Wordpress Archive

Nachdem Matt Akismet, seine zentralisierte Lösung zur Prüfung von Kommentarspam, vorgestellt hatte, konnte es nicht lange gehen, bis die ersten Plugins dazu geschrieben werden.

Ein für mich ganz interessantes ist „Spam Karma 2 Akismet Plugin“, welches derzeit noch im Beta-Stadium ist. Genaugenommen ist das Plugin ein „Plugin fürs Plugin“, denn es klinkt sich in Spam Karma 2 ein und lässt sich auf den Optionsseiten von Spam Karma 2 administrieren.
Liegt das von Spam Karma 2 vergegebene Karma zu einem Kommentar in einer (einstellbaren) Spanne, sendet das „Spam Karma 2 Akismet Plugin“ den Kommentar zur Verifizierung auch noch an Akismet, so dass die Wahrscheinlichkeit zur Vermeidung von Spam noch besser wird.

Sehr gelungene Idee, finde ich. Ich werde das darum in den nächsten Tagen selber in diesem Blog testen.

Kaum hat Matt den Blog-Hostingservice wordpress.com lanciert, folgt schon die nächste Idee: Mit Akismet, einer zentralen Lösung im Kampf gegen Kommentarspam. Mittels eines Plugins werden sämtliche Kommentare, Ping- und Trackbacks zuerst an den Akismet-Server geleitet, welcher die Kommentare nach allen möglichen Auffälligkeiten untersuchen soll.

Vorteil an dieser Lösung ist sicherlich, dass das System (hoffentlich) immer auf dem neusten Stand in Sachen Spam ist. Dazu trägt auch bei, dass das System von seinen Nutzern lernen und somit Spam recht effektiv erkennen soll.

Nachteil dieser Lösung ist einmal mehr die Zentralisierung, so dass es eher als bei dezentralisierten Diensten zu Problemen kommen kann (ein gutes Beispiel dazu ist sicher der Service von Gravatar.com, der in letzter Zeit wohl mehr steht als läuft). Zwar hat Matt auch da vorgesorgt: Ist das System überlastet oder down, werden die Kommentare einfach in die Moderationsschlaufe von WordPress geschoben und können vom Admin manuell freigegeben werden.

Um das Ganze aber spannend und „in the news“ zu halten, gibts das Ganze derzeit nur für Blogger, die bereits einen WordPress.com-Account haben, denn zum benötigten persönlichen API-Key kommt man nur auf den Admin-Seiten eines WordPress.com-Blogs. Wer also noch keinen solchen hat, dem bleiben zwei Möglichkeiten: Entweder auf WordPress.com einschreiben und auf ein Golden Ticket warten, oder sich Flock herunterladen. Mit dem Download bekommt man nämlich auch einen WordPress.com-Invite.

Die Macher von WordPress.de bieten seit dem 11. Oktober 2005 nun auch einen Ping-Service an. Die Pings können auf ping.wordblog.de gesendet werden und die Liste der aktualisierten Blogs erscheint sowohl auf WordPress.de als auch auf WordBlog.de.

Mehr Informationen dazu gibts direkt bei Worldblog.de unter Pingservice.

Nun bin auch ich an einen Account bei wordpress.com gekommen und konnte mich auf dem neuen kostenlosen Blog-Hostingservice des „WordPress-Erfinders“ Matt Mullenweg etwas umsehen. Der Service läuft unter WordPress MU und bietet bereits einige Features der kommenden 1.6-Version von WordPress wie den WYSIWYG-Editor und eine Anzeige der Referrer.
Die Themes sind vorgegeben und nicht editierbar und stehen derzeit nur in Englisch zur Verfügung.

Wer das nun selbst ausprobieren und eine Einladung für wordpress.com haben möchte, hinterlässt einfach einen Kommentar hier und schon gehen Träume in Erfüllung 😉
Aber Achtung: Ich habe derzeit nur einen einzigen Invite zu vergeben. Ob ich danach die Möglichkeit habe weitere Invites zu vergeben, habe ich noch nicht herausgefunden.

Wer lieber eingedeutschte Templates nutzen will, findet bei wordblog.de eine entsprechende Anmeldung. Auch dort ist der Service noch nicht öffentlich, aber einmal angemeldet, kommt man sicher früher oder später zu einem Invite.

Und zum Schluss noch dies: Geld lässt sich mit einem solchen Invite offenbar nicht machen…

Nachdem ich in den letzten Wochen Pingbacks aus anderen Blogs vermisste, obwohl dort auf Posts hier verwiesen wurde, wurde ich misstrauisch. Und siehe da, Robert Basic berichtete mir via eMail vom gleichen Phänomen.

MacManX ging der Sache auf den Grund und nun ist zumindest klar, wo das Problem liegt: Bad Behavior 1.2.1 und 1.2.2 blocken als neues Feature alle Requests, welche einen leeren user-agent string enthalten. Und Pingbacks von WordPress Blogs enthalten tatsächlich einen leeren user-agent string. Somit verwehrte Bad Behavior in den letzten Wochen allen hier eingehenden Pingbacks den Zugriff.

Der grundsätzliche Ansatz von Bad Behavior ist zwar durchaus gut gemeint, aber im Nachhinein betrachtet doch etwas zu rigoros. Immer wieder mussten Updates des Plugins durchgeführt werden, da dieses einmal den MSN-Bot und dann wieder irgend jemand anders aussperrte. Das macht die Verwaltung des Plugins aber äusserst aufwendig und lässt einem immer wieder zweifeln, ob man vielleicht gerade wieder jemanden aussperrt.
Ich habe mich darum nach den ersten positiven Erfahrungen von Robert mit Spam Karma 2 entschlossen, diesem Plugin eine Chance zu geben. Immerhin werden mit Spam Karma 2 die Requests nicht von vorneherein verweigert und False-Positives lassen sich ohne Probleme zurückholen.

Für alle, die sich eine Installation von SpamKarma 2 überlegen, sei an dieser Stelle noch auf den Post von Thomas Schewe, „Bad Behavior blockt Spamkarma 2„, hingewiesen, welcher erklärt, wieso in den Optionen von Spam Karma 2 die Option TrackBack Referrer Check ausgeschaltet werden sollte.

So, und nun hoffe ich auf erfolgreiche Testwochen mit Spam Karma 2.

… war das Erste, was mir heute beim Abruf meiner Seiten aufgefallen ist. Ein kurzer Blick auf den Server zeigte denn auch eine Prozessorauslastung von 100%, welche der Apache– und MySQL-Dienst unter sich aufteilten. Das Error-Log des Apache zeigte denn auch seitenweise

PHP Warning: mysql_affected_rows(): A link to the server could not be established in wp-db.php on line 155

an, was an sich ja wirklich auf einen Fehler oder zumindest ein Problem hinwies. Da ich in den letzten Tagen nichts an den Konfigurationen gebastelt habe, fiel die Fehlersuche um so schwerer. Nach Rumpröbeln an den Apache- und MySQL-Konfigurationen dann endlich doch mal ein erleuchtender Einfall: Wieso nicht mal die WordPress-Plugins der Reihe nach deaktivieren?
Und siehe da, mit ausgeschaltetem Bad Behavior lief der Server auf einmal wieder rund. Aber um die Ehre von Bad Behavior zu retten: Schuld war nicht das Plugin selbst, sondern die dazugehörigen Datenbanktabellen. Wieso ist mir bis jetzt allerdings noch immer nicht klar, denn die Tabellen waren weder korrupt noch sonstwie beschädigt.

Lange Rede, kurzer Sinn: Bad Behavior-Tabellen gelöscht und schon läuft das Serverchen wieder auf Hochtouren 🙂

Schon mehrmals habe ich über eingehende Trackbacks gestaunt, in denen zwar der Bezug zum Thema stimmte, ich bzw. mein Post aber nirgends erwähnt wird. Und gerade eben kam wieder ein solcher Trackback rein. Bis jetzt führte jeder solche Trackback umgehend zu einem nervösen Mausklicken über der „Löschen“-Taste.
Ist es nicht so, dass ein Trackback zeigen soll, dass auf meinen Post Bezug genommen wird? Wenn ja „nur“ das Thema ausschlaggebend ist, dann müsste ich bei einigen Artikeln ganze Armadas von Trackbacks absetzen…

Oder wie seht ihr das? Trackback, wenn auf einen Post Bezug genommen wird oder reicht schon „nur“ dasselbe Thema? Ich bin gespannt…

Ein neuer WordPress-Exploit geistert derzeit durch das Internet. Betroffen sind alle WordPress-Versionen bis und mit 1.5.1.3 bei welchen die PHP-Variable register_globals=on gesetzt ist.
Ist register_globals auf off gesetzt (was heutzutage ja meist der Fall sein sollte), besteht keine Gefahr, wie Florian Holzhauser berichtet.

(via BasicThinking)

Nach dem WordPress-Update vor einigen Tagen auf Version 1.5.1.3 ist mir aufgefallen, dass von mir gesandte Trackbacks nicht mehr die Permalink-URL enthalten. Also anstelle von bpsw. http://example.com/a-post wird http://example.com/?p=204 gesandt und dann logischerweise auch so im verlinkten Blog angezeigt.

Offenbar ist das Problem bereits seit 1.5.1 bekannt, zumindest ist der Fehler bereits seit dieser Version in der Bug-Datenbank von WordPress hinterlegt:

In 1.5.1, draft posts are not given a permalink GUID since the post slug is not set on a draft post. Instead, a query string GUID is used. Once pubilshed, the GUID should be updated so that a proper permalink-style GUID is used. The GUID life cycle should be similar to the post slug lifecycle. Leave the GUID blank for draft posts. Set the GUID once published.

Nachdem der Bug seit dem 19. April 2005 als „minor“ klassifiziert wurde, erhielt er am 6. Juli 2005 immerhin die Klassifizierung „major“, was auf eine baldige Behebung mittels eines Patches hoffen lässt.

WordPress ist ab sofort in der Version 1.5.1.3 erhältlich. Das Update soll ein Sicherheitsproblem beheben, wie im WordPress Blog zu lesen ist:

The problem is not yet public but you should update your blog as soon as possible to 1.5.1.3. If you are unable to do upgrade in the short-term you may protect yourself by deleting the xmlrpc.php file from your WordPress directory.

Und wenn wir grade bei Updates sind: Auch das Plugin Bad Behavior erfuhr ein Update und ist nun in der Version 1.1.2 erhältlich. Auch hier ist ein Update zu empfehlen, da die vorherige Version offenbar den MSNBot aussperrt.

[ Update ] 15:00 Uhr
Evil.Bert schreibt in seinem Blog dimension2k:

Mehr Details über die Schwachstelle wurden bislang noch nicht veröffentlicht, allerdings scheint das Problem weitreichender zu sein. In einem heute auf Heise.de veröffentlichten Artikel über eine Schwachstelle im CMS-Postnuke wird den Usern ebenfalls geraten die Datei xmlrpc.php zu löschen.

Das Changelog zur Version 1.5.1.3 befindet sich übrigens hier.