Fehler in AutoMySQLBackup – oder: MySQL macht’s kompliziert

AutoMySQLBackup, das bisher immer tadellos lief, wirft plötzlich bei der Ausführung Fehler aus:

-- Warning: Skipping the data of table mysql.event. 
Specify the --events option explicitly.

Des Rätsels Lösung: es handelt sich um keinen Bug, sondern um gewolltes Verhalten, MySQL hat eine neue Warnung hinzugefügt.

Um den Fehler zu beheben, muss eine Zeile in AutoMySQLBackup geändert werden:

Datei: /usr/sbin/automysqlbackup (bzw. dort wo AutoMySQLBackup installiert ist)

OPT="--quote-names"

ändern in

OPT="--quote-names --events --ignore-table=mysql.event"

Heißt: MySQLDump wird der Befehl übergeben, die events zu ins Backup einzuschließen, gleichzeitig aber soll die Tabelle ignoriert werden (da sie meist auch gar nicht existiert). Das ist dann das “normale” Verhalten.

Nun ja…

Via: A Mind in Transition.

Im Angebot: WordPress-Installation zum Festpreis

Wir bieten Ihnen die WordPress-Installation in zwei günstigen Komplettpaketen an.

Grundansprüche werden mit dem Standard-Paket für 29,- Euro* abgedeckt. Mit dem Extended Paket für 59,- Euro* werden zusätzliche Plugins installiert und fertig angepasst.

Auf unserer Angebotsseite finden Sie mehr: WordPress Installation zum Festpreis.

Natürlich sind auch jederzeit individuelle Installationen möglich. Sprechen Sie uns an!

 

* Gemäß § 19 UStG erfolgt aufgrund der Anwendung der Kleinunternehmerregelung kein Ausweis der Umsatzsteuer.

 

WordPress Plugin Review: Antispam Bee – wirksam gegen Spam

Kommentarspam war schon früh ein Ärgernis und die Problematik ist in den letzten Jahren immer schlimmer geworden. Zahlreiche Spammer versuchen meist automatisierte Kommentare mit Links auf ihre Seiten zu hinterlassen, um ihre Suchmaschinenplatzierung zu verbessern.

Selbst bei einer kleinen Webseite oder einem kleinen Blog kommt man ohne Filterung der Kommentare kaum noch aus.

Ein kleines, aber sehr leistungsfähiges Plugin hierfür ist Antispam Bee von Sergej Müller.

Was kann Antispam Bee?

Ursprünglich wurde das Plugin entwickelt, da das Standard-Anti-Spam-Plugin Akismet den deutschen Datenschutzanforderungen nicht genügt. Im Laufe der Zeit hat sich das Plugin deutlich entwickelt und bietet jetzt eine Reihe von Optionen zur Filterung (z.B. Kommentarsprache, Server-IP, CSS-Hacks, BB-Code) und Benachrichtigung des Seitenbetreibers.

Mittlerweile hat auch in Antispam Bee eine Funktion Einzug gefunden, die die IP-Adressen des Kommentators an eine öffentliche Spamdatenbank (TornevallNET) sendet. Diese Option ist allerdings nur für Seiten außerhalb Europas vorgesehen und darf insbesondere in Deutschland explizit nicht verwendet werden.

Das Plugin erlaubt eine sehr präzise Filterung, die fast keine Fehler (weder false-positives noch false-negatives) verursacht.

Fazit

Antispam Bee ist ein Plugin, das wir uneingeschränkt empfehlen können. Wir verwenden es in jedem Projekt, sofern es keinen anderslautenden Kundenwunsch gibt.

 

WordPress 3.5.1: Bugfix gegen Pingback-Lücke

Das gestern veröffentlichte Update auf WordPress 3.51 schließt die Sicherheitslücke in der Pingback-API.

Damit behebt das WordPress-Team eine Lücke, die über Jahre unterschätzt wurde und vor einem Monat durch einen Demo-Exploit mit minimalen Kenntnissen einsetzbar war.

Insgesamt werden in WordPress 3.5.1 37 Mängel behoben. Insbesondere wegen der Pingback-Lücke und der damit bestehenden Gefahr sollte das Update so bald wie möglich eingespielt werden. Generell sollte WordPress immer aktuell gehalten werden, da die Ausnutzung von Sicherheitslücken aufgrund der hohen Verbreitung sehr lohnenswert ist. Darüber hinaus wird seitens WordPress nur für die jeweils aktuellste Version Support angeboten.

Wir unterstützen Sie gerne beim Update oder der Wartung Ihrer WordPress-Seite. Sprechen Sie uns einfach an.

Pingback in WordPress ermöglicht Portscan und DDoS

Bereits seit 6 Jahren ist bekannt, dass sich die Pingback-Funktion in WordPress’ XML-RPC-API nutzen lässt, um den Hostserver durch mehrfache Zugriffe auf eine besonders große Datei lahmzulegen. Auch ein DDoS-Angriff ist möglich, wenn hunderte oder tausende WordPress-Blogs zum Pingback auf eine Ziel-Url genutzt werden würden.

Außerdem können Pingbacks verwendet werden, um als Portscanner auf dem lokalen oder entfernten System nach verfügbaren Diensten zu suchen.

Der entsprechende Bug-Eintrag wurde über Jahre nicht weiter verfolgt, da man das Problem als eher theoretisch bzw. allgemeine Gefahr angesehen hat. Seit einigen Tagen ist der Bug-Eintrag allerdings wieder geöffnet. Grund ist ein Script, dass diese Exploits automatisiert und so die Lücke ernsthaft nutzbar macht. Damit wurde aus einer theoretischen Möglichkeit ein realer Angriffsvektor.

Bedenkt man die millionenhafte Verbreitung von WordPress (bereits im August 2011 nutzen 22% aller neuen Domains in den USA WordPress ebenso wie im April 2012 knapp die Hälfte aller Top 100 Blogs der USA), ist die mögliche Angriffsmacht eines “WordPress-Botnetzes” nicht zu vernachlässigen.

Aktuell ist arbeitet das WordPress-Team an einem Patch, dessen Erscheinungstermin aber noch nicht feststeht. Hinzu kommt die hohe Zahl nicht-aktueller aktiver WordPress-Seiten, die selbst nach Erscheinen eines Patches noch für Angriffe benutzt werden können.

Wer sein eigenes WordPress-Blog vor Missbrauch schützen will, hat zur Zeit nur die Möglichkeit, die Datei xmlrpc.php umzubennen oder zu löschen bzw. die Funktion pingback_ping in der Datei /wp-includes/class-wp-xmlrpc-server.php auszukommentieren bzw. zu löschen. Die Deaktivierung von Pingbacks und Trackbacks reicht offenbar nicht aus.

Allerdings führt dies nur dazu, dass das eigene Blog nicht für Portscan oder DDoS-Angriffe genutzt werden kann. Ein Schutz des eigenen Systems vor Angriffen von außen wird hierdurch selbstverständlich nicht erreicht.

Plugin-Review: Pods / Pods Framework

Das Plugin Pods ist mit Sicherheit nicht das bekannteste WordPress-Plugins.

Kein Wunder, schließlich sind auch nicht Anwender, sondern eher Entwickler die Zielgruppe. Mit Pods wird aus der Blog-Plattform WordPress ein echtes CMS zur Darstellung beliebiger Inhalte.

WordPress bringt natürlich Basis-Funktionen eines CMS-Systems mit sich. Wer über Blog-Beiträge und statische Seiten hinaus Inhalte darstellen will, kommt mit WordPress aber oft an seine Grenzen.

Viele Webseiten nutzen bereits WordPress als Blog-Plattform, wenn die Entscheidung zu einer Erweiterung getroffen wird. Wenn nur statische HTML-Seiten durch ein CMS ersetzt werden sollen, reichen die Standardfunktionen von WordPress problemlos aus. Werden individuelle Scripte verwendet, die z.B. Bewertungen oder Daten verwalten, stößt man mit WordPress schnell auf unlösbare Probleme.

Was kann Pods?

Mit Pods lassen sich eigene Datentypen kreieren und miteinander verknüpfen. Über Templates und Helper lässt sich die Ausgabe steuern, über die Url kann Inhalten automatisch ein Template zugewiesen werden. Das Framework ermöglicht es, beliebige Inhalte zu erstellen, zu verwalten und auszugeben.

Seit Anfang Oktober ist das Plugin in Version 2 erhältlich, zeitgleich zu WordPress 3.5 erschien die Version 2.1. Bemerkenswert ist, dass die Entwicklung von Pods mittlerweile auch von Auttomatic unterstützt wird

Im Versionswechsel liegt die aktuell größte Schwäche von Pods. Zur Zeit sind weder Dokumentation noch Framework-Erweiterungen auf dem aktuellen Stand. Gerade der Neueinstieg gestaltet sich durch die Änderungen etwas schwieriger.

Wann ist Pods zu empfehlen?

Pods ist zweifellos mächtig. Empfehlenswert ist das Framework vor allem aber dann, wenn bei einem neuen Projekt ein WordPress-Blog Teil der Seite sein soll oder der spätere Anwender bereits gute Erfahrungen mit WordPress gemacht hat.

Wer keine Blog-Komponente benötigt oder keine Komponenten oder Plugins aus WordPress verwenden möchte, dürfte mit einem Standalone-Framework wie z.B. Symfony 2 besser aufgehoben sein, da ansonsten ein unnötig großer Overhead mitgeschleppt werden muss und die große Verbreitung von WordPress auch Risiken und eine Notwendigkeit ständiger Updates mit sich bringt.

Fazit

Pods Framework ist kein Plugin für unerfahrene WordPress-Nutzer. Für Entwickler, die auf Basis von WordPress eine stark überarbeitete Seite erstellen wollen, ist Pods aber durchaus einen Blick wert.

Twitter “Wem folgen” – Oder: wie man ein Feature ruiniert

Seit Twitter unter “Wem soll ich folgen” Empfehlungen anbietet, war die Nützlichkeit begrenzt. Grundsätzlich ist es natürlich nützlich. Wenn ich mich für bestimmte Themen interessiere, dann interessieren mich vermutlich auch mehrere Quellen (bzw. Twitterer). Wenn mich eine Person interessiert, dann möglicherweise auch die Twitterer, denen sie folgt.

In der Praxis war es allerdings schon immer schwierig, insbesondere wenn man Personen in mehreren Sprachen folgt. Empfehlungen an den Account @WebDataSec sind praktisch ausnahmslos deutsch. Ob dies nun auf der Ortung der IP oder der beim Twittern hauptsächlich benutzten Sprache beruht, ist zweitrangig. Tatsache ist, wenn ich sowohl deutsch- als auch englischsprachigen Accounts folge, sollten meine Empfehlungen dies auch berücksichtigen.
Wenn mir Accounts vorgeschlagen werden, denen ich bereits folge, spricht dies auch nicht für die Qualität.

Twitter hat das Feature aber durch eine Änderung vor unbekannter Zeit völlig unbrauchbar gemacht. Verifizierte Accounts überschwemmen die Liste. 18 von 67 Vorschlägen sind in meinem Account verifizierte Accounts. Interessanterweise finden sich all diese Vorschläge in den 30 ersten Empfehlungen.

Interessanterweise wird bei (nahezu) keinem der Accounts angezeigt, dass Personen, denen ich folge, diesem verifiziertem Vorschlag folgt. Kein Wunder. Jennifer Lopez, Heidi Klum oder Eminem haben keine Schnittmenge mit den Personen und Themen, denen ich folge.

Natürlich gibt es auch Ausnahmen: Google und die Pressestelle von Google Deutschland haben Überschneidungen mit Personen, denen ich folge. Dies dürfte aber eine zufällige Überschneidung wegen dem Themen SEO bzw. Journalismus sein.

Nimmt man das Kriterium “niemand, dem ich folge, folgt diesem Account” hinzu, erklären sich auch drei weitere, türkischsprachige Vorschläge unter den ersten 30, die auf den ersten Blick überhaupt nicht hinein gepasst haben.

Halten wir fest: in den ersten 30 Vorschlägen sind offenbar 21 “manipuliert” bzw. vollkommen unabhängig von Themen und Interessen von Twitter festgelegt worden. Erst unterhalb wird es besser.

In meinem privaten Account ist die Verteilung etwas besser: “nur” 10 aus den ersten 30 scheinen nichts mit mir zu tun zu haben. Insgesamt sind es aber auch 19 von 66 Vorschlägen. Hier gibt es allerdings auch gerechtfertigte Vorschläge, denen niemand folgt, dem ich folge.

Natürlich hat Twitter das Recht, Geld zu verdienen. Wären einige Vorschläge (z.B. 5) “gesponsort” und auch ebenso gekennzeichnet, wäre dies kein Problem. In diesem Umfang und ohne Kennzeichnung ist das versuchte “Unterschieben” aber inakzeptabel.

Halten wir fest: offenbar sind fast ein Drittel aller Vorschläge von Twitter “manipuliert”. Offenbar sollen bestimmte Accounts mehr oder weniger verdeckt “gepusht” werden. Erstaunlicherweise ist der Hinweis “gesponsort” aber die Ausnahme. Trotzdem dürfte die Annahme, dass hier Geld im Spiel ist, nicht zu weit hergeholt zu sein.

Wie sehen denn die Empfehlungen in euren Twitteraccounts aus?

Ein eigenes soziale Netzwerk: BuddyPress 1.5 erschienen

WordPress ist den meisten Menschen nur als Blog-Plattform ein Begriff. Mittels Plugins lässt sich die Funktionalität aber sehr einfach erweitern.

Wer für eine Organisation, ein Unternehmen oder eine Community-Seite ein eigenes soziales Netzwerk aufsetzen möchte, dem bieten sich eine ganze Reihe von Lösungen. Die meisten großen CMS-Systeme wie z.B. Joomla oder Drupal lassen sich mit größerem oder geringerem Aufwand anpassen. Eine kostenlose, “ready-to-run” Open-Source Alternative stellt z.B. elgg dar, das gerade in Version 1.8 erschienen muss.

Wer bereits WordPress einsetzt oder neben dem Social-Network-Element auch eine starke News- und Blogging-Plattform haben möchte, für den stellt die WordPress-Erweiterung BuddyPress eine gute Möglichkeit dar.

Heute haben die Entwickler BuddyPress 1.5 freigegeben. Bei der Überarbeitung wurde der Fokus auf die Überarbeitung des Themes gelegt. Profilfelder lassen sich nun per Drag & Drop sortieren. Die Ladegeschwindigkeit des Themes wurde deutlich verbessert (u.a. dadurch, dass Javascript- & CSS-Dateien nur soweit notwendig geladen werden) und eine für mobile Endgeräte optimierte Ausgabe hinzugefügt.

Neben zahlreichen Bugfixes wurde die Einbettung externer Elemente wie Videos und Grafiken verbessert. Upgrade- und Installationsprozess wurden vereinfacht und der Admin-Bereich verbessert. Auch die Unterstützung multipler Netzwerke in einer Installation (auf Basis der ehemals als WordPress MU bezeichneten WordPress-Netzwerke) wurde deutlich verbessert.

Wer ein eigenes soziales Netzwerk aufsetzen möchte, für den kann die Kombination WordPress/BuddyPress eine Alternative darstellen. Allerdings sollten die möglichen Systeme und ihre Vor- und Nachteile genau verglichen werden. Generell sollte dem Aufbau eines sozialen Netzwerkes eine genaue Zielsetzung und Auflistung der benötigten Features vorausgehen. Wir unterstützen Sie gerne.

BEAST: SSL 3.0/TLS 1.0 am Ende?

Am Wochenende wollen die Sicherheitsexperten Thai Duong und Juliano Rizzo auf der Konferenz ekoparty in Argentinien einen erfolgreichen Angriff auf die verbreitetste Variante der SSL/TLS-Verschlüsselung vorstellen. Sie werden ihre Javascript-Anwendung BEAST (Browser Exploit Against SSL/TLS) vorstellen. Diese soll aktuell in der Lage sein, innerhalb von 10 Minuten ein PayPal-Cookie zu entschlüsseln.

Kurz nach dem Zertifikats-Desaster von DigiNotar bedroht der Angriff von Doung und Rizzo abermals die SSL-Verschlüsselung. Ihre Erkenntnisse bringen die am häufigsten eingesetzte Version SSL 3.0/TLS 1.0 ins Wanken. Zwar wurden bereits zwei weitere Versionen (2006 TLS 1.1 und 2008 TLS 1.2) veröffentlicht, allerdings herrscht eine Art Angebot-Nachfrage-Problem, das die Umsetzung verhindert. Einerseits fehlt in OpenSSL die Unterstützung für TLS 1.1 und 1.2 und damit die Implementierung für Linux-Server, auf der anderen Seite unterstützen auch die meisten Browser bisher nur SSL 3.0/TLS 1.0.

Dies könnte sich nun ändern. Durch den erfolgreichen Angriff steht praktisch die gesamte SSL-Verschlüsselung auf dem Spielstand. OpenSSL und die Browserhersteller werden sich zeitnah um die Unterstützung der aktuellen TLS-Protokolle bemühen müssen, falls nicht doch ein Patch gegen die Lücke gefunden wird. Dies könnte sich allerdings als steiniger Weg erweisen. Laut Duong und Rizzo standen sie seit Mai in engem Kontakt mit den Browser-Herstellern und Anbietern von SSL-Implementierungen. Allerdings sorgte jeder vorgeschlagene Fix für Probleme bei zumindest einem Teil der SSL-Anwendungen.

Internetnutzern bleibt nur, auf eine schnelle Behebung der Probleme zu hoffen. Da BEAST auf Javascript aufsetzt, können Browsererweiterungen wie NoScript oder Notscript das Risiko auf fremden Seiten mindern. Einen vollständigen Schutz bieten sie allerdings nicht. Sollte es Kriminellen gelingen, den Code in eine Webseite einzuschleusen, die der Nutzer als vertrauenswürdig ansieht, wäre auch dieser Schutz ausgehebelt. Auch bei einem “Man-in-the-Middle”-Angriff wäre dies wirkungslos.

Weitere Infos / Quelle: The Register

Datenbanken, Klartext-Passwörter und Verschlüsselung

Sicherheitslecks und Hackerangriffe auf bekannte Seiten gab es in den letzten Monaten zur Genüge. Erstaunlicherweise gibt auch 2011 noch große Unternehmen, die Passwörter im Klartext in ihren Datenbanken speichern. So brachte ein Hack bei Sony Pictures die Passwörter von über einer Million Nutzer im Klartext zum Vorschein. Auch die REWE-Gruppe beauftragte einen Dienstleister, der sämtliche Kundenpasswörter unverschlüsselt speicherte.

Unverständlich ist dabei, wie Dienstleister mit solch offenkundiger Inkompetenz den Auftrag erhalten konnten. Ebenso unverständlich ist, wie der Fehler dem Auftraggeber bzw. der IT-Sicherheit entgehen konnte. Bereits bei der Vergabe des Auftrags muss die Sicherheit der Anwendung einen wichtigen Stellenwert einnehmen.

Wer heutzutage noch Passwörter im Klartext speichert, ist dem Stand der Technik bzw. des Wissens um Jahre hinterher. Einen solchen Dienstleister auf die eigenen Webseite und die eigenen Kunden “loszulassen” ist mehr als fahrlässig. Wenn in Ihrer Datenbank Passwörter unverschlüsselt gespeichert sind, besteht dringender Handlungsbedarf.

Manchmal stößt man bei der Prüfung bereits vorhandener Webanwendungen auch auf Kurioses. So habe ich bereits ein Script gesehen, bei dem der Entwickler offenbar nachträglich eine Verschlüsselung der Passwörter hinzufügte. Anstatt aber nun die bereits vorhandenen Passwörter ebenfalls zu hashen wurden nur neu erstellte Passwörter gesichert. Die Nutzer, die ihr Passwort nicht änderten, waren weiterhin gefährdet und es entstand eine wild durchmischte Datenbank.

Oftmals ist aber auch falsch verstandener Stolz ein Problem. Viele Entwickler programmieren eigene Passwort-Funktionen. Sei es, um “Kompetenz” zu signalisieren, um den Projektaufwand und damit ihre Bezahlung zu erhöhen oder auch wenn sie ein eigenes CMS verwenden bzw. vermarkten wollen.

Fehlende kryptographische Grundlagen oder schlampige Umsetzung einer eigenen Passwortverschlüsselung sorgt in den meisten Fällen aber dafür, dass die Verschlüsselung schlechter ausfällt, als bei etablierten Systemen wie z.B. phpass.

Die Passworterstellung und -verschlüsselung sollte etablierten Systemen wie dem erwähnten phpass oder dem ggf. verwendeten Framework überlassen werden. Letztlich wird sowohl dem Auftraggeber, als auch dem Entwickler ein Gefallen getan. Der Auftraggeber erhält ein sichereres Produkt, der Entwickler hat mehr Zeit für Features – oder er spart Zeit und kann seine Dienstleistung günstiger anbieten.

Die Zeiten, in denen sich ein Programmierer damit “auszeichnen” konnte, wenn er möglichst viel selbst programmiert, sind eindeutig vorbei.