Schlagwort-Archiv: wp

Wieder massive Angriffe auf WordPress

Und wieder mal massive Angriffe auf WordPress Installationen.

Und es ist klar. Wir sind wieder mal mit dabei. Aber ich gehöre zu den GUTEN ! Sprich, eine meine Installationen wird durch einen Bot angegriffen. Und zwar der Philippinen Blog.

Vor 2 Tagen fiel mir auf, dass versucht wird, an das Login zu gelangen. Das geht aber bei meinen Seiten nicht so einfach. Da sind Hürden zu überwinden, die dieser Blödmann-Bot sicherlich nicht schafft.

In den Logfiles findet man folgendes: %tools.ua.random und man sieht, dass es mit dem Usernamen admin probiert wird. Er kommt so alle 1 bis 2 Stunden vorbei.

Man sieht also eindeutig, dass WordPress noch zusätzlich abgesichert werden muß. Einfach nur installieren reicht nicht aus.

 

Screenshot mit Nokia 630

Einen Screenshot mit dem Nokia Lumia 630 erstellen :

Tastenkombination : Lautstärke+ und Power Taste gleichzeitig drücken.

screenshot_nokia_630

Windows 8.1 im WindowsPhone (WP) ist recht schlau programmiert. Und zwar wollte ich einen Screenshot erstellen und das WP blendet mir folgenden Hinweis ein :

“Something has changed. Press Volume Up and Power for Screenshots”

Bei mir eben in Englisch, weil ich das Smartphone so eingestellt habe.

Zum Thema dieses Screenshot, der hier im Blog Post abgebildet ist, kommt noch was. Aber heute nicht mehr. Ich muss mir erst genauer überlegen, wie ich das in der Berichterstattung umsetzen möchte.

Seltsame Apps

Ich habe den Eindruck, dass es in letzter Zeit immer mehr seltsame Apps im Store gibt. Ich spreche hier vom WP Store. Windows Phone. Seit ein paar Monaten nutze ich privat ein Nokia Lumia. Ein geniales Smartphone, wie ich finde. Und war ganz froh darüber, dass mir der Android Mist erspart wird, mit ständigen Updates oder nicht funktionierenden Apps.

Aber seit Ende letzten Jahres gibt es im Store einen wahren Boom an neuen Apps. Ich schätze mal, das liegt an der Software “Project Siena”, welches jedem erlaubt mit ein paar Klicks eigene Apps zu erstellen.

Dabei kommen recht seltsame, um nicht zu sagen recht sinnlose Apps, hervor.

Zum Beispiel für geistig und mental recht einfach gestrickte Schüler gibt es eine App, die den Notendurchschnitt eines Faches errechnet. Einfach die Noten eingeben und schon errechnet die App den Durchschnitt. Dabei kommt sie nicht einmal mit den Noten klar, wie 2+ oder 3- . Aber die App wird voll gelobt, wie toll sie doch ist.

Du meine Güte, so etwas rechnet man im Kopf und nicht mit einer App. Wobei ich den Erfinder der App nicht einmal kritisiere, der hat halt etwas zusammengeklickt und veröffentlicht. Sondern ich meine unsere Mathe Genies, die immer alles besser wissen, aber unfähig sind, ihren Notendurchschnitt zu errechnen.

Eine weitere seltsame App ist die zur Lautenstärkenregelung. Mittels App stellt man die Lautstärke auf lauter oder leiser.  Ironiemodus an: Na das ist ja mal was praktisches.

So richtlich “nützlich” sind ja auch Apps mit Katzenbilder. Jeden Tag gibt es ein neues Bild mit der Katze des Tages. Hohoho ! Ich mag ja Katzen sehr, aber eine App mit Bildchen ????

Lottozahlen generieren, ist auch so ein Ding. Wenn die Apps wenigstens die Statistiken von gezogenen Zahlen anzeigen würden, dann hätten diese Apps vielleicht auch einen Nutzen. Aber das machen sie nicht, sondern einfach nur 6 Zahlen aus 49 auswählen. Und dazu benötigt man eine App ?

Und so geht es gerade weiter mit den seltsamen und unnützen Apps. Manche können gar nichts, wollen aber viele Rechte. Manche braucht kein Mensch und manche machen genau das was vom Hersteller bereits vorinstalliert ist, kosten aber Geld.

Warum, so frage ich mich, installiert man sich so etwas ?

WP Upload Ordner gehackt

Gestern sah ich mir meine Webstatistiken an, die vom Webhoster automatisch angelegt werden. Dabei habe ich festgestellt, dass von einem Blog (nicht dieser hier) unglaublich viele Seitenaufrufe waren, mit denen ich überhaupt nichts anfangen konnte.

Die Url lautete sinngemäß: Meine Domain / blog/ uploads / Unterordner 2006 / und dann verschiedene Urls die immer etwas mit ugg oder ugg boots usw. hatten. Die Endung der Url lautete dann immer .php

Ich habe mir dann eine dieser Seiten angeschaut und die hieß tatsächlich wie von meiner Domain, aber zeigte eine WordPress Seite an, die nicht von mir stammte.

Dann habe ich per ftp auf meinem Webspace nachgesehen und es war in dem besagten Ordner Uploads / 2006 eine komplett fremde WordPress Installation drin.

Diese habe ich näher untersucht und festgestellt, dass diese noch weitere Plugins hatte, die in WordPress nichts zu suchen haben. Und zwar ein Tool, welches die XML-RPC Schnittstelle bearbeitet bzw. manipuliert, so dass ein Einfallstor entstand.

Desweiteren waren Tools dabei, die ein PHP Srcipt ausführen können, eines welches Webseiten umlenkt und eines mit Statistiken.

Das letzte Tool konnte ich nicht lesen, weil es verschlüsselt war.

Der Hacker hatte sogar eine Sitemap, mit unzähligen Urls zum gleichen Produkt angelegt.

Ich habe Kontakt mit dem Webhoster aufgenommen und dieser hat bestätigt, dass im Ordner Upload Dateien angelegt wurden, die durch ein Script verursacht wurden. Mit den Tipps des Providers habe ich dann per ftp mir die Rechte an diesen Dateien geholt. Denn diese hatte ich nicht, sondern ein anderer User.

Dieser andere User hatte sich aber nicht in meine Datenbank rein gehackt, sondern in seiner WordPress Installation war sogar eine wp-config.php mit seinen Daten. Sprich er hat seine eigene Datenbank verwendet.

Habe dann über Whois versucht herauszufinden, was für ein Server das ist. Aber das war ohne Ergebnis bzw. wird nicht angezeigt.

Nach dem ich, wie bereits erwähnt, die Rechte zu allen Dateien wiederhergestellt hatte, konnte ich alles löschen. Dazu habe ich die radikalste Methode gewählt und das Jahr 2006 komplett ausgelöscht.

Ein BackUp seiner Dateien war übrigens auch vorhanden. Dies war unter meine domain/ blog/ abag/ angelegt.

Letztendlich habe ich jetzt alles sauber bekommen. Teils neu installiert, teils Dinge vollständig gelöscht und mindestens 10 Stunden Arbeit reingesteckt.

Dazu gehörte aber auch das Thema WordPress besser absichern. Die XML-RPC Schnittselle habe ich deaktiviert mittels einer .htaccess Regel, dann habe ich eine weitere htaccess Regel eingespielt, die Scripte im Ordner Uploads unterbindet. Ich habe ein Sicherheitstool installiert, welches die WordPress Installation und Konfiguration prüft und bei Bedarf verändern kann. Ich lasse jetzt täglich feststellen, ob Dateien verändert wurden.

Alles Dinge, die WordPress von Hause aus nicht mitbringt. Ich hatte vorher nie vermutet, dass so etwas passieren könnte, weil es werkeln ja bereits andere Plugins in meinen Installationen, die der Sicherheit dienen.

Ich habe dann recherchiert, was dieser uggs überhaupt ist. Seitenweise findet man dann Ergebnisse, dass Webseiten gehackt wurden und auch Foren. Anfang des Jahres gab es Warnungen, dass ein bösartiges Script von denen auf Facebook wütet. Von gehackten WordPress Seiten habe ich nichts gefunden. Vielleicht ist das auch recht neu und noch nicht aufgefallen. Weil du merkst es einfach nicht, sondern erst wenn du deine Webstatistiken genau ansiehst und da etwas dabei ist, was von dir ist, aber du nie veröffentlicht hattest.

Automatisches Update in WP 3.7.1

WordPress ist die hier verwendete Blog Software. Und diese liegt nur in der Version 3.7.1 vor.

Ein Feature ist wohl, dass sie automatische Updates durchführt.

Bei mir aber nicht. Da kam folgende Meldung.

wp-auto-updates

 

Weiß zwar nicht warum dies so ist. Aber so ist es mir ganz recht. Denn bevor ich ein Update einspiele, warte ich immer zuerst ein paar Tage und mache mich darüber schlau, ob es bei anderen Bloggern geklappt hatte oder ob es Probleme gab. So habe ich zum Beispiel auf die Version 3.7 verzichtet, weil nur wenige Stunden später empfohlen wurde, auf die WP Version 3.7.1 zu warten.

Wohin mit htaccess in WordPress

Was habe ich mich 2 Tage geärgert, mit WordPress….

Und so viel Mist wie ich über die htaccess lesen konnte, ist unglaublich, als ich die Suchmaschinen nach folgendem befragt habe : Wohin mit der htaccess in WordPress

Ausgangsituation : 2 WordPress Blogs innerhalb 1 Domain.

Einmal nennt sich der Blog einfach nur Blog und der andere nennt sich Enjoy. In anderen Worten domain/blog oder domain/enjoy

Die htaccess gehört dann auf keinen Fall in den Ordner domain/htaccess, weil da überschreiben sich die beiden Installationen bei den Permalinks und die Artikel sind daher nicht mehr aufrufbar bzw. falsch verlinkt.

Die htaccess, welche ich manuell anlegen musste, weil sie sich bei der Installation nicht selber anfertigte, muss in diesem Fall in den Unterordner, sprich domain/blog in den Ordner blog, wo zum Beispiel auch die config.php liegt.

Für die zweite WordPress Installation muss dann eine eigene htaccess erstellt werden, die dann in meinem Fall in den Ordner enjoy kommt. Auch dort wo die config.php liegt.

Mehr zum Umzug meiner Webseiten nach Anbieterwechsel in Kürze.

Blog mehrsprachig

Immer mal wieder war ich auf der Suche nach einem Plugin oder Tool, welches Enjoy mehrsprachig macht. Meistens war es mir dann jedoch zu kompliziert oder funktionierte nicht zuverlässig.

Was überhaupt nicht gut ist, sind die automatisierten Übersetzungen. Diese entstellen den Text, verdrehen den Sinn und übersetzen teils wirres Zeugs.

Diese Tage habe ich mich wieder mal auf Suche begeben und festgestellt, dass das PluginqTranslate jetzt so ist wie ich es mir wünschte. Es überschreibt nicht mehr die Datenbank der alten Artikel.

Somit beginnen die mehrsprachigen Artikel mit diesem Beitrag hier.

Beim aktivieren von qTranslate trat allerdings ein Fehler  mit einem anderen Plugin auf.  NextGen Gallery funktioniert wohl immer noch nicht in Verbindung mit qTranslate. Zumindest hier nicht und hat erst mal einen “fatal error” erzeugt. Die Galerie habe ich deswegen deinstalliert, weil ich sie sowieso nur ein oder zweimal verwendete.Since a long time i was searching for a plugin or tool, that makes Enjoy multilingual. But most time it was to difficult for me to integrate what I found.

The automatic translation from Search Engine I did not like. Because often they translated nonsense.

Last few days I was searching again and found out that the WP Plugin qTranslate now is like I wanted to have. I doesn´t overwrite anymore the database from my WordPress installation.

So this is my first entry in english language. I´ll give my best. Sorry for mistakes.

qTranslate is not really working together with the NextGen Gallery.  So I had to disable the gallery. But never mind, I used that maybe only 2 times.

Zeichenkodierung in WordPress

Letzte Woche hatte ich Enjoy auf die aktuelle WordPress Version aktualisiert. Dabei hat es mir die komplette Zeichenkodierung zerschossen. Sämtliche Umlaute wurden falsch dargestellt.

Mit diversen Plugins habe ich dann versucht, die Beiträge und Überschriften wieder lesbar zu machen. Das hat alles nicht funktioniert.

Jetzt habe ich im Backend des Webhostingpaketes unter MySQL nachgesehen, welche Zeichenkodierung seitens des Providers vorgesehen ist. Und da stand UTF8_general_ci

In der WordPress Software, deutsche Version, stand in der Datei functions.php jedoch nur UTF8. Normalerweise müsste dies ausreichen. Denn auf meinen anderen Blogs funktioniert dies ohne Probleme.

Als letzten Versuch habe ich dann per Editor (Notepad) in der functions.php den Zusatz  _general_ci hinzu geschrieben und diese Datei per ftp Zugang neu hochgeladen.

Und siehe da, die Zeichenkodierung in WordPress ist wieder richtig.

Außerdem habe ich gerade das alte Theme wieder aktiviert. Denn im neu installierten funktioniert auch etwas nicht so wie es soll.

Jetzt testen wir das mal: ä, ö, ü, Ä, Ö, Ü, ß

Umlaute falsch in WP

Gestern hatte ich ja geschrieben, dass die Umlaute in WP (WordPress) falsch dargestellt werden.

Wie es aussieht, konnte ich dieses Problem was die Blog Beiträge betrifft lösen. Und zwar habe ich nach einem Tipp den ich per Mail bekommen habe, in der Datei wp-config.php die Zeile Datenbankzeichensatz etwas erweitert. Siehe Foto das Anhängsel hinter utf8

Was sich nach wie vor nicht verändert hat, sind die Umlaut Fehler in den Tags. Da steht wie bisher ein kleines schwarz unterlegtes Fragezeichen.

Aber was mich noch mehr verwundert, sind diese Fragezeichen bei Leerzeichen im Text. Aber nicht alle, sondern immer zwischen drin mal eines.