So geht’s sicher: Gurken StC

Das ‚Gurken Subscribe to Comments‘-PlugIn für WordPress ist gerade für die deutsche Blogosphäre sehr sinnvoll, da es bei der Kommentar-Benachrichtungsfunktion das nötige Double Opt-In hinzufügt. Soweit so gut, doch machte mich Sumi auf einen Fehler aufmerksam. So wird im abgesicherten Blog (Sicherheitstipps für WordPress-Blogs) auf der Bestätigungsseite eine Passwortabfrage für die htaccess des Adminbereichs gestellt. Klickt man sie weg, bekommt man die Seite angezeigt.

Das machte mich stutzig und brachte direkt den Gedanken, was dieses Script zum einen im Adminbereich zu suchen hat und zum anderen was es dort für Daten ziehen will. Ein Blick in den Quelltext zeigte es ziemlich schnell. Die Seite fragt doch tatsächlich die wp-admin.css aus dem Adminordner an. Natürlich ist das weniger ein Sicherheitsrisiko, viel mehr aber sehr ärgerlich – benutzt man einen sicheren Blog. Davon abgesehen hat ein Plugin nichts im Adminordner zu suchen oder Daten von dort anzufragen. Ich habe mich diesbezüglich auch beim Autor gemeldet, doch bekam leider noch nicht die gewünschte Mail zurück. Also hier die Anleitung wie man dieses Übel umgeht:

Die neueste Version vom ‚Gurken Subscribe to Comments‚-PlugIn runterladen und entpacken.

Nun öffnet ihr die Datei gurken-subscribe-to-comments.php in eurem Editor (Coda, Editor etc.) und sucht nach:

@import url( <?php echo get_settings('siteurl'); ?>/wp-admin/wp-admin.css );

und ersetzt diese Zeile durch:

@import url( <?php bloginfo('template_directory'); ?>/wp-admin.css );

Speichert die Datei ab und schließt sie. Nun loggt ihr euch in euren Webspace ein und ladet den PlugIn-Ordner hoch. Danach navigiert ihr in den wp-admin-Ordner und ladet euch die wp-admin.css runter. Jetzt navigiert ihr in euren Theme-Ordner (des verwendeten Themes) und ladet dort die wp-admin.css wieder hoch. Anschließend könnt ihr das PlugIn aktivieren und für euch passend konfigurieren. Dies geht natürlich auch, wenn ihr das PlugIn bereits in Verwendung habt. Achtet nur wie immer darauf, dass es auch die neueste Version ist. (Anleitung bezieht sich auf Version 1.4 vom 08.10.2010)

Das war’s schon und jetzt geht’s auch ohne Passwortabfrage und Daten aus dem Adminordner zu ziehen.

  • Dank für den Hinweis mit dem Impressum und deinen Post hier.

    Das ist wahrscheinlich schon so in dem Orginal Subscribe to comments-Plugin, ich schau mir das mal an und mach dann ggf. eine neue Version.

    Viele Grüße
    Martin

  • Aloha Martin,

    danke für deine Nachricht! :)
    Super, werde ich hier dann anpassen, wenn es soweit ist!

    Cheers, Andi

  • Hallo Andi,

    wenn du Lust hast, kannst du es schon testen:

    http://downloads.wordpress.org/plugin/gurken-subscribe-to-comments.zip

    Ich mach noch ein paar andere Änderungen und danach eine neue Version.

    Viele Grüße

  • Wo du gerade dabei bist, kannst du dir in der gurken-subscribe-to-comments.php ja gleich noch die Zeile mit der print.css ansehen. Ist zwar wenig schlimm, produziert bei den meisten WPs ja aber einen (Server-) Not Found. Haben ja die wenigsten, noch dazu im Root liegen. Gehört wenn ja schon ins Themeverzeichnis. Aber vllt. kannst du es ja sogar umgehen und trotzdem ausliefern, indem du sie direkt im Plugin hinterlegst und als pluginpath knüpfst um Themebefreit zu sein. Info dazu: http://codex.wordpress.org/Styling_for_Print

    Cheers, Andi

  • Korrigiere: fällt jetzt ja weg @ print.css :)

  • Ich weiß auch nicht so genau, warum print.css aufgerufen wurde. Wer will sich die Seite schon ausdrucken?

    Version ist gemacht und sollte in Kürze per Auto-Update verfügbar sein.

  • Super Sache, Dank dir! :)