WordPress updaten auf min. 4.7.5

Lieber Blogger Kollegen,

sofern Ihr WordPress einsetzt und es nicht schon automatisch geschehen ist, updated bitte Eure WordPress auf min. Version 4.7.5. Alle kleineren Versionen haben eine Cross-Site-Request-Forgery-Schwachstelle, d.h. jemand drittes kann auf seiner Webseite einen Vorgang auslösen, bei dem Eurer Browser etwas in Eurem WordPress durchführt, ohne das Ihr das merkt. Natürlich nur, wenn Ihr permanent eingeloggt sein 😉

WordPress Admininterface generiert unsichere Links

Wenn man in einem WordPress Admininterface, das per HTTPS aufgerufen wird, eine Meldung von Browser bekommt, daß die Seite unsichere Elemente enthält, dann denkt man instinktiv an einen Hack.

Zum Glück ist es keiner. Lediglich die „Zur Website“ Links, die WordPress automatisch aus den Konfigurationen der einzelnen Blogs einer Netzwerkinstallation erzeugt , werden ohne weitere Prüfungen per HTTP:// erzeugt, was dann zur Warnmeldung des Browsers führt:

<ul id="wp-admin-bar-blog-6-default" class="ab-submenu">
<li id="wp-admin-bar-blog-6-d">
<li id="wp-admin-bar-blog-6-n">
<li id="wp-admin-bar-blog-6-c">
<li id="wp-admin-bar-blog-6-v">
<a class="ab-item" href="https://marius.bloggt-in-braunschweig.de/">Zur Website</a>
</li>
</ul>

Da sollte WP noch etwas nachbessern.

WordPress 4.7 wird Euch ggf. die Trafficstats löschen

Kaum auf 4.7 aktualisiert und schon sind die Webtrafficdaten der letzten 6 Monate weg.

Wer Ersatz braucht, muß leider von Null anfangen und das „Traffic Stats Widget“ Plugin installieren. Das fängt dann aber nach Installation wieder bei 0 zu zählen. Das von WP als Dropin installierte Plugin, sieht zwar nett aus, kann aber nur 24h auswerten und uns leider nicht sagen, wieviele Leute in den letzten Tagen/Wochen/Monaten da waren 🙁

 

Dürfen IP Adressen gespeichert werden?

Liebe Mitblogger,

der EuGH hat in einer Anfrage zur Speicherung von IP-Adressen durch Webserver vom BGH entschieden, daß das TMG(Telemediengesetz) gegen europäisches Recht verstößt, weil es (stark vereinfacht) keine Abwägung zwischen berechtigten Interessen des Betreibers und den Rechten der Person an Ihren Daten enthält.

Damit ist das generelle Verbot der Speicherung von IP Adressen nicht länger rechtens, aber noch nicht vom Tisch. Der BGH muß diese Entscheidung des EuGH in seiner anstehenden Entscheidung berücksichtigen. Erst wenn der BGH entschieden hat und das Urteil rechtskräftig ist, steht es final fest. Wer jetzt in vorauseillendem Gehorsam die Logfiles wieder aktiviert, könnte noch gegen geltendes Recht verstoßen.

Damit Euch das nicht passiert, hier Euer Schlupfloch:

am 31.01.2013 hat das Landgericht Berlin verkündet:

„Die Beklagte wird verurteilt, es zu unterlassen, die Internetprotokolladresse (IP-Adresse)
des zugreifenden Hostsystems des Klägers, die im Zusammenhang mit der Nutzung
öffentlich zugänglicher Telemedien der Beklagten im Internet – mit Ausnahme des
Internetportals “http://www.XXXXXXXXXXXX.de” – übertragen wird, in Verbindung mit dem Zeitpunkt
des jeweiligen Nutzungsvorganges über das Ende des jeweiligen Nutzungsvorganges
hinaus zu speichern oder durch Dritte speichern zu lassen,
– sofern der Kläger während eines Nutzungsvorganges selbst seine Personalien, auch in
Form einer die Personalien des Klägers ausweisenden E-Mail-Anschrift, angibt und
soweit die Speicherung nicht im Störungsfall zur Wiederherstellung der Verfügbarkeit des
Telemediums erforderlich ist.“

Zitat aus: LG Berlin 57 S 87/08  – 2 C 6/08 Amtsgericht Mitte / Tiergarten

Das meint, daß wenn Ihr Schutzmaßnahmen implemtiert haben müßt, um den Webserver vor Angreifern zu schützen,
und das sollte jeder WordPressbenutzer machen, wenn er einen reibungslosen Betrieb gewährleisten will, die Speicherung über den Zeitpunkt der Benutzung hinaus erlaubt ist.

Zu beachten ist, daß dieser Zeitraum nicht unendlich ist und konkret beziffert werden muß. Außerdem seid Ihr auch dafür verantwortlich, wielange der Hoster die Daten speichert. Fragt daher bei Eurem Hoster an, wie lange die Webserverlogs gespeichert bleiben und was der Hoster als Schutzmaßnahme für den Webserver betreibt.

WordPress ist täglich Ziel von vielfältigen Angriffen

wp-login.php per Bruteforceattacke,
auf die xmlrpc.php um Forenspam zu senden
Exploits von Themes und Plugins.

Um diese Angriffe abzuwehren, müssen zwangsweise IP’s gespeichert werden um automatisch zu überprüfen, ob ein BruteForceangriff vorliegt und um konkrete Gegenmaßnahmen, in Form von IP-Sperren, einzuleiten.

Aus der Praxis als Webhoster einiger bekannter WP-Blogs, kann ich Euch versichern, daß einige Angreifer mehr als 500.000 mal am Tag auf ein Blog zugreifen um es zu stören, zu hacken, oder zu missbrauchen. Ohne Serversicherungsmaßnahmen incl. IP Speicherung könnten wir diese Angriffe nicht abwehren.

Darüberhinaus könnte eine Änderung der Speicherpraxis auch damit begründet werden, daß ein Webservicebetreiber mit den IPs nicht direkt einen Besucher namentlich identifizieren kann. Der EuGH sieht zwar den Rechtsweg in Form einer Strafanzeige als möglichen Weg, um an die Personendaten zu gelangen, aber meiner Meinung nach ( die dafür nicht zählt ), ist das für Webseitenbetreiber ohne Juraabteilung nur in echten Strafverfahren möglich, was bedeutet, es gibt einen konkreten Grund, welchen Kriminalbeamte, Staatsanwälte und Richter vorher prüfen. (Arbeitsüberlastungen von kölner Gerichten sei mal nicht das Thema.) Es ist daher eher unrealistisch dies als gangbaren Weg anzuerkennen, zumal das BDSG auch zum Zwecke der Strafverfolgung eine Ausnahme erlaubt. Demnach dürfen auch Daten, die dem Datenschutz unterliegen, den Strafverfolgungsbehörden übermittelt werden. (Damit man das kann, müßte man sie vorher speichern.)

Fazit

Das Urteil des BGH in der Sache steht noch aus, aber es gibt jetzt schon Ausnahmen, die eine Speicherung der IP’s erlauben.
Es dürfte eine Wende in der Rechtssprechung in Deutschland geben.

Die Pressemitteilung des EuGH zu dem anstehenden Urteil könnt Ihr hier selbst lesen:

http://curia.europa.eu/jcms/upload/docs/application/pdf/2016-10/cp160112de.pdf

Alte Entscheidungen:

Landgericht Berlin 2013: http://www.jurpc.de/jurpc/show?id=20130179

Abweichungen von Webstatistiken und WordPress

Ich glaube, die Jetpack-Wordpress-Statistik lügt uns Blogger an.

Dummerweise gibt es keine Infos auf den Jetpackseiten, was genau die da tracken, nur was sie nicht tracken, nämlich einen selbst.

Nun habe ich noch die guten alten Webalizerauswertungen durchgesehen und konnte für einzelne Beiträge teilweise den zehnfachen Zugriff feststellen.

Beispiel:

Der Beitrag „QMMP & MP3 & Fedora 24“ wurde laut Jetpackstats gestern 18x aufgerufen. Es gibt aber alleine gestern in den Webstats 352x Aufrüfe der Landingpageurl für diesen Artikel.

Bei genauerer Analyse der Aufrufer, stammen viele von Google. Lassen wir die weg, sind es noch 212 Anfragen.
Werfen wir alle doppelten IPs raus, bleiben noch 112 unique IPs übrig.

Das sind 500% mehr Zugriffe, als Jetpack dem Blog zugestehen will. Und das war nur eine von zwanzig Landingpages an dem Tag.

Warum zählt Jetpack das nicht, weiß das wer ?

Wie kommt man an diese Zahlen auf die schnelle ran ?

Zunächst mal braucht man einen Webserver z.b. einen Apache httpd und den passenden VirtualHost Eintrag um die Logfiles zu schreiben:

    ServerName bloggt-in-braunschweig.de
    ServerAlias *.bloggt-in-braunschweig.de
    ErrorLog logs/error_log
    CustomLog domlogs/bloggt-in-braunschweig.de combined

Weil son Tag erst richtig ausgewertet werden kann, wenn er vorbei ist, macht man das einen Tag später, weswegen auf einem normalen Webserver die Logfiles schon weggepackt wurden, damit sie wenig Platz benötigen. Da das am Tag +1 zum eigentlich Datum geschieht, sieht die Zeile auf meinem Fedora Server so aus :

zgrep „13/Jul/2016“  bloggt-in-braunschweig.de.20160714.gz | grep  „GET /2016/07/13/qmmp-mp3-fedora-24“ | grep -v „google“ | awk ‚{print $1;}‘ | sort -u | wc –lines

Damit Ihr Euch das vorstellen könnt, hier eine Beispiellogzeile:

5.35.243.228 – – [13/Jul/2016:20:40:35 +0200] „GET /2016/07/13/qmmp-mp3-fedora-24/ HTTP/1.1″ 200 40382 „-“ „Friendica ‚Lily of the valley‘ 3.4.3-2-1191; https://friend.sraega.org“

Die interessanten Teile, habe ich hervorgehoben.

Der Befehl ‚zgrep „13/Jul/2016“ ‚ filtert uns nur Einträge von dem Tag aus dem mit GZIP gepackten Logfile.
Mit ‚grep  „GET /2016/07/13/qmmp-mp3-fedora-24“‚ filtern wir auf die Landingpage, d.h. die Aufrufe des Artikels, die geschehen sind, als er Startbeitrag auf der Startseite war und diese aufgerufen wurde, werden so nicht mitgezählt.
Das „grep -v google“ wirft den Googleboot raus, ziemlich penetranter kleiner Kerl übrigens, der kommt schon fast im 5 Minuten Takt an der Landingpage vorbei um zu schauen, ob die sich geändert hat.
AWK sollte man als Admin kennen, hier wird es benutzt um nur die IP, die als erstes in der Logzeile steht, auszufiltern.
sort -u “ kickt die doppelten Einträge der IP raus.
wc –lines“ zählt dann die übrig gebliebenen Zeilen, also das Ergebnis.

Und das Ergebnis war 112x .

Jetzt fragt man sich, was WordPress da eigentlich statistisch erfaßt und ohne in den Code schauen zu wollen, würde ich sagen: kompletten Schrott 🙁

Bestenfalls kann man an dem Ergebnis ablesen, wie Trends einzelnen Blogbeiträge so liegen, aber das wars schon.

Am Beispiel vom SuperTuxKart Beitrag von heute: 22x laut WordPress, 134x laut Apachelogfile (-google und doppelten)  (bis zu diesem Artikel) also auch wieder Faktor 6 ( 500% mehr ) Abweichung.

D.h. ab sofort geht mir die Statistik am …… vorbei 😀

Update: ein Plugin soll das Problem lösen, indem es den Job übernimmt. Ich hab es mal aktiviert. Also nicht wundern wenn es die nächsten Tage noch wenig anzeigt.

Fedora: Lekhonee-Gnome vorgestellt

Lekhonee ist ein WordPresseditor für den Gnome-Desktop.
Da sich die Funktion alleine auf das Schreiben eines Artikels beschränkt, ist ein ablenkungsfreies Schreiben möglich. Dazu ist die Reaktionszeit des Editors natürlich deutlich besser, als die Webversion je sein kann. Natürlich gibt es auch Nachteile, so muß man seinen Artikel komplett schreiben, bevor man Ihn als Entwurf(Draft) zum Server schickt. Dafür speichert Lekhonee die Artikel dann aber auch lokal ab, so daß den Artikel beliebig lange bearbeiten kann und ihn dann nur einmal auf den Server schiebt.
Auch das Einbinden von Bilder stellt kein unüberwindliches Hinderniss dar, da die Bilder direkt hochgeladen werden können und dann als Weburl zur Verfügung stehen um sie in den Artikel einzubauen.
Alle nötigen Funktionen zum Schreiben eines Artikels sind vorhanden, so auch die Rechtschreibhilfe, schauen wir uns das mal an Hand dieses Artikels als Beispiel an :
Lekhonee für Gnome

Lekhonee für Gnome

Wer also für das Laptop noch einen offlinefähigen Editor für WordPress benötigt, der könnte sich Lekhonee mal ansehen.
Kleine Info am Rande, es gibt zwei Lekhonee Pakete im Repo, für den Desktop die Lekhonee-Gnome Edition nehmen.

Diese Woche im Netz

ZFS wurde endlich als stabile Version für Debian vorgestellt und soll kurzfristig für alle GNU Linuxe wie Fedora und Ubuntu usw. bereit stehen. ZFS ist ein Userland Filesystem, daß durch Dedublikation Speicherplatz einsparen kann. Wie das allerdings den meisten Endanwendern helfen soll, die kaum über doppelte Daten verfügen dürfen, ist mir ein Rätsel. Im Serverbereich ist die Dedublikation schon lange ein Thema, da hier tatsächlich oftmals die gleichen Daten anfallen. Beispiel: 10 User installieren WordPress 4.5. Mit ZFS gibt es die Files nur einmal auf der Platte, aber 10 User glauben Sie hätten das für sich 🙂 Im Prinzip sind das Symlinks auf Datenblockebene, die vom Filesystem selbst gemanagt werden. Ich bin mal gespannt wie stabil das wirklich ist, denn mein letzter Versuch endete im Datengau, zum Glück ohne realen Datenverlust.

Quelle: ZFS on Linux

Android Central hat T-Mobile geehrt, als den Carrier ( Mobilfunkanbieter ) bei dem man am einfachsten aus dem Vertrag raus kommt, wenn man wechseln will. Wie schlimm muß das bei den anderen sein, wenn der Mutterkonzern von T-Mobile, also die DTAG, schon ! 6 ! Monate braucht, um einen Festnetzanschluß zu kündigen und die Nummer zur Portierung freizugeben ?

Hab das gerade selbst erlebt, also keine Schmähkritik, sondern leider die Realität.

Quelle: How do i cancel T-Mobile

Endlich mal eine sinnvolle IT Entscheidung: der EuGH Gutachter meint, daß IP Adressen zwar persönliche Daten sind (, weil ja auch jeder sofort herausbekommen kann, wer die IP grade inne hat 😉 ), aber trotzdem von Webseitenbetreiber auf „Vorrat“ gespeichert werden dürfen, denn diese hätten ein „berechtigtes Interesse“ ihre Infrastruktur in Stand zu halten. Das meint übersetzt, daß man IP’s speichern darf, damit man z.b. DOSangriffe erkennen und abwehren kann.  Wir halten das für SINNVOLL!

Der Bundesdatenschutz sieht das übrigens anders, denn wenn es nach den Datenschutzgesetzauslegungen gehen würde, dürfte man die IPs nicht speichern, weil das persönliche Daten sind und die unterliegen ja, zu Recht, einem besonders starken Schutz. Dahingehend haben Datenschützer auch Webseitenbetreiber mit Strafe gedroht, sollte jemand mal IPs auf Vorrat speichern. Dumm nur, daß schon der Webserver im Errorlog die IPs speichert und man das nicht abschalten kann. Von den Accesslogs mal ganz abgesehen.

Quelle: Webseitenbetreiber dürfen IP langfristig speichern

Erst der Bundestag, dann die CDU, ob das am Prestige der CDU kratzt, nicht die erste Wahl gewesen zu sein? 😀

Quelle: russische Hacker sollen CDU angegriffen haben

Ein Kommentar:

Als Webhoster und Sachverständiger gegenüber den Ermittlungsbehörden, kann ich aus leidlicher Erfahrung sagen, daß das keine gute Entscheidung war, auch wenn Sie vom EU-Generalstaatsanwalt als Empfehlung stammt. Wir haben mit der neuen Regelung einen Freibrief für Kriminelle die jetzt per War Driving im WLAN um die Ecke alles von Erpressung, DOS Angriffen, Hacking, Identitätsdiebstähle usw. machen können, ohne das es eine Handhabe gibt. Da die Betreiber nicht mal grundlegende Informationen aufzeichnen werden, wie z.b. die MAC des Teilnehmers, gibt es keine relistische Chance mehr die Kriminellen zu finden. Was Freifunker als Sieg feiern, werden wir alle sehr teuer bezahlen. Das ist so sicher wie das Amen in der Kirche.

Quelle: Golem: BGH Entscheidung zur Haftung von Gästen
Quelle: Heise: Die-Hotspot-Wueste-lebt-Freude-ueber-Ende-der-WLAN-Stoererhaftung

Da hat das FBI wohl TOR-Benutzer durch eine Schwachstelle im TOR eigenen Firefoxbrowser enttarnt und Mozilla hätte jetzt gern den Exploit um die Schwachstelle zu fixen, sofern das in Firefox war.

Update: Mozilla ist mit seinem Gesuch gescheitert, an die genutzte Sicherheitslücke zu kommen 🙁

Quelle: FBI muss Mozilla keine Informationen ueber Sicherheitsluecke uebergeben
Quelle: Mozilla asks Court to disclose Firefox Exploit used by FBI to hack Tor users

Es scheint ja bei der Beantwortung der Frage „wie man WordPress installiert“ echte Defizite zu geben, deswegen einfach mal hier das Video schauen. Es zeigt die Installation auf einem Linux Webserver mit Apache und MariaDB Datenbankserver. Die Konfiguration von WordPress kommt dann ca. 1 Minute später im Video.

Quelle: Wie am WordPress installiert

Hungry Shark World

Screenshot by Marius

Ein Free-2-Play Titel macht grade viral bei Androidbesitzern mit  5 Millionen Downloads in der ersten Woche die Runde : „Hungry Shark World“ .

In App Store wurden bereits die ersten Nachahmungstäter gesichtet 😉 Wir stellen klar, das Spiel ist nur echt, wenn es von UBI SOFT kommt !

Wir haben es angespielt und es ist …. naja.. die Steuerung ist etwas zäh, trotz der 341 MB Installationsgröße lädt das Spiel beim Starten noch Sachen nach. Aber das Spiel scheint ganz nett zu sein. Spielt es aber lieber auf einem Tablet, beim Handyeinsatz verkrampft man so beim Spielen

Quelle: hungry-shark-world-goes-viral

Es scheint lustige IOT Türklingeln zu geben, die allerdings nicht nur das eigene Haus mit der Klingelfunktion versehen, sondern gleich die ganze Nachbarschaften „vernetzen“ 😀 Falls Sie auch eine „Ring Doorbell“ haben, sollten Sie mal prüfen, ob Ihre Tür nicht schon offen ist.

Quelle: some-ring-doorbell-pro-users-could-temporarily-see-other-peoples-houses

Microsoft ändert endlich seine Politik, das WLAN Passwort unter Windows 10 an die „Freunde“ des Besitzers zu „teilen“ 🙂

Quelle: windows10-wifi-sense

Und Sie fahren immer noch durch die Gegend, die gefakten GSM Basisstation in China, über die Spams und Trojaner verteilt werden. Laut Reportern, sollen in der Industrie vor rund 4 Jahren bereits 1,6 Millionen Menschen als Webdesigner, Hacker und Fahrer gearbeitet haben.

Quelle : China-Spam-ueber-gefaelschte-Mobilfunk-Basisstationen

… und dann war da noch die Sache mit dem nutzlosen H264Codec von Cisco für Fedora, der halt nur Baseline Profile codieren kann.

Quelle: OpenH264 in Fedora Workstation

WordPress & Linux und der FTP-User

Aus gegebenem Anlass… möchte ich darauf hinweisen, daß man WordPress Dateien auf einem nakten Linuxsystem am besten als wwwrun/wwwdata (je nach Distro) installieren sollte und nicht als andere Benutzer auspackt und dann den Webserver als wwwrun betreibt. Sonst kommt es zum Rechteproblem beim Installieren von Plugins.

Merken kann man das daran, daß WordPress plötzlich FTP Userdaten verlangt, weil es bestimmte Dinge nicht machen kann (Mangelnde Schreibrechte). Die Gegenmaßnahme ist jetzt aber nicht chmod 777 zu verteilen, sondern ein System auf eine sicherere und stabile Webhostingbasis zu stellen.

Desweiteren ist der nakte, ungeschützte Betrieb von PHP- und Perl-Anwendungen im Modulmodus auf einem Linuxsystem per se eine dumme Idee. Es gehört ein CGI Wrapper zwischen Webserver und PHP Skript, der sämtliche Rechte auf einen Benutzer beschränkt und ihn idealerweise in eine Chrootumgebung zwingt. Erst ab dem Level fängt der Begriff sicherer an.