Wordpress

Ja. Ik ben gehacked. Ik weet niet hoe, of wat. Dat zal de komende dagen moeten worden uitgewezen. De hacker beperkte zich tot de ‘categories’ van WordPress: hij heeft alle categoriën hernoemd met een eigen mooie boodschap. Tot slot heeft hij een meta tag kunnen invoegen die automatisch bezoekers afleidde naar zijn eigen mooie website.

Al bij al geen grote schade maar het is een boodschap: je bent nooit helemaal veilig! Ik denk dat ik nog geluk heb gehad dat ik de afgelopen jaren nooit eerder ben gehacked geweest. Ik draai nochtans de laatste versie van WordPress met een aantal plugins en de K2 theme. Een vrij standaard installatie. Voorlopig heb ik alle plugins uitgeschakeld en heb ik het standaard Kubrick theme opstaan. K2 maakt nogal gebruik van een aantal fancy javascript en andere truken. Ik hoop zo verdere problemen te vermijden. Als er toch nog iets gebeurt, dan weet ik dat het aan WordPress zelf ligt. Ik heb ondertussen ook een extra backup gemaakt van mijn databank. Stel dat het zaakje escaleert, kan ik altijd terugkeren.

Ik hoop dit weekend eens een inspectie uit te voeren. Ik hoop dat het geen issue is met WordPress zelf. Indien ja, dan hoop ik dat dit snel zal gepatched worden, als ik het kan terugleiden tot een bestaande bugreport.

Zo. Ik hoop dat mijn lezers in deze duistere tijden ook een oogje in het zeil helpen houden. En natuurlijk waarschuw ik iedereen die WordPress gebruikt voor dit gevaar!!

Unknown Genius schrijft:

If you are running WordPress as your blogging platform and if you have been trusting enough to leave User registration enabled for guests, DISABLE IT IMMEDIATELY (in wp-admin » options: make sure “Anyone can register” is not checked).

Zou er een fatale bug in WordPress zitten? Ik heb de registratiemogelijkheid alvast afgezet. Niet dat iemand die gebruikt: just to be on the safe side. Naar het schijnt gaat dit letterlijk om élke versie van WordPress. U weze gewaarschuwd…

Ha! Ik heb gisteren nog eens wat kunnen programmeren na de uren. Niet altijd even evident. Dit heb ik gedaan:

• WP-Referer 0.2: ik heb get_referer() volledig herschreven. Zoals de naam doet vermoeden haalt deze functie de referer van een hit op en steekt die in een databank.
• MySQL op OSX: hier struikelde ik al lang over. Om de één of andere reden kon PHP op mijn laptop géén connectie maken met de MySQL daemon. Blijkbaar ligt het aan de hostnaam: verbinden met localhost lukt niet, met atlas.local dan weer wél. Hmpf. Uiteindelijk dan toch WordPress op OSX aan de klap gekregen.
• Wat huishoudelijk voorbereidend werk op mijn webruimte.
• Zitten prutsen met de delicious API. Ik zou graag een plugin maken die het volgende doet: mensen die hier geraken via google, daarvan de keywords uit hun query distilleren, die aan voederen aan delicious en de resultaten terug weergeven. Helaas beperkt de API zich tot het ophalen van posts en tags gerelateerd aan jouw account. Niet ideaal! Ik zou echter graag de vollédige delicious databank kunnen aanspreken. Hm.

Ik ben goed bezig heb ik de indruk! Har!

Bon. Ik heb mijn wordpress installatie naar de laatste versie gebracht. Als Michael zegt “doen!”, wie ben ik dan om [Taggerati][5] op orde gebracht. En voor de goede verstaander, ik heb eindelijk een treffelijke banner. Met The Gimp geretoucheerd overigens!

Tenslotte heb ik willen merken dat Michel een lelijke vlieg heeft gefotografeerd. Telkens ik zijn weblog bezoek slaag ik er consequent in om dubbel te klikken waardoor een foto met het beest in kwestie prominent op het voorplan, het éérste is wat ik zie. Tot zover mijn ontbijt. Smakelijk!

[5]: het zo te laten? Ik heb gelijk ook mijn <a href=

Bon. Ik ben zo’n beetje begonnen met knoeien aan een versie 0.2 voor WP Referer. Een flink deel van de code kan ik blijkbaar meteen herbruiken. Haroe brova! De installatie van twee SQL tabelletjes had ik in WordPress 2.0 lopen in no time flat. Minus optimalisatie en zo.

Vooraleer ik verder ga, kijken of ik een haak kan zetten met Akismet om referer spam te counteren. De API is de eenvoud zelve. Alles gebeurt via POST requests over HTTP. Zo op het eerste zicht denk ik dat je wel Akismet en een Akismet API key (te verkrijgen via WordPress.com nodig zal hebben om WP Referer 0.2 te laten werken. Ik kan Akismet support natuurlijk optioneel maken, maar dat zou een beetje het punt bederven. Mijn ervaring is dat Akismet degelijk werk levert.

Moeilijker wordt het om referers door te sturen. De api-key.rest.akismet.com/1.1/comment-check call krijgt een pak argumenten mee. Dingen zoals ‘comment_author’ en ‘permalink’ die niet van toepassing zijn wanneer je referers wil checken. Hmz. Alles is weliswaar optioneel – ik hoéf ze niet mee te sturen – maar Mullenweg en co raden het toch niet aan om zomaar zaken weg te laten.

This is basically the core of everything. This call takes a number of arguments and characteristics about the submitted content and then returns a thumbs up or thumbs down. Almost everything is optional, but performance can drop dramatically if you exclude certain elements. I would recommend erring on the side of too much data, as everything is used as part of the Akismet signature.

Hmzr. Ik denk dat ik daar wel enige tijd in zal steken.

Verder denk ik er aan geen volledige URI’s meer mee te geven maar enkel nog het domein/host waar mensen vandaan komen. En de keywords functionaliteit moet ik ook eens herprogrammeren want die leek niet al te denderend te werken. Pom pom. Veel ideëen, weinig tijd.

Remember, code is poetry!

Ik heb zojuist mijn wordpress installatie een upgrade gegeven van versie 1.5.2. naar 2.0.1. Die laatste was onlangs uitgekomen en fixed al een pak bugs. Ik heb mij gelijk de K2 theme geïnstalleerd.

Enkele nuttige ervaringen

1. Werken met transmit is minder evident dan het lijkt. Of het lag aan mijn host. In ieder geval, het uploaden ging traag, regelmatig verloor ik de verbinding en mocht ik opnieuw beginnen. Niet écht leuk. Als ik al goeie ervaringen heb met een FTP client, dan is het toch wel met [SmartFTP][1] voor windows.
2. De upgrade zelf liep van een leien dakje. Backup maken, bestandjes kopiëren en het upgrade script uitvoeren. Enkel bij K2 liep het mis. Die zocht naar een ‘user_level’ attribuut in de ‘wp_user’ table. Aangezien er nu met rollen wordt gewerkt en niet meer met authorizatieniveau’s, vormde dat wel een probleem. Ik heb dan maar manueel het betrokken attribuut als een stub in de betreffende tabel gestoken. Niet de meest elegante oplosisng, maar het werk wel.
3. Verder werken alle plugins nog. Spam Karma heb ik ingeruild voor Akismet. Anderen zoals FlickrRSS zitten blijkbaar al verwerkt in K2 en Scrobbler moest ik manueel toevoegen aan mijn templates. Mijn WP Referer plugin werkt niet maar dat wist ik al langer. Ik zou daar eens wat meer tijd tegen moeten gooien (haak met Akismet, etc).

Bon. Ik moet nog een deftige header foto zoeken maar momenteel ben ik zelfs nog bezig om mijn fotoarchieven te recoveren van mijn ter ziele gegane harde schijf (reeds 1 partitie gerecovered, nog twee te gaan. 11 DVD’s a rato 46Gb totaal geschreven en geverifieerd.)

Hmz. Verder heb ik wat hoofdpijn en voel ik mij nogal mottig. Hopelijk geen gezondheidsterugval in aantocht.

Zopas werd versie 2.0.1 van WordPress vrijgegeven. Daarmee timmeren Matt Mullenweg en co een kleine 114 grote en minder grote ergernissen in de 2.0 versie toe. Which is nice. Ik had toen gezegd dat ik een upgrade van wordpress op mijn eigen blog nog niet onmiddellijk zag zitten. Ik ben benieuwd naar de ervaringen van anderen die deze update hebben geïnstalleerd. Misschien dat ik binnenkort zelf overstap naar de nieuwe versie als die positief blijken.

Zegt Stijn:

Trouwens Matthias, heb jij al een last.fm account?

Wel, aangezien ik schijn te vallen voor al wat nieuw is en blinkt: ja, dus. Ik heb mij gelijk de Scrobbler plugin voor WordPress geïnstalleerd. Op de menukaart vind je nu ook de laatste drie muziekjes die mijn geest in vervoering hebben gebracht.

Mentale nota: ik heb dringend nood aan een deftige ftp client voor OSX. Iemand tips?

Hoerah! Mijn referer plugin voor WordPress heeft nu ook een ingebouwde spampolitie! Ik had het immers al een tijdje in de mot: vuige personen die via refererlijstjes zoals die van mij zich van een linkje op desbetreffende site proberen te verzekeren. Daarom heb ik gelijk maar een anti-spammodule geschreven. Verwacht er niet té veel van: het is gewoon een blacklist op basis van de hostnaam. En je moet die dan nog handmatig via het admin paneel toevoegen! Er zit zelfs geeneens een filter op die dat automatisch voor u doet.

Soit, ik moet nog links en rechts een aantal zaken eraan stroomlijnen. Op het eerste zicht lijkt het ook wel te zullen werken met WordPress 2.0. En verder ga ik voor een volgende versie eens kijken of ik mij zelfs zou kunnen bedienen van anderen zoals Akismet of zo!

Man, ik ben goed. Maar nu ga ik gaan slapen.

Demus zegt het zowat allemaal. WordPress 2.0 bevat veel bloatware. Ik heb het ondertussen ook ergens geïnstalleerd als test. Het ziet er allemaal wel gelikt uit, maar ik ben er toch niet helemaal wild van. Het gaat vooral om de AJAX truukjes. En inderdaad, zoals Nicodemus het stelt: het “show-my-éliet-skillz” ligt bijzonder hoog tegenover het usabilitygehalte.

Om te beginnen ben ik nooit geen fan geweest van “rich text editors” en zo. Het mag dan wel WYSIWYG zijn, je geeft er toch ook een stukje controle voor op. Ik heb met dergelijke editors een vrij groot dégout opgedaan dankzij Bill Gates, Word, Frontpage en de knullige resultaten die deze leverden. Dan speel ik nog liever zelf met HTML tags.

Verder vind ik de uitklapbare submenuutjes in de “post” sectie vrij onhandig om niet te zeggen gewoon irritant. Je kan ze van plaats verwisselen (slepen) en ze zijn on-the-fly opklapbaar. Maar veel meer dan wat javascript gegoochel is dat toch niet. Bovendien hadden we dat al veel eerder en elders gezien. Not very impressive.

De vrijgekomen ruimte werd dan wel ingevuld met de “upload” functie (applaus) die op zijn beurt flink werd gekortwiekt (boee!). Je materiaal komt terecht in de /wp-content sectie. Of je dat nu wil of niet. Bovendien worden er ook nog eens aparte folders op datum gemaakt! Op termijn krijg je dus een vrij onoverzichtelijke folderstoep. Om nog maar te zwijgen wanneer je migreert vanuit een situatie waar je uploads op een andere locatie worden bewaard. Big nono! Een duik in de codebase leerde mij dat de locatie gewoon opgeslagen zit in een variabele. Die kan je via het adminpaneel niét aanpassen. Gelukkig is er wel een plugin, maar dat is ook maar een pleister op de wonde. Het gedrag met de datums is echt wel in de core geprogrammeerd en valt moeilijk te overroepen.

Tenslotte wees Michael mij op de problemen met Spam Karma. Een anti-spam plugin waar ik zwaar op betrouw. Ook hier is er een oplossing in de vorm van additionele plugin. Geen ideale situatie.

Ben ik laaiend enthousiast over WP 2.0. Wel, over de veranderingen aan de oppervlakte alvast niet helemaal. Over de andere features zoals de veranderde codebase kan ik nog niet echt oordelen. Momenteel ben ik zo’n beetje een adminpaneel aan het bouwen voor mijn WP Referer plugin. Ik ben eens benieuwd in welke mate de verschillen tussen 1.5.2 en 2.0 mij parten zullen spelen…