xrumer ist die beste!!!

http://upload.wikimedia.org/wikipedia/—/thumb/—/—/XRumer—screenshot.gif/—XRumer—screenshot.gif*

;)

* link obfuscated

The link showed a screenshot of some software that tends to be a powerful spamming tool for forums/blogs/wikis/guestbooks/linklists/whatevers. Others report that it automates the complete workflow:

1. register email accounts
2. find forums etc. through search engines
3. register forum/wiki/… accounts
4. click the links in the activation mails
5. post spam messages, pm other board users, overcoming captchas and other anti-spam techniques

Officially the package is sold as a “link building tool” and the vendor even declines calling it a SPAM tool, solely for the fact that it does not send emails. But in my opinion SPAM refers not only to emails but every unwanted advertisement.

I knew those software was around for a long time since forum spam is not a new problem. But this is the first time I heard a name and was able to find a website advertising for it. As with email spam, the visibility of such tools will further increase and so will the problem of spam in (web-)applications with user generated content.

The web took several years to evolve from bulletin boards (which in the meantime look a bit outmoded sometimes) to the current web 2.0 with social software. How long will it take until spammers manage to jump over?
Are there other free anti-spam services like Akismet (or libraries for local use) that could be integrated into any type of software? What advanced techniques do those services make use of? Honeypots? Bayesian filtering? The problem with email spam filtering has shown that each appraoch has it’s drawbacks and now best-for-all solution had been found so far.

Hint: If you do not have anti-spam technology in ANY ONE application that accepts user input you should think about integrating it NOW. Right after parsing and sanitizing the content.

Note: I am not affiliated with Akismet. It’s just the only one service I am aware of and it works well for my blogs. However I know and dislike that each comment is sent to their servers.

Update (19.03.): Today I read about defensio which seems to be a similar service as akismet, but maybe with a better UX.

Features:

• Easy to use sidebar widget – no theme modification required
• Flexible interface for advanced users who want more control

PHP Functions Provided by “Recently Updated Posts”:

hh_recently_updated_posts($num = 5, $skip = 0, $skipUnmodifiedPosts = true, $includePages = false,
			$hideProtectedPosts = true);
hh_rup_get($num = 5, $skip = 0, $skipUnmodifiedPosts = true, $includePages = false,
			$hideProtectedPosts = true);

hh_recently_updated_posts() prints the posts matching your criteria as HTML UL, while hh_rup_get() returns the matching posts as PHP array for further processing or custom output.

Both functions support the following parameters:

• $num: Number of posts to find [default:5]
• $skip: Number of posts to skip; useful if you want paging [0]
• $skipUnmodifiedPosts: Hide newly published (but yet unmodified) posts [true]
• $includePages: Include pages [false]
• $hideProtectedPosts: Hide protected posts [true]

Download Recently Updated Posts from the wordpress.org plugin archive.

Feel free to ask questions in the comments section below.

Changelog:

v0.3 (2008-02-06):
- Added $skipUnmodifiedPosts parameter that was documented, but missing before. (thanks friedel)
- Changed escaping of special characters to work with asian charsets (thanks vsy)

v0.2:
- First public release

What is Anonymous Wordpress Plugin Updates about?

WordPress 2.3 has a new feature to check for plugin-updates automatically. While doing that it sends the following data to a server at wordpress.org:

• your blog’s url and version number
• a list of all installed plugins (incl. description etc.)
• a list of all plugins that are activated

My plugin now replaces wordpress version and your blog’s url, strips most information off the plugin list (except name and version) and sends an empty list of activated plugins.

Beware: In order to activate the plugin you have to go to the Plugins page in the admin area. But this will already start the update check.

Workarounds:

1. create the file wp-content/install.php and modify it to automatically activate the plugin on installation/upgrade (German Instructions)
2. manual patch using the update.php from my plugin.
3. send data once, but with only the default plugins installed. That way you will send the your blog’s url and version number, but wordpress.org would get that anyways (via Akismet, Pings, Core-Update-Check, etc.).

Versions:
0.1: Initial Test Release.
0.2: Added debug mode.
0.3: Added patchted update.php file.
0.4: Using wp_mail() instead of mail(); fixed a bug in debug mode.
1.0: Identical with 0.4; But tested by myself and found to be stable.

Download

Mein Plugin ist inzwischen im offiziellen Plugin-Verzeichnis zu finden.
Und mittlerweile habe ich es auch selbst getestet und für gut befunden -> Version 1.0
Danke an Peter, der furchtlos die ersten Versionen ausprobiert hat.

Was macht nun Anonymous Wordpress Plugin Updates?
Es ist nicht mehr als eine Verpackung für den gestern vorgestellten Patch. Alle Informationen bitte dort nachlesen. Die Installation ist als Plugin zwar einfacher, aber leider gibt es bei neuen Installationen ein Henne-Ei Problem: Um es zu aktivieren muss man natürlich erstmal auf die Plugin-Seite im Admin Bereich. Dabei wird aber das Update schon gestartet.

Workarounds:

1. Die Datei wp-content/install.php anlegen und entsprechend anpassen (Anleitung)
2. Vorübergehend manuell patchen (ab 0.3 liefere ich eine gepatchte update.php mit).
3. Erstmal mit jungfräulicher Installation online gehen. Dann bekommt wordpress.org zwar die Blog-Adresse, aber über Akismet, Pings, Core-Update-Check o.ä. kriegen sie die ja eh.
4. Datenbank manipulieren (z.B. Plugin per Hand aktivieren).

Versionen:
0.1: Erste Version (Überraschung!)
0.2: Debug Modus eingebaut.
0.3: Mit gepatchter update.php Datei.
0.4: Benutzt wp_mail() statt mail() und fixt einen Bug im Debug-Modus.
1.0: Identisch mit 0.4; Nach eigenem Test 1.0 würdig.

Zum Download

Alternativen und ähnliche Plugins:

• 123 Anonymer Versionscheck von Schnurpsel. Seine Lösung basiert darauf dass der unveränderten wp_update_plugins() über Filter andere Daten vorgegaukelt werden. Sein Nachteil ist dass die Beschreibung usw. nicht aus der Liste der Plugins gefiltert werden kann. Bei vielen Plugins fällt das insofern ins Gewicht als dass der Update-Check dadurch langsamer wird.
• Disable Wordpress Plugin Updates schaltet die Suche nach Plugin-Updates ganz ab.
• Disable Wordpress Core Update schaltet den Update-Check für das eigentliche Wordpress ab.

Hinweis: Das Plugin verhindert nicht dass die Blog URL bei anderen Aktionen übertragen wird. Z.B. beim Pingen, bei der Suche nach Core-Updates (also einer neuen WP Version), den Feeds im Tellerrand/Dashboard, den eingehenden Links, Akismet, und und und.

Nachtrag:
Auch die wordpress Entwickler sind schon auf das Problem aufmerksam gemacht worden, siehe Tickets 5065 und 5066. In Version 2.3.1 wird es die Änderung aber meiner Meinung nach nicht mehr schaffen, da werden wohl vor allem Bugs gefixt.

Zum Hintergrund:
Wie unter anderem der Nachtwächter berichtet hat, gibt es beim neuen Wordpress 2.3 ein Problem mit dem Datenschutz (s.a. bei nichts und Valentin). Die neue Funktion die automatisch nach Updates für Plugins sucht übermittelt einige unnötige Daten an wordpress.org.

Es gibt zwar ein Plugin um die Funktion abzuschalten, aber nachdem sie an sich ja ganz nützlich ist hab ich eine bessere Lösung gesucht.

Und siehe da, der Update-Service funktioniert auch noch wenn man die Blog-Adresse, Wordpress Version und Liste der aktiven Plugins nicht überträgt. Dazu ist es leider nötig die Funktion wp_update_plugins() in der Datei wp-admin/includes/update.php zu bearbeiten, aber die Änderungen sind überschaubar und sollten für jeden, der einen Texteditor bedienen kann, machbar sein. Warnung: Falls die API bei wordpress.org irgendwann mal umgestellt werden sollte kann es aber sein dass die Plugin-Update-Benachrichtigung nicht mehr funktioniert.

Der Rest dieses Beitrags dient zur Beschreibung des Patches, einfacher zu installieren ist mein Plugin Anonymous Wordpress Plugin Updates.

Diese Zeilen verhindern dass von den installierten Plugins mehr als Dateiname, Plugin-Name und Version übertragen werden und leeren die Liste der aktiven Plugins. Die ersten und letzten Zeilen sind unverändert, damit Du weisst wo das Stück einzufügen ist.

	if (
		isset( $current->last_checked ) &&
		43200 > ( time() - $current->last_checked ) &&
		!$plugin_changed
	)
		return false;
	// BIS HIER IST UNVERÄNDERT

	// mod: strip additional infos
	$plugin_files = array_keys($plugins);
	foreach ($plugin_files as $f) {
		$keys = array_keys($plugins[$f]);
		foreach ($keys as $k) {
			if (!in_array($k, array('Name', 'Version'))) {
				unset($plugins[$f][$k]);
			}
		}
	}
	$active = array();
	// end of mod

	// AB HIER IST WIEDER UNVERÄNDERT
	$to_send->plugins = $plugins;
	$to_send->active = $active;
	$send = serialize( $to_send );

Um Deine Blog-Adresse und -Version zu verschleiern musst Du etwas weiter unten noch folgende Zeile

	$http_request .= 'User-Agent: WordPress/' . $wp_version . '; ' . get_bloginfo('url') . "\r\n";

gegen

	$http_request .= 'User-Agent: WordPress/1984; http://privacy.org' . "\r\n";

austauschen.

Das war’s für’s Erste. Vermutlich lässt sich das auch als Plugin realisieren indem man zunächst die originale wp_update_plugins deaktiviert und dann eine modifizierte Kopie davon aktiviert. Anregungen dazu bietet das Plugin Disable Wordpress Plugin Updates. (Siehe dazu auch das Update am Anfang des Artikels)

Nachtrag:
Ich habe inzwischen ein Plugin dafür geschrieben und auf wordpress.org zur Verfügung gestellt. Alles zum Plugin in einem dessen eigenem Post

Weiterer Nachtrag: Das verhindert nicht dass die Blog URL bei anderen Aktionen übertragen wird. Z.B. beim Pingen, bei der Suche nach Core-Updates (also einer neuen WP Version), den Feeds im Tellerrand/Dashboard, den eingehenden Links, Akismet, und und und.