Schlagwort-Archive: Plugin

Spamschutz

Wie an der ein oder anderen Stelle berichtet schütze ich meine Blogs und die dazugehörigen Server vor allem mit einigen selbstgebauten Dingen (plus einem Testscript einer ambitionierten kleinen Gruppe).

Beim Spamschutz allerdings habe ich mich bisher primär auf zwei externe Dinge verlassen:

1. das aussperren von bekannten SPAM IP Adressen

2. dem Spamschutz AKISMET der obligatorisch mit WordPress geliefert wird.

Akismet habe ich, trotz guter Dienste, erst mal vom Netz genommen da ich gerne selbst die Kontrolle über die Kommentare behalten möchte und ungerne meine Daten mit einem fremden Dienstleister teile.

Daher sind momentan nun zwei neue Plugins im Einsatz: SPAMBAM und simple spam filter, auf dass das bessere gewinnt.

Spambam versucht auf verschiedene Arten Spam zu erkennen und gibt dem Nutzer die alleinige Entscheidung darüber ob gelöscht werden soll oder nicht. Damit gehen weniger Kommentare verloren, leider hat man auch einen erheblichen manuellen Aufwand den Spam zu sichten. Gerade bei großen Blogs ziemlich aufwändig.

Simple Spam Filter arbeitet gibt dem Nutzer ebenso die Entscheidung ob es sich tatsächlich um Spam handelt und prüft den Kommentar vorhert auf vier Merkmale (Anzahl der Links, Keywords, Art der Links, Inhalt des Kommentars).

Bisher arbeiten beide recht erfolgreich, mal sehen ob Akismet wirklich offline bleiben kann.

Zehn -nicht unbedingt- gefährliche WordPress Themes

BlogSecurity hat eine Liste veröffentlicht aus der die zehn gefährlichsten WordPress Themes hervorgehen – sollen.
Ich habe da so meine Zweifel und das die Tabelle wirklich das wiedergibt was sie soll, nämlich anfälligkeit für Cross-Side-Scripting (XSS).
Auch das von mir benutzte Theme „Multiflex-3“ ist auf der Liste. Der Code entspricht zwar nicht dem originalem weil weitreichende Änderungen vorgenommen wurden, das ist aber erst mal egal.
Das Problem bei der veröffentlichten Tabelle ist folgendes:
Man hat die 1000 letzten gescannten Blogs nach den Themenamen sortiert und kommt dann auf eine Top 10.
Das wäre OK wenn alle Themes gleich wären. Der Scanner prüft aber den gesamten Code auf bestimmte Risiken.
Wenn nun aber ein Plug In dieses Risiko verursacht erkennt der Scanner das in der Regel nicht da die Liste der erkannten Plugins bisher recht kurz ist, er schiebt das ganze also auf das Theme.
Bei sehr beliebten Themes; die auch verbreitete Plugins nutzen (z.B. ein Suchfunktionswidget); ist die Wahrscheinlichkeit in der Liste als gefährlich aufzutauchen also recht hoch, auch wenn eben ein solches Plugin die eigentliche Ursache ist.
Es bietet sich also an erst mal alle Plugins zu checken bevor man überstürzt das Theme wechselt.
Wobei ich damit nicht sage dass die Themes wirklich sicher sind, mir ist eben nur genau diese Fehlerquelle an der Liste bzw. der Prüfungsform aufgefallen.

Suchbegriffe Plugin

Die Glühweinjunkies haben zu meiner großen Freude Ihr Suchbegriffe Plugin (Searchphrases) finalisiert und zum Download bereit gestellt.
Jetzt lässt es sich auch direkt als Widget einbinden und setzt auf Wunsch Cookies.
Vor allem zeigt’s aber nun auch nicht nur die letzten sondern auch die häufigsten Suchbegriffe an.

Hab’s jetzt wieder installiert, die letzte Version lief nicht ganz rund und die Suchbegriffe waren teilweise sehr heftig – das Plugin bietet aber auch eine Filtermöglichkeit an, die werde ich nun etwas intensiver nutzen 😉
Danke Junks!

Festung Einstein

or etwa 10 Tagen habe ich einen Teil er Tools geändert die dieses Blog und die dazu gehörige Datenbank vor Spamming und unbefugten Zugriff schützen.

Ursache dafür war ein erheblich gestiegener Traffic, ein voller Spamfilter  und diverse Zugriffsversuche.Ich setze nun einige selbstgeschriebene Tools sowie frei verfügbare Plugins ein und seit dem ist Ruhe im Schacht.

Zu allererst blockt ein IP Filter alle ungeliebten Hosts ab. Darin habe ich alle mir bekannten bzw. im Netz dokumentierten unsicheren Proxyserver sowie bekannte IPs gespeichert. Gleichzeitig habeich ihn so programmiert dass er die IPs von Akismet mitliest und sich aus den Spameinträgen einen flexiblen Filter bilden soll (das ist aber noch eher alpha). Alleine dieses Tool hält recht viel Traffic vom Blog fern.

Als erster Spamschutz ist nun ein Mail-Validator  eingesetzt, der prüft alle Emailadressen in den Kommentarfeldern auf Echtheit, erst mit einer vom Mailserver bestätigten Adresse wird ein Kommentar geladen. Bis heute hat er etwa 80 mal abgelehnt.Dahinter sitzt Akismet, der bekannte Spamschutz. Hat jetzt etwas weniger zu tun als sonst 😉

Dazu, um den Trackback Spam zu verhindern, das Plugin Simple Trackback Validation. auch das hat nun einen leichteren Job, blockte aber in den letzten 10 Tagen auch gut 60 Trackbacks ab (und ist nur auf die einfache Prüfung eingestellt).Die Datenbank und der FTP werden durch ein neues Programm geschützt was aber auch noch sehr alpha ist. Soviel schon mal vorab: Das Kennwort wechselt selbstständig und wird in bestimmten Abständen neu generiert. Der Abgleich mit einer Atomuhr sorgt dafür das beide Parteien den selben Schlüssel nutzen.  

Noch gibt es aber kleinere Probleme – es ist manchmal zu sicher….

email prüfung

Ab sofort lasse ich die für das abgeben eines Kommentares obligatorische Email Adresse über ein Plug In auf Echtheit prüfen.

Der Spam hat in den letzten Wochen stark zugenommen und auch wenn alles in den Filtern hängen blieb so ist es mir lieber der Sache von vorneweg einen Riegel vorzuschieben.

Wer also bisher mit einer Fakeadresse kommentiert hat den bitte ich künftig eine Echte anzugeben. Die wird wie gehabt nicht veröffentlicht und auch nicht weiter genutzt oder verteilt. Mir ist diese Methode lieber da sie einfacher zu bedienen ist als die mitlerweile weit verbreitete Pflicht zur Eingabe eines Codes oder  Mathe-Ergebnisses.