Uha … jemand hat sich auf dem Downloadserver von WordPress Zugang verschafft und eine Version mit Sicherheitsloch hochgeladen. Wer in den letzten Tagen Version 2.1.1 heruntergeladen hat, hat höchstwahrscheinlich eine infizierte Version und sollte – wie jeder andere auch – schnell auf Version 2.1.2 upgraden.
via wordpress.org
P.S.: Das mit den Smilies funktioniert immer noch nicht … unglaublich
Hatte ja schon berichtet, dass es einen weiteren Bug in WordPress 2.0.6 gab. Jetzt gibt es auch das offizielle Update auf Version 2.0.7. Die Entwickler versichern weiterhin trotz der kommenden Version 2.1 alle 2.0 Versionen noch ein paar Jahre zu unterstützen. Prima! Aber ich habe 2.1 schon auf einem Testblog laufen und ich denke ich werde darauf umsteigen, enthält es doch ein paar nette Neuerungen.
via Cappellmeister
Wer noch mit 2.0.5 bloggt ist sowieso nicht sicher, aber auch die aktuelle 2.0.6 Version scheint einen Bug zu haben, der SQL-Injection erlaubt. Zur Zeit wird auf der WordPress-Mailingliste eifrigst die Version 2.0.7 getestet und ist auch schon als RC1 herunterladbar (auf eigene Gefahr).
http://wordpress.org/beta/wordpress-2.0.7-RC1.zip
Changes:
1. worked around a PHP bug for PHP4 < 4.4.3 and PHP5 < 5.1.4 with register_globals ON that could lead to SQL injection or other security breaches 2. Feeds should properly show 304 Not Modified headers (a.k.a. the FeedBurner bug) instead of mismatched 200/304 headers 3. Backport of another 304 Not Modified fix from trunk (Etag mismatch on certain hosts would cause 200 OK and content to always be served, a waste of bandwidth) 4. Deleting WP Pages no longer gives an "Are You Sure?" prompt 5. After deleting a WP Page, you are properly redirected to the Edit Pages screen 6. Sending an image at original size in IE no longer adds an incorrect "height" attribute
Also Ohren und Augen auf und ggf. schnell Updates einspielen bevor euch das gleich passiert wie StudiVZ in der vergangenen Nacht.
Del.icio.us hat scheinbar schon wieder seine API umgestellt und so kann man leider nicht mehr die letzten Links per http://username:password@del.icio.us/api/posts/recent, sondern nun unter https://username:password@api.del.icio.us/v1/posts/recent abrufen. Damit das im Titel genannte Plugin (zu finden hier) also wieder funktioniert muss in Zeile 97/98 der Datei delicious.php folgendes:
// Get XML from del.icio.us
$contents = @file_get_contents('http://' . $wpdi_username . ':' . $wpdi_password . '@del.icio.us/api/posts/all');
durch
// Get XML from del.icio.us
$contents = @file_get_contents('https://' . $wpdi_username . ':' . $wpdi_password . '@api.del.icio.us/v1/posts/recent');
ersetzt werden.
Man sieht das immer so spät, wenn man statt dem „Tellerrand“ (=Dashboard) eigentlich immer nur die „Beitrag schreiben“-Seite der Adminoberfläche von WordPress aufruft. Jetzt ist es aber auch zu mir vorgedrungen, WordPress ist in Version 2.0.4 erschienen und enthält neben ein paar gestopften Sicherheitslöchern auch noch andere Fehlerbereinigungen.
Ergo neue Version herunterladen, ihr WordPressnutzer da draußen!
Stanley Goodspeed (nennt man eigentlich den Autor oder den Blognamen in solchen Fällen?) schreibt von Problemen mit der langen Wartezeit beim Schreiben eines neuen Beitrags. Stimmt, manchmal dauert es wirklich ewig …
Nun, mal sehen wie fix es jetzt mit dem von ihm hier gefundenen Patch geht. Damit wird Ping-o-matic zwar nicht sofort gepingt, aber wen stört das schön, wenn das irgendwann später passiert. Bis jetzt habe ich sowieso noch nie einen Besucher von den angepingten Verzeichnissen kommen sehen. In den Millionen von neuen Artikeln pro Sekunde gehen meine kleinen wohl ein wenig unter … genauso wie jeder andere :-)
Test!
In einer Vorlesung haben wir gelernt, dass 20% aller Aufrufe in Programmen Sprünge sind und die Top10 der Aufrufe zusammen 96% aller aufgerufenen Befehle ausmachen. Das kann man auch für PHP/Wordpress mittels APD herausfinden (auf einem höheren Level). Sortiert nach der Anzahl der Aufrufe sieht man, dass eben auch Kleinvieh Mist macht. Ich frage mich, ob man da nicht massiv optimieren kann. So oft wie strlen und mysql_fetch_object aufgerufen werden, dass kann nicht normal sein.
Hier die Aufrufe nach Anzahl der Calls sortiert:
Real User System secs/ cumm
%Time (excl/cumm) (excl/cumm) (excl/cumm) Calls call s/call Memory Usage Name
--------------------------------------------------------------------------------------
15.1 0.16 0.16 0.13 0.13 0.01 0.01 4414 0.0000 0.0000 0 mysql_fetch_object
12.6 0.11 0.11 0.11 0.11 0.01 0.01 4123 0.0000 0.0000 0 strlen
6.7 0.07 0.07 0.06 0.06 0.00 0.00 2002 0.0000 0.0000 0 substr
7.2 0.07 0.07 0.07 0.07 0.00 0.00 1711 0.0000 0.0000 0 preg_replace
2.0 0.02 0.11 0.02 0.09 0.00 0.00 1674 0.0000 0.0000 0 cachedfilereader::read
3.0 0.02 0.09 0.03 0.09 0.00 0.00 1664 0.0000 0.0000 0 cachedfilereader::seekto
4.7 0.04 0.04 0.04 0.04 0.01 0.01 1084 0.0000 0.0000 0 str_replace
1.3 0.01 0.01 0.01 0.01 0.00 0.00 670 0.0000 0.0000 0 array_slice
3.0 0.03 0.03 0.03 0.03 0.00 0.00 670 0.0000 0.0000 0 func_get_args
1.9 0.02 0.02 0.02 0.02 0.00 0.00 670 0.0000 0.0000 0 merge_filters
1.1 0.01 0.18 0.01 0.16 0.00 0.01 663 0.0000 0.0000 0 apply_filters
1.6 0.02 0.02 0.02 0.02 0.00 0.00 624 0.0000 0.0000 0 mysql_num_fields
3.2 0.02 0.02 0.03 0.03 0.00 0.00 575 0.0000 0.0000 0 mysql_fetch_field
2.4 0.01 0.01 0.02 0.02 0.00 0.00 534 0.0000 0.0000 0 date
3.8 0.04 0.04 0.03 0.03 0.00 0.00 533 0.0000 0.0000 0 strstr
1.1 0.01 0.01 0.01 0.01 0.00 0.00 315 0.0000 0.0000 0 defined
0.2 0.00 0.10 0.00 0.09 0.00 0.00 303 0.0000 0.0000 0 get_settings
0.7 0.01 0.01 0.01 0.01 0.00 0.00 286 0.0000 0.0000 0 is_array
0.2 0.00 0.02 0.00 0.01 0.00 0.00 212 0.0000 0.0000 0 smiliescmp
0.0 0.00 0.01 0.00 0.01 0.00 0.00 160 0.0000 0.0000 0 backslashit
Noch beeindruckender, die Top20 beim Schreiben eines Artikels:
(mehr …)
BIG BIG UPDATE:
This plugin is no longer BETA! The location of the zip containing the plugin did not change so just redownload it if you’ve downloaded it before January 31st. Have fun!
If you are a wordpress blogger you probably know about Akismet, the new spam stop solution that Matt Mullenweg announced last week. It’s his try to prevent spam from ever appearing on all those wordpress blogs on this planet. WordPress.com already uses it and you can download it on akismet.com as a plugin for WordPress 1.5.2. All you need is a WordPress.com API key and for that you need a WordPress.com account and for that you need to download Flock (brrr, you know Flock sucks, but it gives you an API key … hurray!) and go to wordpress.com/flock with Flock and sign up. The API key is then located in the profile of your WordPress.com account. So this is a fairly complex way to get and use this super simple plugin of theirs.
Akismet works by sending all new comments to their servers and replying with „true“ or „false“ if the service thinks it’s spam or not. You can also manually mark comments as spam and recover spam comments (false positives) that are real comments. Both improves Akismet by reporting back the mistake.
While this is a nice approach I don’t like the idea of having only one service to check a comment against. I recently switched to Spam Karma 2 and am very happy with it. It never failed me and successfully sent nearly 900 comments to hell in the last 18 days. But nobody is perfect and checking against Akismet could make Spam Karma 2 even better.
Enter Spam Karma 2 Akismet Plugin :-) (beta test), an additional filter for my favourite spam prevention system (which also lists detected spam in a more readable way).
You can download the BETA (!!!) here: sk2_akismet_plugin.zip
Unzip it to your sk2_plugins directory and enter the above mentioned WordPress.com API key in the „General Settings“ of this plugin plugin (a plugin in a plugin, sic!). You can finetune (set some boundaries) the plugin in the advanced settings, but the default values should work fine. Nevertheless I’d like feedback on that, too. And on everything else.
The plugin automatically submits detected spam and ham that Akismet got wrong back to Akismet.com which should make the service better with time (it already detects a lot of spam … 80% of all comments are spam they say … but more can’t hurt, right?).
Update:
– Changed some things in the text of this announcement.
– The plugin no longer submits all comments as spam/ham, only the ones where Akismet was wrong.
– Still BETA
Second Update:
– Uploaded a new version which fixes a bug mentioned by Matt in the comments
– Changed the picture to reflect the current version
– Still BETA though ;-)
Wie mir dieses Plugin entgehen konnte, ich weiß es nicht. Aber es leistet göttliches beim unauffälligen Entfernen von Spam (Kommentare als auch Trackbacks, leider kein Refererspam).
There have been 26 comment spams caught since the last digest report 1 day ago.
Sehr viele Spams werden bei mir nur durch Einträge in irgendwelchen RBLs herausgefiltert. Das war mit den seltsamen „ich find dein Blog so toll“-Spams der letzten Wochen unmöglich. Eigentlich sahen die in Ordnung aus, nur eben völlig wahllos verteilt und in der falschen Sprache. Das ist jetzt Geschichte. Das Plugin rockt und Spam hat scheinbar keine Chance mehr mich zu nerven (noch ist nichts davon in der Moderation gelandet, alles sofort als Spam erkannt). Fazit: Wer ein WordPressblog hat, sollte unbedingt dieses Plugin haben ;-)
Danke an „Stanley“ für den Tipp!
P.S.: Falls mal alle Stricke reißen verhindert das Plugin keinesfalls einen Kommentar eines Menschen, denn zur Not fragt es nach dem Absenden noch mal ob man eine Zeichenfolge erkennen kann (Captcha). Perfekt!
Nur weil ich es gerade bemerkt habe … dieses Plugin, das ich bisher verwendet habe um das Attribut „rel“ mit dem Wert „nofollow“ aus den Links von Kommentatoren (WordPress Standardeinstellung) zu tilgen funktioniert nicht wirklich. Bei manchen Links stand das immer noch da. Deshalb habe ich es durch dieses Plugin ersetzt. Alle eure Links zählen jetzt wieder was falls sie es vorher nicht eh schon getan haben. Jippie!
Wayne interessiert’s …