Durch Sicherheitslücken in Wordpress sind Cross-Site-Scripting-Attacken und ein Auslesen von Serverinformationen möglich. Mangelhaftes escapen von Kommentaren erlaubt es Usern JavaScript-Code zu posten. Es ergibt sich die Möglichkeit Cookies eines Administrators auszulesen und so zu einem Adminzugang zu kommen. (mehr…)
Marios neuer Blog über Blogspam und meine 60 E-Mail Benarichtigungen über neue Kommentare, die zu moderieren seien ermunterten mich nun endlich etwas gegen den Kommentarspam zu unternehmen. Meine Wahl fiel auf das Plugin wp-gatekeeper, das beim Kommentieren eine Aufforderung oder Frage einblendet, die man beantworten muss. (mehr…)
Gestern hab ich auf die neue Wordpress Version upgedated. Zu den Neuerungen gehört ja unter anderem ein WYSIWYG-Editor zum Schreiben der Beiträge. Der Nachteil war, dass es mir aufgrund der Geschwindigkeit fast nicht mehr möglich war Beiträge zu schreiben. Wenn ich Zeichen löschte hinkte der Cursor hinterher und wenn ich schon längst mit löschen aufgehört hatte verschwanden weiterhin Buchstaben. (mehr…)
Heute wurde das rel=”nofollow” aus den Links der Kommentatoren und Trackbacks von mir entfernt. Ursprünglich war das nofollow-Attribut von den großen Suchmaschinenbetreibern ins Leben gerufen worden um den Kommentarspam und den Trackbackspam einzudämmen. Doch ich werde mit falschen Kommentaren zugespammt wie eh und je. (mehr…)
Golem schreibt über Firefox-Extensions, die jeder haben sollte. Ich habe mir gedacht, dass ich dann auch mal die Extensions bloggen könnte, die ich benutze.
All-in-One Gestures
Mit dieser Extension kann man diverse Mausgesten nutzen und auch selbst definieren. Ich finde es ganz geschickt mit der Maus neue Tabs öffnen oder schliessen zu können.
SearchStatus
Zeigt entweder graphisch oder als Text den Pagerank der Seite und den Alexa Rank. Weiterhin kann man sich die robots.txt der Seite, die Backlinks und vieles mehr anzeigen lassen.
Nach einem Tipp von Martin Goldmann habe ich mich auf die Suche nach einem Plugin gemacht, welches mir html-Code in Posts escapen kann. Entschieden habe ich mich für das WordPress Plugin Code Autoescape. Nachdem ich mir den PHP-Code des Plugins angesehen habe sehe ich noch Chancen um das Plugin performanter zu machen indem man die regulären Ausdrücke durch wesentlich schnellere Replace-Funktionen ersetzt.
Hier mal ein Test:
Gerade eben habe ich die Formatierung für das Code Tag zum CSS hinzugefügt. Jetzt sind die Passagen in denen Programmcode oder ähnliches gepostet wird vom normalen Inhalt abgehoben. Was mich überrascht hat als ich den html-Code gepostet habe war, dass der Code nicht escaped wird sondern einfach so übernommen wird und erstmal nicht sichtbar war.
Ist das nur bei mir so oder wird das von Wordpress generell nicht umgewandelt?