Categorieën
Techtalk

Webhosting fail

Men had vandaag kunnen denken dat mijn eigen blog gehacked was. De ironie zou bijzonder bitter hebben gesmaakt maar de werkelijkheid is niet veel beter.

Mijn webhost, Flaxe, had mij vrijdag laten weten dat er maandagavond twee uur downtime was gepland wegens onderhoud in het datacenter. Geen probleem. Voor professionals zou zoiets vrij eenvoudig mogen zijn. Helaas, tijdens het onderhoud was er een stroompanne. Het begin van heel wat ellende.

In eerste instantie was het domein gewoon niet bereikbaar omdat de nameservers plat waren gegaan. Die waren blijkbaar het snelste terug actief want in de loop van deze voormiddag kon ik terug op mijn site surfen. Het is te zeggen: eerder provisoir want niets werkte.

Via het statuspaneel kon ik volgen hoe services één voor één terug actief werden. Alleen mysql – de databaseserver – en imap – de e-mail – wilden niet mee. Dat betekende nog altijd een kapotte website en een niet bereikbare Matthias. Niet zo fijn.

In de loop van de namiddag werd de databaseserver terug actief. Alleen bleken al mijn databases foetsjie te zijn. Niks, noppes, nada. Grote paniek van mijn kant. In die databases zitten alle data van alle sites die op mijn domein draaien waaronder alles wat sinds juli 2005 op mijn blog is verschenen. Argh! Een bezorgd telefoontje naar de helpdesk van Flaxe leverde een onduidelijk antwoord op: er is softwareschade en ik moest geduld oefenen. Niks geen hersteltijden, garanties, etc. Ik werd in het duister gelaten.

Pas tussen 8 en 9u vanavond bleken de databases terug gezet te zijn. Hoera! Hun laatste backup dateert blijkbaar van zaterdag want alle comments, content,… van zondag en maandag ben ik doodleuk kwijt. Inclusief een paar configuratiewijzigingen op databaseniveau. Awoert! Afin, al bij al kon het veel erger. Ondertussen is de e-mail nog altijd niet toegankelijk of bruikbaar. Dus wat dat betreft zit ik nog even op hete kolen.

Vooral de communicatie vanuit Flaxe was ondermaats. We zullen maar zeggen: onbestaande. Zonder de rood/groene knoppen op het service paneel had ik geen enkele indicatie van waar er precies een probleem was. Er werden evenmin op hun eigen website status updates of zo geplaatst. Meer zelfs, hun eigen site en mailservers waren zelf slachtoffer geworden en werkten gebrekkig. Hun klanten adres gooide al mijn mails doodleuk terug. Het weinig professionele antwoord van de telefonische helpdesk laat ook weinig aan de verbeelding over. Er kon geen sluitend antwoord worden gegeven of ik data kwijt was, wat er precies gebeurde of hoe lang het nog zou gaan duren. Het spreekt voor zich dat ik niet bepaald gelukkig ben.

Op dit moment hang ik nog vast aan 8 maanden contract bij Flaxe maar al een tijdje loop ik met het plan te verhuizen naar een andere, betere, voordeligere host waar ik meer mogelijkheden, bandbreedte en schijfruimte kan krijgen voor minder geld. Dit incident is voor mij alleen maar een groot argument om hier werk van te maken. Dus na dik 5 jaar zal ik waarschijnlijk rond het jaareinde wisselen van hosting. In tussentijd kruis ik de vingers dat er geen verdere accidents de parcours voor zullen vallen.

Categorieën
Techtalk

Publish button

Na jaren bloggen weet ik dat het nogal makkelijk is om op de publish butten te duwen. Minder makkelijk is het om terug te nemen wat je gezegd hebt. Bij het laatste postje rond veiligheid en WordPress had ik nagelaten om Clopin eerst persoonlijk op de hoogte te brengen. En dat viel niet in goede aarde.

Dit heb ik duidelijk niet erg handig aangepakt waarvoor mijn welgemeende excuses. Het was zeker niet de bedoeling om Clopin of anderen hiermee voor het hoofd te stoten. Laat staan om te scoren op de kap van anderen.

Met een blog komt verantwoordelijkheid. Daar ben ik mij altijd zeer bewust van geweest en probeerde ik naar te handelen.

Jammer dat ik hier dus een stevige steek heb laten vallen.

Categorieën
Techtalk

Haxxorz l33t security

Welja, ik ben natuurlijk nieuwsgierig naar de mate waarin mijn plugin wordt geïnstalleerd en opgepikt. En natuurlijk durf ik dan al eens rond te googlen. Dus gooide ik even wp-mollom als trefwoord door Google.

Wat mij opviel in het lijstje was dit:

Inderdaad, een open directory bij Clopin. Blijkbaar heeft Clopin niet alleen de plugin op zijn blog gegooid, maar ineens de volledige wp-mollom/ folder inclusief screenshots. Via die toegang is het een koud kunstje om zijn plugins/ folder uit te lezen. En uit die informatie kan ik meteen een aantal dingen afleiden.

  • Clopin maakt – uiteraard -gebruik van WordPress.
  • Ik weet nu welke plugins Clopin op zijn WordPress blog heeft draaien.
  • Aan de hand van de data waarop de files en folders werden aangemaakt zie ik of er oudere en nieuwere plugins tussen staan.
  • Ik ken nu niet alleen de actieve plugins – waaronder de plugins die in alle stilte hun werk doen -, maar ook alle, waartussen wel eens oudere, vergeten versies zitten, inactieve plugins.
  • Ik weet meteen ook het model webserver en eventuele modules waarop Clopin.be draait.

Het spreekt voor zich dat dit vrij interessante informatie is voor kwaadwillige hackers. Door veiligheidslekken in oudere plugins uit te buiten, kunnen die wel eens lelijk huis houden. Niet dat ik daarmee iets nieuws vertel, maar ik vind het een mooie aanleiding om dit probleem even aan te kaarten. Ook anderen bloggers tonen eveneens voor Jan, Pier en Pol welke plugins ze op hun blog hebben draaien. Google indexeert die volledige folder trouwens. En nog een pak meer.

Anderen zijn voorzienig geweest en schermen de boel volledig. Probeer maar eens met die laatste google zoekopdracht dezelfde informatie te achterhalen en naar hun plugins/ folder te surfen.

Wat kan je hieraan doen?

Wel, je kan verschillende strategieën gebruiken. De meest eenvoudige is een – al dan niet lege – index.php file in de folder te droppen waardoor je de inhoud van de folder onzichtbaar wordt. Of je, als je wat avontuurlijk bent aangelegd, een .htaccess file aanmaken die toegang tot de folder blokkeert. Let wel op dat je de boel niet te hard dicht timmert waardoor je blog kapot gaat.

Lees meteen ook even dit artikel met 3 eenvoudige tips om je WordPress website te beveiligen. (via bram.us)

O ja, ik ben zelf een tweetal jaar geleden het slachtoffer geweest van een hacker. Ik heb de tips in kwestie toen al toegepast. Geen overbodige luxe dus.

Categorieën
Delicious

Bookmarks van September 21st tot September 27th

Categorieën
Tube

Viva la vida

Tubeday! Omdat ik volgende week bij hun optreden in het Sportpaleis aanwezig zal zijn met onder andere zij en hem. En omdat ze onlangs, eindelijk, hun eigen video voor één van hun beestigere songs hebben gemaakt: Viva La vida van Coldplay.

Overigens vind ik de fotografie van de clip een fijne interpretatie van Delacroix’ La Liberté guidant le peuple.

Categorieën
Techtalk

Mollom 0.6.1

I just tagged version 0.6.1 of WP Mollom in the WordPress Extend repository. Which means in a few moments, you’ll be able to download the latest installment of my plugin.

So, what has changed? Well, this is a bugfix release which means no new features. Here’s the changelog:

  • Fixed: division by 0 error on line 317
  • Fixed: if ‘unsure’ but captcha was filled in correctly, HTML attributes in comment content would sometimes be eaten by kses
  • Improved: the mollom function got an overhaul to reflect the september 15 version of the Mollom API documentation
  • Changed: mollom statistics are now hooked in edit-comments.php instead of plugins.php
  • Added: _mollom_retrieve_server_list() function now handles all getServerList calls

Although almost all basic functions are up and running now, there’s still a long road ahead. Today, I’m happy with what I’ve accomplished technically so far, but such things as usability, performance, flexibility,… still need more work. For instance, there’s still no WordPress MU version, i8n support is still missing, the backend needs more simplifying and much more.

But then again, if spam annoys you as much as the mosquitos in my room did me last night, then this is the plugin for you. Download the package, drop wp-mollom.php in your plugins folder, register with mollom.com to get your keys, just configure them in the plugin and you’re all packed with some serious spam stoppage power.

Happy blogging!

Categorieën
Techtalk

Boekenbeurs.be

Bijna is ’t weer Boekenbeurs. En ondertussen staat hun site on line. Een fijne site want designgewijs trekt ze wel de aandacht. Als ik trouwens naar de typografie en de stijl van de tekeningen kijk, dan moet ik onwillekeurig denken aan de reclame van HP van een tijdje terug. The PC is personal again. Een andere associatie die ik maak zijn de illustraties van Fiep Westendorp die zo beroemd werden dankzij de boekjes van Annie M.G. Schmidt.

Boekenbeurs.be v2

O ja, de site is trouwens in Drupal opgetrokken. Kathleen en ik hebben alvast posters besteld omdat we zo zo wijs vinden!

Categorieën
Techtalk

Mollom out of beta

Congratulations are in order as the Mollom guys went out of beta over the weekend. Great! They did several upgrades to their service over the past weeks including improving their spam deterrents and the visual CAPTCHA.

When you settle with a free account, Mollom allows 100 legit comments to be posted on your blog a day. More then enough for most blogs. Powerusers should sign up for their Mollom Plus Service which allows 10,000 legit comments a day. Ideal for enterprise sites, businesses and community services.

You can find more information on their blog.

Over the past weeks, I turned my attention to several other priorities. But then again, I fixed several bugs in the plugin. A new version of the API documentation was released on the 15th of september. Maintainers of third party clients should turn their attention to section 9 of the API. Mollom now features an elaborate load balancing/fail over act.

Short of a few bugs, I’m trying to work out a better way of handling errors in the plugin. So a new version of the plugin is in the works and a release should be right around the corner.

Categorieën
Foto

Aztec Pilot

Vleugelrock

Aztec Pilot

Categorieën
Delicious

Bookmarks van September 14th tot September 19th