Laut MacManX.com hat WordPress eine schlechte Angewohnheit (bad behavior): Im Zusammenhang mit der verarbeitung von Pingbacks setzt WordPress keinen User-Agent. Dies mag der Spamblocker Bad Behavior in der Version 1.2.2 nicht und blockt fortan die IP (der Pingback geht dabei verloren).

Da sich Bad Behavior nur sehr eingeschränkt konfigurieren lässt, kann man das Problem nur lösen, indem man die entsprechende Funktion auskommentiert (was wirkliche keine Lösung ist, weil man dann einen wichtigen Teil des Spamschutzes verliert). Einen entsprechchendes Changeset steht bei WordPress-Plugins zur Verfügung.

Hinweis: Das Problem ist zwischenzeitlich gelöst, siehe: Bad Behavior und WordPress/Spam Karma 2 können (wieder) miteinander

Gerade habe ich das Sicherheitsfix eingespielt, da bringt WordPress die neue Version 1.5.2 raus… (Der Fix ist natürlich in der neuen Version drin.)
Weiterlesen →

Um das WordPress-Sicherheitsproblem bei PHP-Konfigurationen mit register_globals=on doppelt abzusichern, hatte ich noch einen Workaround eingesetzt, bei dem über die .htaccess im PHP register_globals=off setzt wird. Dabei habe ich einen folgenschweren Fehler begangen.
Weiterlesen →

Laut einem Posting im WordPress Support Forum besteht bei scheinbar allen WordPress-Versionen ein Sicherheitsproblem, wenn auf dem jeweiligen Web-Server PHP mit der Option register_globals=on konfiguriert ist.

An gleicher Stelle ist gibt es

• ein PHP-Script, mit dem festellen kann, ob die entsprechende PHP-Konfiguration beim eigenen Web-Space besteht,
• eine gefixte Version der wp-settings.php sowie
• Hinweise auf andere Workarounds.

Weiterlesen →

Eben ist mir aufgefallen, dass der Feed von meinem WordPress (Version 1.5.1) nicht mehr funktioniert. Na ja, zunächst denkt man ja, dass man selber etwas falsch gemacht hat…
Weiterlesen →