Ich habe gerade mit Erstaunen festgestellt, wie viele Links noch auf meine „alte“ Domain verweisen. Stammleser werden sich erinnern: Mein Blog lief lange Zeit auf meinem PC hier zu Hause und war nur unter einer DynDNS-URL erreichbar: tagg.selfip.com.

Ich hatte zwar kurz nach dem Start meines neuen Blogs (Kennt eigentlich jemand hier noch mein altes? Das startete immerhin 2002!) die nun verwendete Domain registriert, aber aus den unterschiedlichsten Gründen den Umzug dorthin immer wieder aufgeschoben. In der Zwischenzeit landete mein Blog dann schon auf diversen Blogrolls und wurde aufgrund einiger Artikel auch recht gut verlinkt. Den Durchbruch gab es dann, als ich meine Variation des Fresh Themes veröffentlichte. Und wie ich soeben bei Technorati feststellte: Nach wie vor verweisen immer noch 432 Links von 222 Blogs auf meine alte URL! Wow! Zum Vergleich: Auf www.xsized.de verweisen aktuell 337 Links von 184 Blogs.

Neugierig geworden war ich einfach nur, weil nach wie vor eine ganze Menge Besucher von der alten URL aus auf mein Blog geleitet werden. Beobachte das täglich in meinen Statistiken und deshalb musste ich jetzt einfach mal nachschauen.

Jetzt könnte ich mir natürlich die Mühe machen und alle Blogger, die meine alte URL in der Blogroll haben, auf meine aktuelle Adresse hinweisen. Aber erstens käme ich mir da vor wie ein dummer Spammer und zweitens ist mir das auch zu viel Aufwand für solch eine Nebensächlichkeit. Aber vielleicht liest ja der eine oder andere diesen Beitrag und passt dann doch mal irgendwann seine Blogroll an. Und wenn nicht: Halb so wild, dafür hab ich ja die Weiterleitung eingerichtet.

Im WordPress Development Blog gibt es Informationen zum Update auf WordPress 2.07, welches nun in der endgültigen Version vorliegt. Es handelt sich um ein Security-Update, welches den kürzlich im Detail bekannt gewordenen Exploit fixen soll. Zudem wird der Fehler beim ausliefern der Feeds im Zusammenhang mit Feedburner behoben.

Da mit diesem Update ein Fehler in PHP umgangen wird, der die Möglichkeit einer SQL-Injection eröffnet, empfehle ich allen ein recht zügiges Update ihrer WordPress Installation.

Folgende Dateien haben sich seit 2.06 geändert:

• wp-admin/inline-uploading.php
• wp-admin/post.php
• wp-includes/classes.php
• wp-includes/functions.php
• wp-settings.php
• wp-includes/version.php

Details zu allen Änderungen findet Ihr hier.

Als ich grad bei Metty wieder davon las fiel mir wieder ein, dass ich auf diesen Exploit noch hinweisen wollte. Er kursiert schon länger und funktioniert leider auch noch unter WordPress 2.06. Der Exploit setzt an der wp-trackback.php an, weitere Details möchte ich hier nicht veröffentlichen, habe an einigen Stellen schon mehr Informationen gefunden.

Eine Vorraussetzung, dass dieser Exploit auch für Eure WordPress-Installation gefährlich werden könnte ist, dass der PHP-Paramter register_globals auf on steht. Dies könnt Ihr zum Einen in der php.ini sehen, sofern Ihr darauf Zugriff habt, zum anderen über die Funktion phpinfo() überprüfen. Sollte bei Euch der Parameter auf on gesetzt sei, schleunigst ändern oder dem Hoster Bescheid geben, dass er die Änderungen vornimmt. Sollte dieser nicht schnell genug reagieren, benennt temporär Eure wp-trackback.php um, auch wenn dann vorübergehend Trackbacks nicht funktionieren. Ist in jedem Fall das kleinere Übel.

Der Exploit basiert im übrigen auf SQL Injection, eigentlich keine neue Sache. Deshalb ist es besonders ärgerlich, dass er immer noch funktioniert. Version 2.07 von WordPress soll das Problem nun wohl endlich beheben, Release Candidate 1 ist bereits verfügbar (von einer Installation in der Produktivumgebung rate ich allerdings ab!).

Da ich seit einiger Zeit aufgrund sehr eigenartiger Backlinks den Verdacht hege, mein Feed wird von anderen für ihre Webseiten/Blogs missbraucht, habe ich heute das WordPress-Plugin ©Feed von Frank Bueltge installiert.

Das Plugin versieht die einzelnen Beiträge im Feed mit einem zusätzlichen Copyright-Hinweis und zudem mit einem Digitalen Fingerabdruck. Genau dieser kann nun verwendet werden, um einen möglichen Contentdieb aufzuspüren, indem man nach diesem Fingerprint beispielsweise bei Google sucht. Besonders schick an diesem Plugin: Es liefert eine intergrierte Suche direkt mit und zeigt auf der Pluginseite mögliche Zweitverwerter an.

Wenn alles klappt wie gewünscht, dann sollte mein Feed ab sofort diesen Copyright-Hinweis enthalten. Und für den Fall dass ich einen dieser kleinen Schmarotzer aufspüren sollte, werde ich an dieser Stelle natürlich darüber berichten.