Wordpress Archive

Kampf dem Kommentarspam

Nachdem ich im Kampf gegen den Kommentarspam vor einigen Monaten Spam Karma 2 installiert hatte, konnte ich wieder beruhigt schlafen. Das Plugin arbeitete äusserst zuverlässig, erkannte Spam praktisch immer oder schob den Kommentar bei der geringsten Unsicherheit in die Moderationsschleife (was allerdings sehr selten vorkam). Ende Januar 2006 machte Dr. Dave dann auf eine „neue Generation von Spam-Bots“ aufmerksam und berichtete davon, dass darunter auch die Erkennungsrate seines Plugins Spam Karma 2 leidet.
Bis gestern kannte mich die junge Generation von Spam-Bots offenbar noch nicht, denn ich hatte mit keinem erhöhten Spam-Aufkommen zu kämpfen. Heute jedoch stellte ich mit Erstaunen fest, dass es von 42 Spamkommentaren ganze 38 direkt ins Blog geschafft hatten und nur vier in der Moderationsschleife landeten, was natürlich unbefriedigend ist.

Ich habe mich darum entschlossen, gleich die entsprechenden Gegenmassnahmen zu starten und habe, neben dem Upgrade auf Spam Karma 2.1, nun auch in diesem Blog das Spam Karma 2 Akismet Plugin von Sebbi installiert. Das Akismet Plugin ist quasi ein Plugin fürs Spam Karma 2 Plugin (Haben wir eine Plugin-eritis?) und lässt die Kommentare bei Unsicherheiten auch noch von Akismet überprüfen. Diese Variation habe ich bereits seit einiger Zeit erfolgreich auf Travelbogger im Einsatz und das Hotlinking Blog nutzt standardmässig sowieso Akismet, da es ja direkt auf wordpress.com gehostet ist.

Auf BloggingTom schlagen aber im Vergleich zum Travelblogger und zum Hotlinking Blog einige Kommentare mehr auf und ich bin deshalb gespannt, wie sich das auf die Verlässlichkeit der genannten Plugins auswirkt. Für die Kommentatoren sollte sich (hoffentlich) nicht viel ändern, ich werde zur Sicherheit in den nächsten Tagen aber ein paar Blicke mehr auf die als Spam gelisteten Kommentare werfen. Wär ja schade, wenn die nun neu aufgeschaltete Kombination von Plugins eure Kommentare auf einmal als Spam ansieht…

WP Paged Comments Plugin

Kommentare zu Postings können manchmal ganz schön unübersichtlich werden, und mit der Anzahl der Kommentare steigt auch die Ladezeit der Seite. Dies ist auch beim Post „Die Eypo AG schlägt zurück„, einem der beliebtesten Artikel auf diesem Blog, nicht anders. Nachdem die Anzahl der Kommentare dort auf über 250 angestiegen ist, habe ich mich entschlossen, das WordPress-Plugin „Paged Comments“ zu installieren und gezielt beim genannten Posting einzusetzen.

Das Plugin erlaubt die Verteilung der Kommentare auf verschiedene Seiten, bietet diverse Optionen, wie auf- oder absteigende Anzeige, generelle Nutzung der Funktion oder nur für bestimmte Postings und funktioniert sowohl unter WordPress 1.5 als auch unter der neuen Version 2.0.

Einzig die umgekehrte Reihenfolge der Kommentare ist etwas gewöhnungsbedürftig, aber notwendig, denn würde man die Reihenfolge umkehren, wären die neuesten Kommentare auf der „letzten“ Seite, was viele dann wohl übersehen dürften. Da ich das Plugin aber nur gezielt einsetzen werde, sollte sich die Verwunderung in Grenzen halten…

Das Plugin gibts übrigens auch in einer „eingedeutschten“ Version bei Frank Bültge.

Sicherheitslücke in WP-Stats Plugin

Gemäss Secunia weist das WordPress Plugin WP-Stats eine Sicherheitslücke auf, die es Angreifern erlaubt, SQL-Code auf dem Server auszuführen:

Preddy has discovered a vulnerability in WP-Stats, which can be exploited by malicious people to conduct SQL injection attacks.

Input passed to the „author“ parameter in wp-stats.php isn’t properly sanitised before being used in a SQL query. This can be exploited to manipulate SQL queries by injecting arbitrary SQL code.

The vulnerability has been confirmed in version 2.0. Other versions may also be affected.

Da bisher kein Patch verfügbar ist, empfiehlt es sich, das Plugin zu deaktivieren.

[Update]
Und bereits gibts ein Update für das Plugin, welches die Lücke schliessen soll…

(via Weblog Tools Collection)

HowTo: WordPress-Upgrade

Nachdem WordPress nun in der neuen Version 2.0 erschienen ist, gibt es auch bereits etliche Postings zum Thema. Manuel Bieh hat sich die Mühe gemacht, und die englischsprachige Upgrade-Anleitung in eine deutsche Version zu übersetzen.

Allen, die mit einem Upgrade liebäugeln, möchte ich diese Anleitung wärmstens ans Herz legen. Ich werde, wie bereits hier erwähnt, vorläufig noch zuwarten, da meine Blogs so laufen, wie ich mir das vorstelle und ich bis jetzt auch kein wirklich wichtiges Feature in der neuen Version finden konnte, das mich von einem sofortigen Upgrade überzeugen könnte…

Weitere interessante Postings zum Thema:

WordPress 2.0 kommt

Wie Matt auf der Mailingliste „wp-hackers“ bekanntgab, soll die Version 2.0 von WordPress innerhalb der nächsten 48 Stunden „released“ werden.

Alle, die nun gerade in einen „Upgrade-Hype“ verfallen, seien aber gewarnt. WordPress 2.0 bringt viele Neuerungen und Änderungen mit, so dass das Blog nach einem Upgrade nicht unbedingt weiterläuft wie vorher… Neben kosmetischen Änderungen, wie beispielsweise dem WYSIWYG-Editor (den ich persönlich sowieso nicht nutzen würde), gibts vor allem „unter der Haube“ einige Neuerungen.

Auch die Plugins sollten vor einem Upgrade auf ihre Funktionstüchtigkeit unter der Version 2.0 geprüft werden. Viele Plugins funktionieren nicht (oder noch nicht) mit WordPress 2.0. Einen Anhaltspunkt zur Kompatibilität der Plugins zur Version 2.0 bietet der Post „Plugin Compatibility“ von Matt. Auch der Artikel „What’s not gonna work in WordPress 2.0“ von Owen gibt weitere Hinweise zum Thema.

Ich werde mit einem Upgrade derzeit zuwarten. Meine Blogs laufen ohne Probleme und ich sehe derzeit gar keinen Grund für ein rasches Update.

Allen die sich nun mit dem Gedanken eines Upgrades beschäftigen, sei jedoch ans Herz gelegt, dass ein Backup (und zwar ein vollständiges, inklusive Dateien und Datenbank) einem vor manchen Überraschungen schützen kann. Zwar gilt das „Backup-Gebot“ immer und unabhängig von einem Upgrade, aber gerade bei einem „Major-Upgrade“ wie der Sprung zur Version 2.0, ist das Backup schlicht ein Muss…

Akismet Plugin für Spam Karma 2

Nachdem Matt Akismet, seine zentralisierte Lösung zur Prüfung von Kommentarspam, vorgestellt hatte, konnte es nicht lange gehen, bis die ersten Plugins dazu geschrieben werden.

Ein für mich ganz interessantes ist „Spam Karma 2 Akismet Plugin“, welches derzeit noch im Beta-Stadium ist. Genaugenommen ist das Plugin ein „Plugin fürs Plugin“, denn es klinkt sich in Spam Karma 2 ein und lässt sich auf den Optionsseiten von Spam Karma 2 administrieren.
Liegt das von Spam Karma 2 vergegebene Karma zu einem Kommentar in einer (einstellbaren) Spanne, sendet das „Spam Karma 2 Akismet Plugin“ den Kommentar zur Verifizierung auch noch an Akismet, so dass die Wahrscheinlichkeit zur Vermeidung von Spam noch besser wird.

Sehr gelungene Idee, finde ich. Ich werde das darum in den nächsten Tagen selber in diesem Blog testen.

Akismet – Spamschutz für WordPress

Kaum hat Matt den Blog-Hostingservice wordpress.com lanciert, folgt schon die nächste Idee: Mit Akismet, einer zentralen Lösung im Kampf gegen Kommentarspam. Mittels eines Plugins werden sämtliche Kommentare, Ping- und Trackbacks zuerst an den Akismet-Server geleitet, welcher die Kommentare nach allen möglichen Auffälligkeiten untersuchen soll.

Vorteil an dieser Lösung ist sicherlich, dass das System (hoffentlich) immer auf dem neusten Stand in Sachen Spam ist. Dazu trägt auch bei, dass das System von seinen Nutzern lernen und somit Spam recht effektiv erkennen soll.

Nachteil dieser Lösung ist einmal mehr die Zentralisierung, so dass es eher als bei dezentralisierten Diensten zu Problemen kommen kann (ein gutes Beispiel dazu ist sicher der Service von Gravatar.com, der in letzter Zeit wohl mehr steht als läuft). Zwar hat Matt auch da vorgesorgt: Ist das System überlastet oder down, werden die Kommentare einfach in die Moderationsschlaufe von WordPress geschoben und können vom Admin manuell freigegeben werden.

Um das Ganze aber spannend und „in the news“ zu halten, gibts das Ganze derzeit nur für Blogger, die bereits einen WordPress.com-Account haben, denn zum benötigten persönlichen API-Key kommt man nur auf den Admin-Seiten eines WordPress.com-Blogs. Wer also noch keinen solchen hat, dem bleiben zwei Möglichkeiten: Entweder auf WordPress.com einschreiben und auf ein Golden Ticket warten, oder sich Flock herunterladen. Mit dem Download bekommt man nämlich auch einen WordPress.com-Invite.