Seit dem Wochenende mehren sich die Berichte über Einbrüche in WordPress-Installationen. Allerdings mussten die Seitenbesitzer kleinlaut zugeben, noch immer eine ältere Versionen von WordPress benutzt zu haben (weblogtoolscollection.com, smashingmagazin.com). Ob es nun ein Wurm ist oder ob es gezielte Einbrüche sind kann ich nicht beurteilen, wer aber herausfinden will, ob auch sein Blog betroffen ist der findet bei Lorelle weitere Informationen. Auch Matt hat sich dem Thema angenommen und erinnert nochmals dringlich daran, stets auf die aktuellste Version upzudaten (und bei WordPress geht das ja eigentlich recht einfach mit ein paar Mausklicks). [Update] In der Zwischenzeit gibt es auch eine Meldung bei Golem.de dazu, wobei mich ja eigentlich noch immer mehr Informationen zur Art der Verbreitung interessieren würden. [/Update]

Aus diesem Grund und der Tatsache, das ich die Tage einen Angriff auf ein WordPress-Plugin „live“ erleben konnte (nicht erfolgreich, weil bei mir das Plugin nicht im Einsatz ist) hab ich mich entschlossen meinen Plugins (Gallery Widget, Floatbox Plus, TinyCode und hype it!) ein kleines Update zu spendieren. Durch ein paar Zeilen sollte nun der direkte Zugriff auf die PHP-Skripts blockiert werden und somit verhindern, das Fehlermeldungen nach aussen gelangen bzw. mögliche Angriffe über meine Plugins an WordPress vorbei vorgenommen werden könnten.

Es wundert mich, da derartige Mechanismen eigentlich Standard sein sollten (bei Joomla z.B. habe ich derartiges schon häufiger gesehen) aber im Codex wird dazu nichts gesagt. Es ist kein Beispiel/Hinweis vorhanden bzw. Methode die sinnvollerweise genutzt werden sollte/könnte. Die bei mir verwendete Variante ist sicherlich nicht die Beste, aber sollte zumindest erstmal weiterhelfen. Für die Zukunft würde ich mir eine durch WordPress vorgegebene Variante wünschen, die sinnigerweise in jedem Plugin zur Pflicht werden sollte.

Frei nach dem Motto „no risk, no fun“ habe ich das Update von WordPress auf 2.8.1 direkt automatisch durchführen lassen, und hatte Glück. Das Update verlief, wie bisher immer, problemlos.

Neben vielen Bugfixes (u.a. die Probleme beim automatischen Update) wurde auch eine Sicherheitslücke (betraf nur angemeldete Benutzer, die aufgrund fehlender Sicherheitsprüfungen die Optionen manchen Plugins etc. verändern konnten) geschlossen. Eine weitere Verbesserung konnte in Sachen Speicherverbauch im Adminbereich erreicht werden, hatte ich beim Dashboard bisher ca 42-44MB, so sind es aktuell nur noch 37,5MB, ein deutlicher Fortschritt. Die komplette Liste aller Änderungen findet sich hier.

… da Idioten so erfinderisch sind.

Über diesen Satz bin ich heute mal wieder beim Googlen gestolpert, als ich Informationen zu Exceptions in C++ gesucht habe, und irgendwie musste ich da sofort schmunzeln… In dem Satz steckt doch so viel Wahrheit…

Und hier der Satz nochmals vollständig: „Es ist unmöglich, idiotensichere Programme zu schreiben, da Idioten so erfinderisch sind.

Das Update auf 2.6.3 wird von den Entwicklern als Sicherheitsupdate eingestuft und sollte von daher eingespielt werden. Es geht um eine Lücke in einer Bibliothek zum Einlesen der Feeds im Admindashboard (Snoopy), noch ist allerdings wohl kein Exploit oder dergleichen bekannt und die Gefahr als nicht allzu gross eingestuft. Den Download der Version 2.6.3 gibts hier. Wer keine Lust auf ein „Vollupdate“ hat, für den reicht es 2 Dateien auszutauschen (siehe Blogeintrag). Laut WinMerge hat sich allerdings seit Version 2.6.2 auch noch die Datei wp-admin/includes/media.php geändert, was genau hab ich mir noch nicht näher angeschaut.

Unser Staat hat sich ein neues Grossprojekt in Zusammenarbeit mit T-Systems ausgedacht. Demnach ist ein neuer E-Maildienst für alle Bürger geplant. Nach entsprechender Authentifizierung (bei einem T-Punkt, einer Bank oder am Fahrkartenschalter) bekommt man eine eigene E-Mail-Adresse (nach folgendem Aufbau: Vorname.Nachname[.Nummer]@Diensteanbieter.zertIT.de) zur sicheren Kommunikation z.B. mit Behörden. Und alles in allem soll das Ganze natürlich auch noch einfach Bedienbar sein, wie man es von Anwendungen der T-Systems auch nicht anders gewohnt ist…

Golem.de fasst das Ganze Vorhaben meiner Meinung nach sehr gut zusammen:

Die Nutzung von De-Mail ist freiwillig. Sie erleichtert dem Bürger aber nicht nur den Umgang mit der Bürokratie, sondern birgt auch die Gefahr der Gewöhnung an staatliche Überwachung.

Sprich, die Daten sind absolut sicher… und wahrscheinlich gilt: Alles was Sie schreiben, kann und wird gegen Sie verwendet ;)

Update: Auch heise.de berichtet über das Vorhaben und berichtet u.a. das Strato aus dem Projekt ausgestiegen ist, da man anscheinend die vom BSI vergebene Zertifizierung nicht bekommen hat (die hat, man glaub es kaum, nur T-Systems bekommen (wie war das mit den Datenpannen bei Unternehmen der Deutschen Telekom?)).

Was muss ich denn da gerade bei Golem.de lesen? „BT startet neuen Test mit Phorm„.

Phorm bietet an, Surfern personalisiert Werbung auszuliefern, indem es deren Nutzungsverhalten auswertet. Das System des Unternehmens analysiert, welche Websites ein Nutzer besucht und nach welchen Begriffen er in Suchmaschinen sucht. Daraus erstellt es ein Profil, zu dem passende Werbung angezeigt wird.

Mein erster Gedanke, die Spinnen doch die Briten… und irgendwie allesamt. Zum Einen natürlich die British Telecom, das sie es überhaupt nocheinmal versucht, zum Anderen die angeblichen Benutzer des neuen Systems.

Ganz doof ist man bei der BT nämlich nicht, diesesmal wird es den Kunden nicht zwangszwischengeschaltet, nein man lädt Kunden zum umbenannten Dienst „Webwasher“ ein und gaukelt ihnen vor, es würde ihrer Sicherheit dienen. Sicherlich, mit dem System lässt sich durchaus vor Phishing warnen, aber die anderen Aspekte, das Datensammeln dürfte für BT definitiv im Vordergrund stehen. Und nach der Erlaubnis der User, darf der komplette Datentransfer „mitgeschnitten“, analysiert und gespeichert werden. Obendrein bekommt man ja als „Bonus“ noch personalisiert Werbung eingeblendet, ob das wirklich ein Vorteil für den Kunden ist?

Welchen wirklichen Vorteil beim Phishing (und genau das ist wohl das einzige Positive am System) das Ganze z.B. gegenüber „simplen“ DNS-basierten Systemen (vgl. OpenDNS) wirklich haben soll, ich weiss es nicht… und dafür soviel an eigenen privaten Daten preiszugeben? Da muss man schon ein enormes Vertrauen in seinen Provider und die beteiligten Dritten haben.

Ich bin einmal gespannt, wann deutsche Provider auf ähnliche Dinge kommen bzw. darüber berichtet wird, das sie derartiges schon längst im Einsatz haben/hatten…

Nach einer aktuellen Umfrage des Magazins „Focus“ ist die Hälfte der Bundesbürger für einen Fingerabdruck im Personalausweis (nachzulesen z.B. bei Golem.de). In anderen Blogs wird auch schon über die Seriosität der Umfrage gerätselt. Andere wiederum berichten von ihren eigenen Erfahrungen, bzw wann sie schon einmal ihre Fingerabdrücke abgeben durften ;) Ich kann der Kritik auch nur zustimmen, wozu von jedem Bundesbürger den Fingerabdruck speichern? Und was ist dann in der Zukunft? Soll vll schon morgen, man hat ja nun ne Datenbank für biometrische Merkmale,  jeder auch gleich noch seinen genetischen Fingerabdruck abliefern, und das alles im Sinne der Sicherheit für die Bürger… Zusammen mit den weiteren netten Projekten wie dem Bundesmelderegister, ELENA etc könnte man damit eine „Super-„Datenbank erstellen, am besten mit Zugriff via Internet, damit die Hacker nicht mehr die einzelnen Datenbanken abfragen müssen…