Frische WordPress Installationen werden gekapert

Dieses Problem mit gerade frisch installierten WordPress Instanzen ist schon irgendwie bemerkenswert.


Es scheint, dass dies ein wenig mit der Funktionalität von Let's Encrypt zusammenhängt. Durch das sogenannte Certificate Transperancy werden neue Zertifikate von gerade erstellten Domains recht schnell propagiert. Daher kann ein Skript diese Domains recht schnell auf noch nicht komplett durchlaufene WordPress Installations Assistenten suchen und so diese WordPress Instanzen einfach übernehmen.
Mir war vollkommen unbekannt, dass dies heute noch so einfach möglich ist. Denn die meisten ordentlichen Webspace Provider (Domain Factory, Webgo oder Strato) haben alle heute Installer, welche für einen im Hintergrund gleich eine neue WordPress Instanz installieren. Dabei wird auch gleich ein neues Admin Password abgefragt, so dass die Installation fertig ist.
Scheinbar gibt es aber auch noch günstige Webhosting Anbieter, welche solche Automatismen nicht haben. Klar, dann registriert man seine Domäne und vielleicht damit auch gleich noch sein Let's Encrypt Zertifikat und schon ist die Domäne bekannt. Als nächstes lädt man das entpackte WordPress ZIP per FTP auf seinen Webspace. In dieser Zeit kann der Angreifer schon die WordPress Installation gefunden haben und fertig gestellt haben. Gut, findige Leute können das Ganze ja wieder löschen. Aber eventuell merkt man es nicht mal.
In diesem Fall würde ich vermutlich diesen Weg gehen (hab ich nicht ausprobiert):
1. WordPress ZIP hochladen
2. Installation mit einer Zwischendomain (am besten noch ohne Let's Encrypt Zertifikat) durchführen.
3. Richtige Domain einrichten (auf das WordPress Verzeichnis zeigen lassen und Let's Encrypt einrichten).
4. Die wp-config.php noch eine Ebene weiter hochschieben.
5. Die WordPress Instanz mit der richtigen Domain aufrufen und eventuell schauen ob diese in den Einstellungen richtig eingerichtet ist.
-> Vielleicht muss man dazu aber auch noch die wp-config.php anpassen.

Aber damit entfällt in der Theorie ja die Möglichkeit, dass potenzielle Skriptkiddies so schnell durch Certificate Transparency von der WordPress Instanz erfahren ohne dass die Installation schon fertig ist.

Fand ich eben spannend, da meine WordPress Installation auch schon ewig alt ist und ich deshalb schon lange keine frische WordPress Installation mehr gemacht habe.

Werbung auf diesem Blog

Eigentlich finde ich Werbung immer sehr nervig. Besonders die lästigen Bannerwüsten aus irgendwelchen Werbenetzwerken. Sowas will ich hier gar nicht haben. Vor vielen Jahren hab ich ab und zu mal ein paar Textbeiträge veröffentlicht, für die ich auch mal ein paar Euro bekommen habe. Allerdings ist dies auch klar als Werbung definiert. Sowas ähnliches habe ich seither nicht mehr gemacht. Aktuell ist Daily Music mein Haupt Thema hier.
Es gab und gibt jedoch noch ein Werbenetzwerk namens Backlinkseller.de. Damit kann jeder, der Geld ausgeben will, einen Textlink bei verschiedenen Seiten schalten und so ein paar Links sammeln. Da es diesen Blog nun schon ein paar Jahre gibt und auch einigermaßen gut indexiert ist, biete ich damit potenziell auch eine gute Werbefläche.
Ich habe die Textlinks hier auf diesem Blog nun auch eingebaut, jedoch im Footerbereich. Dann sind diese Links zwar da und können angeklickt werden, stören aber nicht den Lesefluss. Cookies werden dadurch auch nicht gesetzt, von dem her sehe ich das ganze auch entspannt.

Falls ihr auch einen Blog habt und potenziell ein paar Cents / Euros dazu verdienen wollt, dann habe ich hier noch einen Referal Link. Sprich durch eure Anmeldung bekomme ich auch einen kleinen Anteil von eurem Umsatz vom Betreiber. Im Rahmen meines Nebengewerbes werden die Einnahmen natürlich auch ordentlich versteuert.

Blog war down

Gestern morgen schau ich auf meinen Blog und der ist nicht erreichbar. Da es aber auch mein erster Arbeitstag wieder war, musste ich natürlich zur Arbeit. Im Laufe des Tages hab ich immer wieder drauf geschaut und mich gewundert, warum es nicht erreichbar war. Dann hab ich gestern abend noch danach geschaut und ins DNS reingeschaut, weil ich blog.tobis-bu.de auch überhaupt nicht mehr pingen konnte. Andere Subdomains und tobis-bu.de ging aber wunderbar.
Dabei ist mir dann noch eingefallen, dass ich vor ein paar Tagen (wann genau weiß ich nicht mehr) einen TXT Eintrag für die Google Search Konsole gemacht habe. Nachdem ich diesen Eintrag rausgenommen hatte und gleichzeitig noch die wp_debugmode = true angemacht habe, ging es dann wieder. Es lief dann auch gleich die automatische Aktualisierung an und der Maintance Mode ging an. Da ich dann aber zu schnell wieder die wp_config.php per FTP geändert hatte, hat sich die Updaterei verhakt. So waren dann noch weitere Daten im upgrade Ordner drin. Die musste ich dann noch kurz rauslöschen.
Aber am Ende hab ich das eine Plugin (Jetpack), dass sich verhakt hatte, komplett entfernt und neu installiert und es ging wieder alles. Das war alles total strange. Vor allem weil meiner Erinnerung nach der Aufruf nach dem DNS Update (als ich den TXT Eintrag für Google hinzugefügt hatte) noch ging. Aber scheinbar war dies wohl nicht mehr so.
Trotzdem fand ich es lustig, weil es mich an den ersten Arbeitstag im Oktober erinnerte. Da ging rein zufällig auch gleich der Serverraum aus, weil die Strom Sicherung rausgeflogen ist. ;)
Aber nun ist der Blog wieder wunderbar erreichbar. Getreu dem Motto "Du kannst alles kaputt machen!" hab ich das mal kurz mit meinem Blog gemacht, aber auch wieder relativ zeitnah repariert. Beabsichtigt war es jedenfalls nicht meinen Blog auszuknipsen. ;)

Im neuen Job (wo ich schon mal von 2019 bis September 2021 war) geht es auch schon wieder rund. Ein neuer Kollege, der ein Teil von meinen Aufgaben übernehmen sollte, hat leider nach 2 Monaten schon wieder aufgegeben. Also hieß es: "Tobi schön dass Du wieder da bist. Hier ist übrigens noch eine brennende Pfanne, übernimm doch mal bitte!" Aber es war ein schöner Arbeitstag. Man merkt, dass sie mich vermisst haben und sich freuen, dass ich wieder da bin. Und das nicht nur wegen den Waffeln!

Youtube OHNE Cookies einbinden

Für meine Daily Music Beiträge binde ich regelmäßig Youtube Videos ein. Dazu verwende ich die Standard Funktion von WordPress.
Nämlich über "Dateien hinzufügen" - "Von URL hinzufügen". Dort gebe ich einfach die Youtube URL direkt ein und WordPress parst daraus dann schon automatisch den Embed Code. Wenn man aber mal darüber nachdenkt ist dieses Verhalten leider noch etwas doof. Denn so setzt Youtube mit jedem Aufruf von meiner Seite auch wieder ein Cookie. Das will man natürlich nicht haben. Es gibt schon länger die Möglichkeit per youtube-nocookie.com die Videos auch ohne Cookies anzuschauen.
Jetzt rückblickend alle über 700 Videos umzustellen wäre aber auch sehr utopisch gewesen.

Doch hier hab ich noch eine schöne Lösung gefunden. Nämlich einfach in die functions.php einen Filter einzubauen, welcher die Standard Youtube Links auf youtube-nocookie.com umbaut.

add_filter( 'embed_oembed_html', 'youtube_nocookie_loesung', 10, 4);
function youtube_nocookie_loesung( $original, $url, $attr, $post_ID ) {
$html = str_replace("youtube.com","youtube-nocookie.com",$original);
$html = str_replace("feature=oembed","feature=oembed&showinfo=0",$html);
return $html;
}

Finde ich tatsächlich eine schöne Sache.

Und jetzt ihr wieder: "Warum machst Du das nicht schon von Anfang an?" Ich habe leider nicht genug darüber nachgedacht. Aber nun ist es mir selbst aufgefallen und wollte mal einen kleinen Beitrag leisten, damit ich weniger Cookies verbreite. Ansonsten ist der Blog ja schon Cookie frei. Also zumindest keine dauerhaften Cookies. ;)

Da auch Themes ab und zu wieder Updates bekommen, könnte diese Änderung verloren gehen. Mit Code Snippets wird dieser Code noch in der Datenbank gespeichert und immer dynamisch in die functions.php eingefügt. Find ich gut. Geht vielleicht auch wieder ein bisschen auf die Performance, aber dafür muss man den Code nur einmal eintragen und ist bei Themes Updates sicher, dass die Funktion weiterhin drin ist. ;)

WP Twitter Auto Publish Powered By : XYZScripts.com