wp-trackback umbenennen

Weils gerade aktuell ist und sonst auch nicht wirklich schadet:

1. Backup der comment-functions.php und template-loader.php im Ordner wp-includes.
2. Die Datei wp-trackback.php im root-Ordner in irgendwas anderes umbenennen. zurueckgepingt.php oder sowas...
3. In der comment-functions.php irgendwo auf Höhe der Zeile 488:

$tb_url = get_settings('siteurl') . '/wp-trackback.php?p=' . $id;

umbenennen in:

$tb_url = get_settings('siteurl') . '/zurueckgepingt.php?p=' . $id;

und in der template-loader.php auf Höhe der Zeile 8 und 62

include(ABSPATH . '/wp-trackback.php');

ändern in

include(ABSPATH . '/zurueckgepingt.php');.

Das wars dann auch schon.

Der Templatetag läßt sich so ändern.

Mit dem "übriggebliebenen" Namen lassen sich dann kleine Spielchen veranstalten. :o)

Von missi | 11.01.07- 12:28 | Träckbäck | Kommentarfeed | Ironiedetektor

· Del.icio.us · Stumble it! · Mr Wong · Wer linkt hier her? ·

Gespeichert unter:

Spam, technik, Wordpress

Schon gelesen?

· Und der nächste Versuch · Ich würde sagen... · Trackbackspam... mal wieder

Da wurde 8 x wat jesacht zu “wp-trackback umbenennen” »»

Kamuflaro

Getippselt von Kamuflaro am 11.01.07 um 17:02

Da steht do not spread... wenn ich weiß, wie das trackback file heißt sollte das Ding immer noch funktionieren, wenn es vorher funktioniert hat und ich da die Zeile mit dem trackbackfilenamen geändert habe. Da hilft keine namensänderung, da muss ein security fix für die trackback php Datei her denke ich.
Kamuflaro

Getippselt von Kamuflaro am 11.01.07 um 17:14

Na toll jetzt rätsel ich wieder... also an der trackback Datei seh ich nix zu fixen, das muss irgendwas aufrufen, dass den hash rausgibt...
missi

Getippselt von missi am 11.01.07 um 20:30

Bei der Trackback UTF-7 SQL injection (der 2. Link) kannst du in der wp-trackback.php

if ($charset) $charset = strtoupper( trim($charset) ); else

auskommentieren, damit wäre der gefixt. Oder aber du datest auf 2.0.6 up, da sollen beide exploits nicht mehr greifen. Die Trackbackumbenennung hat aber noch einen entscheidenen Vorteil: Der Trackbackspam nimmt ganz rapide ab.

wenn ich weiß, wie das trackback file heißt sollte das Ding immer noch funktionieren

Ja, wenn du es weißt.
Bei gezielten Angriffen auf deine Seite hast du eh immer noch 2, 3 Problemchen mehr, um ein blindes Massenschießen kommst du aber drum rum.
morphis

Getippselt von morphis am 11.01.07 um 20:52

Reicht es im Prinzip nicht schon aus, "register_globals" auf "off" zuschalten ?
missi

Getippselt von missi am 11.01.07 um 20:56

Mal abgesehen davon, das man es eh so stehen haben sollte: Ja, bei dem ersten exploit sollte es reichen.

(Kamu, du brauchst da nix umstellen, bei dir isses aus. )
mike

Getippselt von mike am 11.02.07 um 0:53

In 2.1 heisst die comment-functions übrigens comment-template - wenn ich nich grad was verschussel.

Trackbacks/Pingbacks»»

Dobschats Weblog - dobschat.de

Gepingt von Dobschats Weblog - dobschat.de am 15.01.07 um 10:40

RewriteCond %{HTTP_REFERER} ^http://(www.)?boingboing.net [OR] RewriteCond %{HTTP_REFERER} ^http://(www.)?digg.com RewriteRule ^(.*)$ http://www.entartete...com.nyud.net:8080/$1 [R,L] Und für die Wordpress-Nutzer noch eine Schritt-für-Schritt-Anleitung für das Umbennen der Datei wp-trackback.php - eine sehr sinnvolle Aktion.
Und der nächste Versuch » Missis Notizblock

Gepingt von Und der nächste Versuch » Missis Notizblock am 16.01.07 um 0:14

[...] Nun auch mit gefixtem Trackback. [...]
Trackbackspam... mal wieder » Missis Notizblock

Gepingt von Trackbackspam... mal wieder » Missis Notizblock am 12.02.07 um 21:17

[...] Hier hab ich ne lange Latte Zeux gegen Blogspam, inklusive Rule, die das direkte Aufrufen der Trackbackurl verbietet und da steht, wie man die wp-trackback.php umbenennt ... es ist ja nicht so, dass Wordpress nicht kreativ macht... und es ist ja auch nicht so, das die Spammer blöd sind: [...]

Ick will mal wat sagen... »»

It's not plugged in.