30. Mai, 2007
Im niegelnagelneuen WordPress 2.2 wurde eine neue Sicherheitslücke entdeckt: per SQL Injection ist es möglich, die Tabelle wp_users auszulesen, wenn der Angreifer einen gültigen Useraccount für das Blog besitzt. Der Fehler sitzt in der Datei xmlrpc.php.
Nun habe ich ja bereits vor einiger Zeit die Benutzerregistrierung auf meinem Blog deaktiviert, insofern ist nicht damit zu rechnen, dass jemand über einen gültigen Account verfügt. Dennoch macht es Sinn, den verfügbaren Workaround zu nutzen, um das Loch zu stopfen. Da noch kein Patch existiert, muss selbst Hand angelegt werden. Dazu wird die Datei xmlrpc.php (liegt direkt im Hauptverzeichnis Eures Blogs) mit einem Texteditor geöffnet und um die Zeile 541 herum (in der Funktion wp_suggestCategories) der folgende Code-Block gesucht:
$blog_id = (int) $args[0];
$username = $args[1];
$password = $args[2];
$category = $args[3];
$max_results = $args[4];
Die letzte Zeile ändert ihr nun um in
$max_results = (int) $args[4];
Speichern, wieder auf den Server laden und das Problem sollte beseitigt sein.
via Clazh und BloggingTom
Tags:
blog-software,
Security,
wordpress
28. Mai, 2007
In den letzten Tagen landen hier immer mehr Kommentare erst mal auf der Spamliste. Ich kann nicht nachvollziehen, aus welchem Grund Akismet diese Kommentare aussortiert. Selbst wenn sie keinerlei Links enthalten (also selbst wenn das Feld „Webseite“ im Formular nicht ausgefüllt wurde), werden sie als Spam deklariert.
Ich habe den Eindruck, dass das seit meinem Upgrade auf WordPress 2.2 passiert. Mit Gewissheit kann ich es nicht sagen, aber ich bin relativ sicher. Aktuell wird in etwa jeder 3. Kommentar falsch klassifiziert, das ist bei dem aktuellen Kommentaraufkommen durchaus zu verschmerzen. Allerdings darf ich nicht versäumen, nun regelmäßig nachzuschauen. Also bitte nicht wundern, wenn ein Kommentar von Euch nicht sofort zu sehen sein sollte.
Ist dieser Effekt auch schon anderen aufgefallen? Falls nicht, dann könnte ich es vielleicht auf irgendeine Plugin-Konstellation zurückführen, irgendwelche Unverträglichkeiten unter WP2.2. Aber im Augenblick hab ich da keinerlei Anhaltspunkte…
Tags:
Akismet,
Links,
plugin,
Spam,
wordpress
23. Mai, 2007
Na, hat jemand eine Idee? Das Bildblog vielleicht? Roberts Basic Thinking? Oder gar Spreeblick?
Weit gefehlt! Alles garnix im Vergleich zu peti! In der Top-100-Liste bei Technorati steht dieses Blog mit einer Authority (der neue Schwanzlängenmaßstab) von 4614 GANZ WEIT vor all den oben genannten auf Platz 56! Mit 16 Links auf sein Blog schafft er somit den Sprung in die oberste Liga der deutschen Blogger. Nein, er lässt alle anderen weit hinter sich. Zum Vergleich: Robert hat mit seinen 18,979 Blogverlinkungen gerade mal eine Authority von 1959 und landet somit abgeschlagen ganz weit hinten… Klar, peti ist sicherlich durch seine Mitarbeit am deutschen WordPress so weit nach oben geflutscht, aber wo sind die Links, anhand derer das berechnet wird?
Aufgefallen ist mir das eben gerade, als ich mir das neue (und durchaus recht ansehnliche) Design von Technorati angeschaut und dabei ein wenig gestöbert habe. Ich hoffe sehr, nach den Änderungen am Design wird bei Technorati nun endlich mal etwas an den Routinen im Hintergrund geschraubt. Denn das hier gezeigte Beispiel ist nur ein zu deutlicher Hinweis darauf, dass die Zahlen schlicht und ergreifend nix taugen und zudem ganz augenscheinlich auch noch äußerst eigentümlich verwurstelt werden.
Ein weiterer Hinweis darauf, dass da mit dem Code so einiges nicht ganz stimmt ist die Tatsache, dass in meinen Blogreactions bei Technorati immer wieder Links von meinen Artikeln auf beliebige andere Artikel meines Blogs auftauchen, die sich ständig ändern, mal verschwinden und wieder erscheinen… Sehr mysteriös das Ganze.
Aber vielleicht hab ich das Ganze Thema auch einfach nur noch nicht so ganz verstanden 😉
Tags:
fundsachen,
Links,
nicht ganz ernstl,
nicht wichtig,
Technorati,
wordpress
