Kategorier
Hosting Opdateringer Plugins Sikkerhed WordPress

Alvorligt sikkerhedshul i Postman SMTP plugin

For få dage siden fjernede WordPress det ellers fremragende plugin Postman SMTP fra det officielle kodearkiv på wordpress.org. Det sker fra tid til anden for plugins eller themes, der har vist sig ikke længere at være sikre. En sikkerheds-blog havde påvist et sikkerhedshul i Postman SMTP (version 1.7.2).

Fejlen er ikke blevet rettet af Jason Hendriks, udvikleren af Postman SMTP, og det har derfor fået WordPress’ administratorer til at fjerne plugin’et fra deres download-database. Det betyder samtidig, at der ikke er en opdatering lige rundt om hjørnet.

I en diskussionstråd om problemet har en Jon Brown dog publiceret et simpelt forslag til en løsning af problemet:

I linje 346 af 
/wp-content/plugins/postman-smtp/Postman/Postman-Email-Log/PostmanEmailLogController.php

Ret
   value="<?php echo $_REQUEST['page'] ?>" />
til
   value="<?php echo esc_attr($_REQUEST['page']) ?>" />

Biberkopf har patchet alle WordPress-installationer tilhørende kunder med en vedligeholdelsesaftale.

UPDATE: 15. november 2017:

WordPress-udvikleren Yehuda Hassine har for nylig udgivet en ny version – en såkaldt fork – af Postman under det nye navn »Post SMTP Mailer/Email log«. Dette plugin kan angiveligt installeres i stedet for det gamle Postman plugin. Det skulle kunne genbruge Postmans indstillinger.

Kategorier
Plugins Spam WordPress

Smart anti-spam plugin blokerer bot-kommentarer

I artiklen med det mundrette navn Plugin mod kommentar-spam – et alternativ til ReCAPTCHA? har jeg beskrevet et WordPress plugins elegante måde at frasortere spam-maskiner (bots), når det vælter ind med kommentarer på din blog.

Her er så endnu en metode, som vælger en anden men ikke mindre elegant løsning. Bestem selv, hvad du selv synes er smartest.

Men husk, at der er sjældent en metode, der ikke på et tidspunkt kan omgåes af spam-bot-programmørerne.

Tiden arbejder for dig

Det nye plugin hedder Spammers Suck! – måske ikke så subtilt et navn. Udviklerfirmaet kalder sig WPSpamHammer. Endnu et hårdtslående navn, der understreger ‘tough-on-net-crime’-profilen. Personligt synes jeg nok, at Aikido Spam Fighter eller lignende havde været et bedre navn. For metoden er begavet og ikke synderlig voldelig.

Ideen er simpelthen a vente! Når en maskine eller et menneske åbner en kommentarside, så skal der gå fx 15 sekunder før en kommentar bliver accepteret. Det er smart, da spam-bots jo normalt ikke har tid til at vente 15 sekunder. De skal hurtigt videre og generer andre bloggere, så for dem er 15 sekunder en evighed. For de fleste mennesker, vil en kommentar aldrig falde før efter 15 sek.

Hvis man mener, at tidsgrænsen ligger et andet sted, kan man selv tilrette det i indstillingerne:

plugin-spammers-suck

Desuden kan man sikre sig mod, at evt. lynhurtige menneskevæsener afleverer kommentarer på under 15 sekunder ved at gøre ‘Send’-knappen inaktiv.

Update 20. august 2014:

Jeg har været nødsaget til at pille Spam Hammer af mit site. Den skabte ‘fatal errors’, der angiveligt skyldtes en manglende registrering af ‘base dir’ et eller andet sted i koden. Det fik den til at konflikte med QuickCache, som jeg vurderer højere end de fleste andre plugins. Både hvad angår troværdighed og kvalitet. Så Spam Hammer er ude. Desuden producerede den denne fejl, da jeg prøvede at geninstallere den for at teste:

Protection Not Active*. Error: Your Server's IP Is In Use By Another Account

Men hvis du kan leve med disse begrænsninger, kan den måske stadig være anvendelig for dig.

Kategorier
iOS iPad iPhone Plugins Spam WordPress

Plugin mod kommentar-spam – et alternativ til ReCAPTCHA?

Hvis du er så heldig, at nok mennesker besøger din hjemmeside, har du måske også gæster nok, der faktisk har lyst til at kommentere dine indlæg. I så fald ved du også, at kun en brøkdel af disse indlæg som oftest vil være regulære.

De fleste bidrag er mere eller mindre ubehjælpsomt formulerede forsøg på at få dig til at åbne for adgangen til dit site, så spam-maskinen (spam-bot’en) kan få frit løb til at overklistre dit site med en masse reklamer for piller, penisforlængelser eller pyramidespil.

Derfor har mange af os WordPress-brugere igennem tiden brugt en række forskellige metoder til at skille fårene fra bukkene – eller rettere brugerne fra spammerne.

ReCAPTCHA

Eksempel på en ReCAPTCHA indtastningsbox

En gængs metode har været at bruge forskellige indtastningsfelter, som Captcha og ReCaptcha, hvor en tilfældig tekstkode forvanskes og transformeres til en billedfil. Det er så op til den menneskelige bruger at afkode og indtaste den kringlede tekst. Det kan fra tid til anden være noget af en udfordring, og de fleste har nok på et eller andet tidspunkt bandet disse kasser langt væk.

Den slags blokeringer har en tendens til at fremkalde en oprustning på modstandersiden hos spammerne. De kan forsøge at lave mere avanceret optisk genkendelse af teksterne eller finde andre finurlige veje uden om forhindringen. Men den ultimative metode er, at sætte underbetalte mennesker i den anden ende til at aflæse disse tekster. Og vupti, så er beskyttelsen forsvundet.

En ny og bedre løsning?

Men kan det virkelig ikke gøres bedre?

Forleden faldt jeg over et plugin, der gør et hæderligt forsøg på at simplificere denne gatekeeper-funktion: Seriously Simple Spam Blocker. Ideen er simpel; før du får lov at poste en kommentar, skal du bevise, at du er et menneske, ved at trække et ikon ind i et tomt felt:

Når det er gjort, er der fri bane. Så kan man naturligvis stadig bevare de almindelige godkendelsesprocedurer, man alligevel ville bruge. Det bestemmer blog-ejeren naturligvis selv.

Først kunne jeg ikke få den til at virke på min iPhone, men en dokumentationsside om mobil jQuery forklarede, at man kan bruge en alternativ metode, når drag’n’drop ikke fungerer. Det er lige så simpelt:

1) Klik på ikonet.

2) Klik på firkanten.

Dermed flyttes ikonet ind i firkanten og fortryllelsen er hævet.

Prøv det selv nedenfor og læg en kommentar om, hvad du synes. (Jeg har fjernet andre forhindringer for at aflevere kommentarer. Dog har jeg aktiveret et andet spændende anti-spam-plugin, som du kan læse om her.)