbiegt und so gut wie keine weiteren Umbauarbeiten am Blog/Theme notwendig macht.

Und wo ich gerade schon mal dabei bin, habe ich mein WordPress gleich mal auf die Version 2.2.3 gehievt. Diese Version behebt neben div. kleineren Bugs auch ein paar Sicherheitslücken – ein Update ist also dringend empfohlen.

WordPress 2.2.2 und 2.0.11 released

WordpressFür das Blogsystem WordPress sind zwei neue Versionen veröffentlicht worden.

Die Version 2.2.2 sowie die Version 2.0.11 sind als reine Sicherheitsreleases gekennzeichnet und beheben unter anderem die kürzlich aufgetauchten Sicherheitslücken in den aktuellen WP-Versionen. Ein Upgrade wird daher allen Benutzern dringend empfohlen!

Für alle User der deutschen WordPress-Version steht wie immer neben dem Full-Update auch ein Update-Pack zur Verfügung, das lediglich die geänderten Dateien zur Vorgängerversion beinhaltet.

Eine Liste aller behobenen Fehler gibt es im WordPress-Trac, das offizielle Statement der Entwickler gibt´s wie immer auf WordPress.org.

[via Michael-Seitz.org]

Fünf neue Lücken in WordPress?

Fünf Schwachstellen – darunter SQL-Injection- und Cross-Site-Scripting-Lücken – in WordPress hat Benjamin Flesch in seinem Blog veröffentlicht. Vier dieser Lücken setzen allerdings einen Login als Administrator voraus, was meiner Meinung nach das Ausnutzen der Lücken gewaltig einschränkt.

Die von Benjamin gefundene Lücke in der Datei wp-admin/includes/upload.php stellt allerdings ein höheres Risiko dar, da sie sich schon mit den Rechten eines Autors ausnutzen lässt. Im WordPress-Trac gibt es diesbezüglich auch schon einen Eintrag, so dass ein entsprechendes Update seitens WordPress nicht mehr lange auf sich warten lassen dürfte.

Für genau diese Lücke hat Benjamin allerdings auch einen WordPress Wurm veröffentlicht, der die Cross Site Scripting (XSS) – Lücke ausnutzt und dem Benutzer dann helfen soll, diese direkt zu schließen. Markus Schlichting von mynethome.de hat den Wurm getestet und analysiert und rät:

[...] Es ist also dringend davon abzuraten, dem Wurm zu vertrauen. Patcht lieber von Hand, oder kontrolliert zumindest, was der Wurm verändert. [...]

Dem kann ich nur zustimmen, auch ohne den Wurm auf seine Funktion analysiert oder getestet zu haben. Es ist und bleibt der falsche Weg, Lücken durch deren Ausnutzung zu schließen, auch wenn dieses vom Autor nur gut gemeint war.

Mal ganz davon abgesehen, das “Otto Normal” nicht einschätzen oder gar feststellen kann, ob die Lücke nun wirklich geschlossen wurde oder nicht, Patches sollten entweder nur vom Hersteller/Autor der Software kommen oder zumindest als solcher ausgeliefert werden. Alles andere halte ich für fatal, denn hat sich erst mal ein “patching by Vulnerability” eingebürgert, gibt es mehr Lücken als man letztendlich schließen kann.

[via mynethome.de]

Simple Trackback Validation Plugin

Nachdem ich inzwischen fast 100.000 Spam-Kommentare hier bei mir begrüßen durfte, habe ich mich entschlossen, das Simple Trackback Validation Plugin zu installieren … mit Erfolg! Die Anzahl der eingehenden Spam-Kommentare hat merklich abgenommen.

Danke an Tommy übrigens für den Tip!

D2k – Upgrade auf WordPress 2.2.1

Nach dem Release der 2.2.1 Version von WordPress habe ich heute auch mein Blog einem Update unterzogen. Zwar ist die Version 2.2.1 ein reiner Bugfixrelease, allerdings wurden auch einige Sicherheitsrelevante Lücken geschlossen, wodurch das Update ein Muss sein dürfte.

Die vollständige List der behobenen Fehler und geschlossenen Lücken gibt es übrigens hier.

WordPress 2.2.1 released

WordPress wurde heute in der Version 2.2.1 veröffentlicht. Neben diversen Bugfixes sind auch einige Sicherheitslücken geschlossen worden, so dass für alle 2.2 User ein Upgrade dringend empfohlen wird.

Update
Die deutsche Version 2.2.1 ist, nebst Upgradepaket für 2.2 auf 2.2.1, ebenfalls verfügbar.

Backlink-Tracking mit Blogstorm

Bei Dr. Web bin ich auf einen interessanten Dienst zum Backlink-Tracking namens Blogstorm gestoßen. Blogstorm versucht mittels einer Yahoo Developer-API und einer PHP-Datei, die auf den Server geladen werden muss, Backlinks auf einzelne Artikel ausfindig zu machen.

Als Ergebnis liefert Blogstorm neben einer einfachen Text-Statistik, auch eine grafisch aufbereitete Darstellung, die allerdings Adobe Flash voraussetzt. Mittels eines Plugins können WordPress-Nutzer die Grafiken in ihren “Tellerrand” übernehmen.

Das Ganze habe ich natürlich gleich mal für D2k angelegt, allerdings wird es wohl noch ein paar Tage dauern, bis dort ein paar vernünftige Ergebnisse auftauchen.

[via Dr. Web]

SQL-Injection in WordPress

Auf Milw0rm wurde ein Exploit für eine Remote SQL-Injection für das Blogsystem WordPress veröffentlicht, mit der Angreifer eigene Befehle an die Datenbank von WordPress übergeben und so Inhalte manipulieren oder Namen und Passwort-Hashes anderer Nutzer auslesen können.

Verursacher ist die Funktion wp.suggestCategories im Modul xmlrpc.php, die übergebene Parameter nicht richtig filtert und so beliebige SQL-Aufrufe an die Datenbank weitergibt.

Der Fehler betrifft wahrscheinlich alle WordPress-Versionen bis einschließlich 2.2. Zwar lässt sich der Exploit nur als angemeldeter Nutzer ausnutzen, Anwender sollten aber ASAP das Update der xmlrpc.php aus den Entwickler-Repositories einspielen.

Wer es lieber händisch mag, muss in der Zeile 541

$max_results = $args[4];

gegen

$max_results = (int) $args[4];

austauschen … zumindest passt dieses auf die xmlrpc.php der Version 2.2. Wie der Code in den Versionen < 2.2 aussieht, kann ich IMO leider nicht sagen.

Movable Type wird Open Source

MT LogoMit dem Release der ersten Beta-Version der Blog-Software Movable Type 4 hat Six Apart angekündigt, dass die Software künftig als Open Source zu haben ist. MT4 steht ab sofort unter movabletype.com/mt4/ zum Download bereit und noch 2007 soll eine Open-Source-Version von Movable Type 4 unter der GPL folgen.

Zugegeben, MT 4 hat einiges neues zu bieten, wie z.B. das neuen User-Interface oder die komplett neu gestaltete Komponentenarchitektur, aber reicht das, um den Platzhirsch WordPress vom Thron zu stürzen?

Das in php geschriebene WordPress bietet, danke der riesigen Community die hinter dieser Blog-Software steht, quasi fast unendliche Möglichkeiten, sein Blog mit Themes und Plugins nach eigenen Wünschen zu gestallten und anzupassen. Auch haben meiner Meinung nach Anfänger in der Regel weniger Hemmungen php-Code anzufassen, als sich in die Tiefen von Perl einzuarbeiten.

Zugegeben, auch MT hat einige nette Features anzubieten, vor allem die Template-Tags von MT sind meiner Ansicht nach eine sehr elegante Lösung und auch die BuildIn Funktion für die Platzierung von Adsense lässt sich bei WP nur mit einem Plugin lösen.

Es bleibt also abzuwarten, ob und wie sich die neue MT-Version in die weltweite Bloglandschaft integriert und ob es Six Apart gelingt, einen ernstzunehmenden Konkurrenten in die OSS-Welt zu entlassen.

[via Golem.de]

Trackback testen

Auf pingates.com gibt es ein kleines Tool, mit dem man Trackbacks auf sein Blog simulieren und somit testen kann. Einfach Blog Addresse, Post Titel und Trackback Url eingeben, das Ganze abschicken und hat man einen Trackback zum Artikel … theoretisch, bei mir landete nämlich der simulierte Trackback im Akismet-Spam-Ordner.

Ergo, ein durchaus nützliches Tool, vor allem wenn man das Gefühl hat, die eigene Blogsoftware läuft nicht so rund, wie sie eigentlich laufen sollte.

Allerdings klärt das Tool leider immer noch nicht, wieso bei mir einige Pingbacks von WordPress verarbeitet werden und andere wiederum nicht. Laut xmlrpc.log kommen sie definitiv an …