Gestern Nachmittag hatte ich bei Securityfocus erst die Anzahl von Vulnerabilities zwischen Typo3 und WordPress verglichen. Typo3 kam auf zwei Seite, WordPress auf drei. Wobei viele Meldungen auf Typo3 Extensions entfallen. WordPress hat diesen Bonus nicht.

Bevor ich jetzt jedoch die ganze Update Prozedur starte, habe ich mir die Unterschiede zwischen WordPress 2.6.3 und WordPress 2.6.5 angeschaut. Die WordPress Version 2.6.4 wurde übersprungen, da es wohl eine Fake Version gab.

Wie bereits in den 5 Tipps für eine schnellere Webseite beschrieben sollte man soviel Code wie möglich in die CSS Datei auslagern. CSS Dateien haben, genauso wie HTML nur einen Nachteil, man kann keine Logik implementieren. In PHP ist dies jedoch möglich. Außerdem kann PHP so tun als sei es CSS.

Was Cross Site Scripting ist und wie es ungefähr funktioniert, war mir mehr oder weniger bekannt. Richtig realisiert habe ich es durch das Buch "PHP-Sicherheit", das mir von http://log.446b.org empfohlen wurde. Mittlerweile bin ich süchtig. Ich kann nicht mehr vernünftig surfen. Bei keiner Homepage kann ich widerstehen. So bald ich irgendwelche Parameter in der URL sehe muss ich es einfach ausprobieren. Die typischen Lücken sind

• Suchformulare
• Login Formulare
• Seite empfehlen

Aber XSS ist nur die Einstiegsdroge. Irgendwann reicht einem das aber nicht mehr aus und man kommt automatisch zu SQL-Injections. Diese Droge ist noch besser, sie hält einfach viel länger an und sie ist so heimtückisch. Nachdem man sie aber ein paar mal genossen hat, merkt man es reicht nicht mehr und man braucht wieder mehr. Als nächstes folgt dann zwangsläufig Stufe 3 - das Hacken von Servern. Man glaubt nicht wie viele Server es gibt die auf alten Apache Versionen laufen. Besonders intensiv ist die Droge, wenn die Internetseiten versucht haben durch 404 Handling zu vermeiden, dass man die Apache Meldung sieht.

Der Preis des Erfolges eines jeden Blogs scheint der Spam zu sein. Nachdem ich meinen Server nun auch endlich wieder richtig konfiguriert hatte, bekam ich auch wieder die vielen Mails. Google Mail gruppierte diese zwar alle schön, aber es hat mich trotzdem genervt, vor allem weil es so leicht schien, Spam von nicht Spam zu unterscheiden. Nach einer kurzen Suche mit einer Suchmaschine stieß ich auf folgende Seite http://tantannoodles.com/toolkit/spam-filter/. Ich konnte es kaum glauben, das man das Plugin nur installieren mußte und nicht wie beim Captcha wieder in alle möglichen PHP Dateien eintragen mußte.

Während meiner Extensionschlacht habe ich mittlerweile das erste Opfer zu beklagen. Jedesmal wenn ich eine Seite lösche, erscheint eine Fehlermeldung