GreenSmilies

Wie letztens geschrieben, hier mein Weg um die Datenbank auf utf8 umzustellen, falls man beim php/mysql Wechsel versehentlich seine Umlaute & Co geschrottet hat. So wie ich, habe ich doch alle Umlaute doppelt utf8 kodiert (siehe Screenshot am Ende). Voraussetzung ist eine Shell und phpMyAdmin. SQL-Profis brauchen letzteres natürlich nicht, aber die haben auch keine utf8-Problemchen.

1. Backup! Backup! Backup!
   Am besten gleich eine Kopie mit phpMyAdmin anlegen und diese sichern!
2. Ich habe zuerst die Kollation der Datenbank auf utf8_bin umgestellt.
3. Dann habe ich über die Shell einen Dump der Datenbank angelegt, wichtig ist hierbei der default charset latin1 gewesen!:

   mysqldump -uuser -ppasswort datenbankname --default-character-set=latin1 > /tmp/dumpname

4. Mit einem Hex-Viewer wie zum Beispiel xxd sollte man dann mal einen Blick auf den Dump werfen und sich einen kaputten Umlaut suchen. In meinem Fall belegten die doppelt utf8 kodierten Zeichen 3 bis 4 Bytes statt 2 Bytes.
5. Nun editiert man mit vim den Dump und ändert ganz am Anfang des SQL das "SET NAMES latin1" auf "SET NAMES utf8".
6. In phpMyAdmin sollte man nun die alte Datenbank einfach umbenennen (ist gleich ein Backup), eine neue Datenbank mit dem gleichen Namen anlegen und dann auf der Shell den Dump wieder einlesen:

   mysql -uuser -ppasswort datenbankname < /tmp/dumpname

7. Zu guter Letzt habe ich in Handarbeit via phpMyAdmin sämtliche Kollationen auf utf8_general_ci umgestellt, also bei allen Tabellen und allen Felder!
8. Nicht zu vergessen ist der Eintrag DB_CHARSET in eurer wp-config.php, dort gehört "utf8" eingeragen!

Was bei mir nicht klappte, war ein Tipp von David den Dump einfach mit default charset --default-character-set=utf8 einzulesen, ich glaube das funktioniert nur wenn die eigentlichen Daten eh schon utf8 sind, aber noch in einer Datenbank mit falschen Charset liegen. Darum auch der Hinweis, den Dump mal mit xxd zu betrachten.

Nicht empfehlen kann ich das Vorgehen von Perun oder kONZENTRAT.org die Zeichen per Suchen und Ersetzen auszutauschen, da sich die kaputten Zeichen u.U. nicht auf die drei Umlaute und ein scharfes S begrenzen. Ansonsten hat er es wie David mir sagte gemacht und den falschen Charset korrigiert.

Es wird aber trotzdem andere und eventuell auch bessere, einfachere und/oder schnellere Wege geben, was zählt ist aber das Endergebnis! Wie sagt mein Hausarzt immer so schön: "Wer heilt, hat Recht!"

Wie auf wp-magazin.ch zu lesen ist, gibt es eine Hintertür in der aktuellen(?) WordPress-Version, über welche es möglich ist, einen falschen Update-Hinweis im Dashboard zu plazieren. wurde ein News-Feed dazu genutzt um eine Falschmeldung über ein vermeintliches WordPress-Update zu verbreiten.

Als ob das alleine nicht schon beunruhigend genug wäre, lädt man beim vermeintlichen Update eine modifizierte Version von WP herunter. Beim Download dieses Updates sollten aber schon die Alarmglocken läuten, da die Quelle wordpresz.org lautet (man beachte das “z” am Ende des Domainnamens!).

In diesem Download wurde die pluggable.php modifiziert, welche die Cookies der angemeldeten Benutzer zur gefakten Website schickte. Besagte Webseite ist aber derzeit offline.

*Nachtrag*

Da im Screenshot eine Version 2.5.1 gezeigt wird, bin ich mir nicht mehr sicher, ob die Dashboard-Lücke nicht nur eine alte Version betrifft.

*Nachtrag*

So wie es aussieht, wurde nicht die Update-Funktion von WP missbraucht, sondern nur ein News-Feed gekapert.

Es gab eine kleine Sicherheitslücke im Feed-Fetcher (das Teil holt die News, die man im Dashboard sieht) von WordPress. Wer schnell updaten will, braucht nicht lange zu warten und muss nur zwei Dateien aktualisieren:

• wp-includes/class-snoopy.php
• wp-includes/version.php

Das wars auch schon.

PS: Da hätten sie auch gleich den Flash-Uploader mit reparieren können.

*Nachtrag*

Und weil es so schön war, hat man im lokalisierten Standard-Theme noch eine XSS-Lücke entdeckt und behoben.

Andernorts lese ich, dass WordPress-Blogger ihre Spam-Protection in Form von “Math Comment Spam Protection” zu Gunsten von Akismet abschalten.

Ich gehe genau den umgekehrten Weg und drehe, auch wenn es gute Arbeit leistet, Akismet ab! Die Gründe sind wie folgt:

• Ich schicke Eure Kommentare und Daten nun nicht mehr an Akismet.
• Setze ich nur auf Akismet, muss ich Tag ein, Tag aus, den Spam-Ordner scannen, da …
• … es immer wieder Kommentare gibt, die kein Spam sind.
• Hierbei können mir auch Fehler unterlaufen und ein echter Kommentar geht dann verloren.
• Ich finde außerdem, dass etwas Kopfrechnen nicht schaden kann. Denkt an die PISA-Studien!

Diese Statistik spricht außerdem für sich, Akismet hat hier nicht viel zu tun:

(An den Peak im Juli kann ich mich nicht erinnern, muss ein Fehler sein.)

Für alle, die weder Aksimet, noch Mathe-Aufgaben haben wollen, gibt es auch noch das mit trickreichen Formularen aufwartende Yawasp (Yet Another WordPress Anti Spam Plugin). Der User merkt davon nichts, aber Spam-Bots scheitern daran (noch) kläglich.

Zusätzlich zu den Mathe-Aufgaben sollte man damit zu 99,999% spamfrei sein.

*Update*

Ein weiterer Grund ist:

• Man ist nicht von Akismet abhängig, falls der Dienst mal ausfällt bzw. eingestellt wird.

Schade, dass es den Panik-Smilie schon gibt, zum aktuell heißesten Thema in der Blogosphäre hätte er super gepasst.

Mittlerweile kann man sogar schon auf IT-News-Seiten, wie Golem, nachlesen, um was geht:

Wordpress-Plug-in “Subscribe to Comments” führt zu Abmahnung
Abmahnung wegen fehlender Bestätigungs-E-Mail

Das WordPress-Plug-in “Subscribe to Comments” hat Jan Tißler mit seinem Upload-Magazin eine Abmahnung eingebracht: Das Plug-in verschickt auf Wunsch E-Mails, wenn zu einem Blogeintrag neue Kommentare abgegeben werden, was in der von “Subscribe to Comments” umgesetzten Form hierzulande problematisch sein kann.

Hierzulande heißt nämlich, dass man in Deutschland einen E-Mail-Empfänger vorher um Erlaubnis fragen muss, ob man ihm eine E-Mail zukommen lassen darf. Double-Opt-In nennt sich das und die Wikipedia erklärt es vortrefflich:

Beim „Double Opt-in“ genannten Opt-in-Verfahren muss der Eintrag der Abonnentenliste in einem zweiten Schritt bestätigt werden. Meist wird hierzu eine E-Mail-Nachricht mit Bitte um Bestätigung an die eingetragene Kontaktadresse gesendet. Handelt es sich um ein echtes, das heißt erwünschtes Opt-in, bekommt der Abonnent eine Bestätigung seiner angegebenen Kontaktdaten. Handelt es sich dagegen um einen missbräuchlich erfolgten Eintrag, kann sich der unfreiwillige Abonnement-Kandidat vor einem Eintrag in die Abonnementliste schützen, indem er auf die Bestätigungsanfrage nicht reagiert. Eine Registrierung beim „Double Opt-in“ wird erst dann wirksam, wenn sie bestätigt wird.

Es sei jetzt dahin gestellt, ob so etwas wirklich Sinn ergibt, in Deutschland aber ist es schon seit Jahren bekannt, hat doch ein gewisser G. fleißig SPD und Grüne abgemahnt (oder auch nur verwarnt?) weil sie E-Cards ohne Double Opt-in versendet haben. Hier, hier und hier nachzulesen. Das war 2002!

Sechs Jahre später scheint man das alles wieder vergessen zu haben und die Aufregung war und ist groß. Darum verstand ich die Aufregung auch nicht, scheinbar macht sich vorher keiner Schlau? Ein Gutes hatte der Wirbel aber, gleich zwei Blogger haben sich rangesetzt und das bestehende Plugin um ein Double Opt-in erweitert. Zum einen Martin von infogurke und zum anderen Tobias.

Das finde ich top!

Meiner einer hat sich für das Plugin vom Gürkchen entschieden und jetzt, wo es Alternativen gibt, kann ich den Einsatz der Lösung mit Double Opt-in nur wärmstens empfehlen.

100-prozentige Sicherheit bietet aber auch Double Opt-in nicht, da es schon Fälle gab, wo die Verifizierungsmail moniert und als unerlaubte Werbung/Spam eingestuft wurde! Auf der sicheren Seite seid ihr also nur, wenn ihr gar keine E-Mails verschickt! Am besten ihr schließt eure Blogs und schaltet den Strom in der Wohnung ab und versperrt euch im tiefsten Keller, den ihr finden könnt!

*Nachtrag*

Mein Text in den Einstellungen von Subscribe to Comments:

Hallo!

Bevor Du über weitere Kommentare informiert wirst, musst Du Deine E-Mail-Adresse für die Benachrichtigungsfunktion freischalten. Das ist einmalig und gilt auch für alle künftigen Kommentare.
Klicke dazu einfach auf den nachfolgenden Link:

[link]

Damit wird verhindert, dass jemand Deine E-Mail-Adresse ohne Dein Einverständnis verwendet.

Solltest Du diese E-Mail nicht angefordert haben, setze Dich bitte mit mir in Verbindung: abuse@niedermayr.cc

Um Dein Kommentar-Abonnement ändern, löschen bzw. deine Adresse komplett für diesen Dienst sperren zu können, klicke auf den nachfolgenden Link:

[manager_link]

Vielen Dank für Deinen Beitrag und bis bald,
Michael Niedermayr

Könnt ihr gerne verwenden, vergesst aber nicht Namen und E-Mail-Adresse zu ändern!