Fehler in AutoMySQLBackup – oder: MySQL macht’s kompliziert

AutoMySQLBackup, das bisher immer tadellos lief, wirft plötzlich bei der Ausführung Fehler aus:

-- Warning: Skipping the data of table mysql.event. 
Specify the --events option explicitly.

Des Rätsels Lösung: es handelt sich um keinen Bug, sondern um gewolltes Verhalten, MySQL hat eine neue Warnung hinzugefügt.

Um den Fehler zu beheben, muss eine Zeile in AutoMySQLBackup geändert werden:

Datei: /usr/sbin/automysqlbackup (bzw. dort wo AutoMySQLBackup installiert ist)

OPT="--quote-names"

ändern in

OPT="--quote-names --events --ignore-table=mysql.event"

Heißt: MySQLDump wird der Befehl übergeben, die events zu ins Backup einzuschließen, gleichzeitig aber soll die Tabelle ignoriert werden (da sie meist auch gar nicht existiert). Das ist dann das “normale” Verhalten.

Nun ja…

Via: A Mind in Transition.

Im Angebot: WordPress-Installation zum Festpreis

Wir bieten Ihnen die WordPress-Installation in zwei günstigen Komplettpaketen an.

Grundansprüche werden mit dem Standard-Paket für 29,- Euro* abgedeckt. Mit dem Extended Paket für 59,- Euro* werden zusätzliche Plugins installiert und fertig angepasst.

Auf unserer Angebotsseite finden Sie mehr: WordPress Installation zum Festpreis.

Natürlich sind auch jederzeit individuelle Installationen möglich. Sprechen Sie uns an!

 

* Gemäß § 19 UStG erfolgt aufgrund der Anwendung der Kleinunternehmerregelung kein Ausweis der Umsatzsteuer.

 

WordPress Plugin Review: Antispam Bee – wirksam gegen Spam

Kommentarspam war schon früh ein Ärgernis und die Problematik ist in den letzten Jahren immer schlimmer geworden. Zahlreiche Spammer versuchen meist automatisierte Kommentare mit Links auf ihre Seiten zu hinterlassen, um ihre Suchmaschinenplatzierung zu verbessern.

Selbst bei einer kleinen Webseite oder einem kleinen Blog kommt man ohne Filterung der Kommentare kaum noch aus.

Ein kleines, aber sehr leistungsfähiges Plugin hierfür ist Antispam Bee von Sergej Müller.

Was kann Antispam Bee?

Ursprünglich wurde das Plugin entwickelt, da das Standard-Anti-Spam-Plugin Akismet den deutschen Datenschutzanforderungen nicht genügt. Im Laufe der Zeit hat sich das Plugin deutlich entwickelt und bietet jetzt eine Reihe von Optionen zur Filterung (z.B. Kommentarsprache, Server-IP, CSS-Hacks, BB-Code) und Benachrichtigung des Seitenbetreibers.

Mittlerweile hat auch in Antispam Bee eine Funktion Einzug gefunden, die die IP-Adressen des Kommentators an eine öffentliche Spamdatenbank (TornevallNET) sendet. Diese Option ist allerdings nur für Seiten außerhalb Europas vorgesehen und darf insbesondere in Deutschland explizit nicht verwendet werden.

Das Plugin erlaubt eine sehr präzise Filterung, die fast keine Fehler (weder false-positives noch false-negatives) verursacht.

Fazit

Antispam Bee ist ein Plugin, das wir uneingeschränkt empfehlen können. Wir verwenden es in jedem Projekt, sofern es keinen anderslautenden Kundenwunsch gibt.

 

Pingback in WordPress ermöglicht Portscan und DDoS

Bereits seit 6 Jahren ist bekannt, dass sich die Pingback-Funktion in WordPress’ XML-RPC-API nutzen lässt, um den Hostserver durch mehrfache Zugriffe auf eine besonders große Datei lahmzulegen. Auch ein DDoS-Angriff ist möglich, wenn hunderte oder tausende WordPress-Blogs zum Pingback auf eine Ziel-Url genutzt werden würden.

Außerdem können Pingbacks verwendet werden, um als Portscanner auf dem lokalen oder entfernten System nach verfügbaren Diensten zu suchen.

Der entsprechende Bug-Eintrag wurde über Jahre nicht weiter verfolgt, da man das Problem als eher theoretisch bzw. allgemeine Gefahr angesehen hat. Seit einigen Tagen ist der Bug-Eintrag allerdings wieder geöffnet. Grund ist ein Script, dass diese Exploits automatisiert und so die Lücke ernsthaft nutzbar macht. Damit wurde aus einer theoretischen Möglichkeit ein realer Angriffsvektor.

Bedenkt man die millionenhafte Verbreitung von WordPress (bereits im August 2011 nutzen 22% aller neuen Domains in den USA WordPress ebenso wie im April 2012 knapp die Hälfte aller Top 100 Blogs der USA), ist die mögliche Angriffsmacht eines “WordPress-Botnetzes” nicht zu vernachlässigen.

Aktuell ist arbeitet das WordPress-Team an einem Patch, dessen Erscheinungstermin aber noch nicht feststeht. Hinzu kommt die hohe Zahl nicht-aktueller aktiver WordPress-Seiten, die selbst nach Erscheinen eines Patches noch für Angriffe benutzt werden können.

Wer sein eigenes WordPress-Blog vor Missbrauch schützen will, hat zur Zeit nur die Möglichkeit, die Datei xmlrpc.php umzubennen oder zu löschen bzw. die Funktion pingback_ping in der Datei /wp-includes/class-wp-xmlrpc-server.php auszukommentieren bzw. zu löschen. Die Deaktivierung von Pingbacks und Trackbacks reicht offenbar nicht aus.

Allerdings führt dies nur dazu, dass das eigene Blog nicht für Portscan oder DDoS-Angriffe genutzt werden kann. Ein Schutz des eigenen Systems vor Angriffen von außen wird hierdurch selbstverständlich nicht erreicht.