Spammer und WordPress

Es hat diesen Blog erwischt. Spammer haben mal wieder zugeschlagen, man selbst merkts meist als Letzter (weil ich meinen eigenen Feed nicht abonniert habe). Darauf aufmerksam wurde ich durch einen Post von Robert, danke dafür. Neben dem Einflößen von unsichtbaren Links, wurde gleich mal noch ein Ordner angelegt mit lauter HTML-Seiten. Ist WordPress echt so löchrig?

Zuerst dachte ich es trofft nur sehr große Blogs, aber entweder ists den Spammern egal oder dieser Blog ist schon groß genug, damit sich das Spammen lohnt. Leider muss ich Fridaynite recht geben: WordPress ist wirklich unsicher.

Hab jetzt als Gegenmaßnahme erstmal den Generator-Metatag entfernt – wer weiß, ob die sich danach richten oder es einfach bei jedem WP-Blog probieren.
Außerdem hab ich bei Robert gelesen, dass es eventuell an den registrierten Lesern liegt. Deshalb hab ich erstmal die Funktion zum Registrieren deaktiviert. Die bereits angemeldeten Leute können sich natürlich weiter einloggen. Nur neue sind nicht mehr möglich, diejenigen müssen dann eben bei jedem Kommentar alle 4 Felder ausfüllen.

Eigentlich mochte ich WP, aber was ich in letzter Zeit mitbekomme, ist schon heftig. Es muss doch möglich sein zuerst alle bereits entdeckten Fehler zu beheben, bevor man unnötige neue Funktionen reinballert, die schon lange über Plugins verfügbar gewesen sind… aber naja, Open Source hat immer das Problem, dass Schwachstellen sofort einsehbar sind und nicht wie bei kompilierten Sachen erst entdeckt werden müssen.

Jan hat 152 Beiträge geschrieben

39 Kommentare zu “Spammer und WordPress

  1. Nikolas sagt:

    >Zuerst dachte ich es trofft nur sehr große Blogs, aber entweder ists den Spammern egal oder dieser Blog ist schon groß genug, damit sich das Spammen lohnt.

    Ich denke da wird einfach vollautomatisch versucht, jedes WordPress-Blog zu hacken. Extra die großen Blogs rauszusuchen kostet zuviel Zeit.

  2. n3or sagt:

    Hi,
    ja, leider fällt WordPress in letzter Zeit ziemlich negativ auf. Etliche Lücken und fehlendes Interesse seitens der Entwickler diese aufzudecken und zu fixen. (Erkenntniss eines Hackers der in letzter Zeit etliche Lücken veröffentlicht hat und (anscheinend) noch weitere im Petto hat.)

    Daher ist es mir auch ein rätsel warum nicht mehr Leute auf alternativen ala S9y (Serendipity) ausweichen.

    mfg
    n3or

  3. Mindfucker sagt:

    Da du so ein Performance-Freak bist, wundert es mich ein bisschen, dass du überhaupt WP benutzt.
    Textpattern ist bekannt für seine Performance und ich sehe auch nichts, was in deinem Fall gegen ein Wechsel sprechen würde.

  4. robo47 sagt:

    Ein Blick in die Logfiles reicht oft schon um zu sehen wie viele böse Bots nur unterwegs sind um irgendwelche Sicherheitslücken in Systemen zu finden, zu registrieren und auszutesten was dort möglich ist. Scriptkiddies hocken sich da nicht hin und suche auf ner Seite selbst nach Sicherheitslücken die lassen halt lieber ein Script rennen, dass in kurzer Zeit tausende Seiten Blogs crawlt und die Standard-Sicherheitslücken überprüft. Ist ja bei Blog-Spam-Bots genauso, die überprüfen nicht ob ihr SPAM-Eintrag auf einem Blog durchgekommen ist und wenn nicht suchen sie sich nen anderen, nein die schicken einfach an alle die sie finden können am besten an jeden einzelnen eintrag ihren Kommentar und Trackback-Spam … ist halt immernoch einfacher wie das Ergebnis zu überprüfen 🙂

  5. Thomas sagt:

    Hallo,
    Gibt es bei WP keine Anlaufstelle, an die man Include Versuche senden kann?
    Kürzlich habe ich von einem Türken gelesen, dass er in der Lage wäre jedes WP zu hacken. Wäre echt schade, da ich gerade mit WP anfange und es gut finde.
    Gruss Thomas

  6. admin sagt:

    @Mindfucker: Ich wollte keine performante Blogsoftware sondern irgendwas, wo ich wenig Programmieraufwand mit habe. Mehr eine Schreibplattform.
    Und nun scheut mich einfach der Transferaufwand, denn irgendwie müsste ich ja die alten Beiträge (möglichst noch mit gleichen URLs) in eine neue Software wuchten. Und ganz ehrlich: So viel zeit habe ich nicht für ein Projekt, was mehr als Hobby nebenbei betrieben wird.

  7. Mac sagt:

    Tja das trifft jeden Blog. Sobald diese Leute deine Blogadresse haben geht das rum und du hast nur noch diese Spamkommentare. Aber mit Akismet kann man da schon gut vorbeugen

  8. Björn sagt:

    Hehe, WP scheint doch nicht so gut zu sein. Vor 1 Jahr hatte ich mir überlegt was ich nehme WP oder s9y. Die Wahl war schwer da beide Blogs Klasse sind. Doch hab ich damals s9y entschieden, dies wohl doch die richtige Wahl war. Ich kann aber auch nur s9y empfehlen. Die Daten vom WP kann man auch importieren lassen. 🙂

  9. Pingback: blariog.net
  10. protocols sagt:

    das was fridaynite von sich gibt ist teilweise unfug. Das eine Software Sicherheitslücken enthält, ist sicherlich nichts neues, wenn aber dadurch der ganze Server gehackt wird, dann hat man schon auf Serverebene eine schwache Sicherheitspolitik.

    Denn egal wie unsicher eine Software ist, Apache/PHP darf niemals soviele Rechte besitzen um auch auf andere Ebene auf dem Server unfug zu machen. (chroot/jail/openbasedir/etc.)

    Viele Sicherheitslücken entstehen erst durch eine falsche PHP Konfiguration (php.ini). Wenn ich nur daran denke wieviele “pseudo security bugs” phpBB untergeschoben wurden (die in Wirklichkeit der php.ini zu schieben sind). Und meine Vermutung war auch nicht ganz falsch: http://www.wedosys-webhosting.de/scriptinfo/php5info.htm (sollte dieser tatsächlich dein Webhoster sein). Register_globals schön aktivtiviert, dann ists mit dem XSS auch viel einfacher 😉

    WordPress scheisse, aber welche alternativen?

  11. Thomas sagt:

    Es wird bei jeder Software, die beliebt ist und viel eingesetzt wird immer interessant sein für Scriptkiddys heraus zu finden wie diese gehackt werden kann.
    Wenn der Server gut gehostet wird ist die halbe Miete schon verdient.
    Ich finde WP eine Software mit der man gut leben kann, nur sollte man einige Dinge auch hier beachten.

  12. Pingback: Blogs optimieren
  13. s-z sagt:

    naja wenn man sich ordentlich mit anti-spam plugins eindeckt kann man dadurch schon einiges an spam einsparen, dazu noch ein capture und moderation und der käse ist gegessen. sehe spam bei wordpress nicht mehr unbedingt als “spam”.

  14. Jan sagt:

    @s-z: Glaube Du sprichst von Kommentar-Spam. Den bekommt man mit Spam-Plugins gut unter Kontrolle. Hier gehts aber um Spam innerhalb der Beiträge, die von keinem Plugin bewältigt werden können, da dort ja eigentlich nur der rechtmäßige Autor schreiben kann.

  15. Graceland sagt:

    Dann muss man als Autor eben auch eine Sicherheitsabfrage machen.
    Eine Rechenaufgabe im einstelligem Bereich ist sicher gedanklich und zeitlich kein Problem. Dagegen aber zu 99,9% sicher.

    (Solange es keine KI und neuronalen Netze gibt)
    Ein Schutz gegeb Brute-Force ist dann noch das Geringste.

  16. Jena er sagt:

    Gegen Spam helfen entsprechende Plugins – das hat nichts mit Sicherheitslücken zu tun sondern liegt im System des Internet (+Google) begründet.

  17. Graceland sagt:

    Ja, weil ich sonst die Klappe halten würde 😉

    Ich habe außerdem schon einige Szenarien/Lösungen entwickelt um PHP Portale vor Spam zu schützen.

  18. Nikolas sagt:

    Es geht hier um Spam, der mittels Sicherheitslücken in die Artikel oder direkt in das Template eingestellt wird. Nicht um Spam über die Kommentare.

  19. Christian sagt:

    Salve
    Naja, das grösste Fragezeichen vor einem Wechsel ist für mich, ob ich die URLs wieder so hinbekomme wie bei WP. Wäre irgendwie schade, wenn die Links auf mein Blog alle wertlos werden und meine Leser mich nicht mehr finden…..

    Gruss
    Christian

  20. protocols sagt:

    @Graceland: dann solltest du es allerspätestens jetzt nachholen.. (und sei ehrlich mit dir 😉 – denn anscheinend hast du immer noch nicht begriffen worum es hier geht.. )

  21. Graceland sagt:

    Es geht darum, dass über unzureichende/fehlerhafte Prüfungen einem Bot gestattet wird, automatische Aktionen auszuführen.
    Ob durch Kommentare/Beiträge/User etc. ist irrelevant.
    (Habe selbst nix davon mitbekommen, da ich zur gegebenen Zeit hier nicht unterwegs ware)

    Zugeben muss ich allerdings einzig, dass ich viel zu viel Spaß am Programmieren, von individuellen Lösungen habe, um ein vorgefertigestes System zu nutzen. 😉
    Deshalb kenne ich WordPress auch nur vom Frontend.

    edit: Wenn es sich hierbei um einen Versuch handeln sollte, über Fehler in der Software den Server zu knacken, dann irre ich mich wirklich.
    Aber wäre das dann im RSS-Feed aufgetaucht? Nich wirklich 😉

  22. Jan sagt:

    Im Prinzip hast Du ja recht, man könnte schon so etwas einbauen, aber ich wollte diesen Blog nicht betreiben, um dafür Plugins zu programmieren, die mir Spam fernhalten sondern lieber die Zeit für einige sinnvolle Beiträge investieren.

    Für andere Projekte gebe ich Dir recht, aber ich benötigte einfach nur irgendein System, auf dem ich einfach meine Beiträge veröffentlichen kann, ohne jeglichen Programmieraufwand. Den hab ich nämlich bei anderen Projekten zur Genüge 😉

  23. Nina sagt:

    Ich wusste gar nicht, dass es so eine große Lücke bei WordPress gibt, welche solche Spam Angriffe möglich macht…
    Da muss ich mich wohl auch mal informieren wie man sich dagegen schützen kann, auch wenn meiner noch ganz frisch ist. 🙂

  24. Christian sagt:

    Ich betreibe selbst auch private WordPressblogs – damit ich das richtig verstehe: die Spammer konnten einfach so von außen neue Seiten in deinem Blog erstellen bzw. Spamlinks in Beiträgen unterbringen? Obwohl du keine veraltete Version verwendest?
    Wenn das wirklich so ist, dann bin ich erschüttert, denn eigentlich finde ich WordPress schon toll, aber das wäre ja eine schwere Sicherheitslücke.

  25. Jan sagt:

    Neue Seiten anlegen weiß ich nicht, aber zumindest vorhandene bearbeiten. Ich vermute deshalb, dass die sich irgendwie mit höheren Rechten einloggen konnten.

    Ich hab jetzt einige Sachen verändert, die ich in anderen Blogs gelesen hab, seitdem ist erstmal glücklicherweise nix passiert.

  26. Alex sagt:

    deine sql-datenbank.
    wenn es ein hackertrup geschafft hat, dein passwort herauszubekommen, dann gilt deine datenbank als “offen” … dann erhälst du spam und alle solche dunklen gestalten können über deine datenbank eintragungen auf deiner seite vornehmen..
    hilfe:
    einfach das passwort öfters ändern… es gibt auch checks, welche dir sagen ob deine page erfasst ist!

Eine Antwort schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Benötigte Felder sind markiert mit *

You may use these HTML tags and attributes: <a href=""> <blockquote cite=""> <pre lang=""> <b> <strong> <i> <em>