Minus ein WordPress

Neben diesem Blog betreibe ich schon seit über 5 Jahren auf http://ga.rbers.net eine Internetseite, die zum Publizieren meiner (privaten) Programmiertätigkeiten dient. Unter anderem sind dort auch Informationen über meine iOS und OS X Apps zu finden, welche den meisten Traffic generieren.

Da ich in den letzten Jahren immer weniger Lust hatte, selber am HTML/CSS zu schrauben, dachte ich “nimmste was fertiges, schönes Template, geht schnell, sieht gut aus”.

So weit so richtig.

Was ich aber mir niemals habe vorstellen können, ist das unglaubliche Aufkommen von Spammern und Hackern (bzw. wohl eher Hacker-Bots). Den allermeisten Traffic auf der Seite generieren nämlich WordPress-Kommentar-Spammer, welche das Internet automatisiert nach WordPress Instanzen abscannen, und dann versuchen ihre Viagra-Links in den Kommentaren zu platzieren. Andere versuchen wiederum darüber auch das ganze WordPress zu hacken. Version 4 hatte da so gewisse Lücken, und es werden auch noch einige weitere vorhanden sein. Ein Glück gibt es zwar das Plugin “Akismet”, welches sogar schon standardmässig mitinstalliert wird. Der räumt das tatsächlich fast alles weg. Kommentare also ohne Moderation freischalten? Vergiss es. Im Spam Filter schlagen bei mir tatsächlich so alle 1-2 Minuten ein Spam-Kommentar auf. Sehr, sehr nervig.

Das war noch lange nicht alles. Zu den Spammern kommen die Hacker(bots). Dass ein WordPress-Blog eine Login-Seite hat, und wo die zu finden ist, ist allgemein bekannt. Viele Skripte versuchen statt Kommentare zu schicken gleich das Admin-Passwort mittels “Brute-Force” Attacke zu knacken. Da hört der Spass dann so richtig auf. Ist so eine Attacke erfolgreich, wird die WordPress installation nicht unbedingt gleich zerschossen, sondern ohne dass man es merkt zur Spamschleuder umfunktionert, während das eigene Blog trotzdem noch weiter läuft.

Auch hierfür gibt es Plugins – ich habe da welche Laufen, die IP Adressen sperren, wenn 3 mal das Passwort falsch eingegeben wurde. Ist das passiert, bekomme ich eine E-Mail. Zur Zeit bekomme ich täglich 3-10 E-Mails.

So ist es dann wohl passiert, dass irgendwas schief gegangen ist. Ob das vom letzten Plugin/Theme Update her kam, oder ob tatsächlich jemand die Seite gehackt hat kann ich nicht sagen – da müsste ich nochmal die Datenbank und das Dateisystem auf dem Server forensisch untersuchen. Ich konnte mich jedenfalls nicht mehr auf der Login Seite einloggen, weil da keine Login-Seite mehr kam. Tot. Weiss. Ohne Inhalt. Kein Tipp aus dem Internet konnte das wiederbeleben.

Also entschloss ich mich, das WordPress gleich ganz offline zu nehmen, und schnell eine kleine, sehr reduzierte Seite zu basteln (ja, doch wieder HTML/CSS!). Kein Fancy-Schmancy HTML5 zusch-zisch Zeug, sondern etwas ganz einfaches, was nicht ganz zum kotzen aussieht.

Gestern also für 2-3h hingesetzt, und heraus kam das:

ga.rbers.net Screenshot iPhone SimulatorVorerst mal reduziert auf die letzten Apps, die noch im Store sind, mit gaaanz wenig anderm kram (Video, Support Formular). Apropos Support Formular.

Was da draussen abgeht, merkt man dann, wenn man mal ein “ungesichertes” Formular online schaltet. Zum Testen hatte ich es erstmal ohne “Captcha” oder “Are you human?” Überprüfung online geschaltet. Nicht mal 5 Minuten später hatte ich einen automatisierten Spam-Eintrag. Schön, so brauchte ich meine Mailfunktion wenigstens nicht testen. Eine einfache Rechenaufgabe hilft hier aber bislang ziemlich gut, um “Formular-Scan-und-Spam-Bots” fern zu halten.

Ich bitte um Entschuldigung, falls da jetzt dem einen oder anderen zu wenig Informationen drauf sind, aber ich finde die Seite erfüllt jetzt ihren minimalen Zweck – ohne WordPress, jQuery, Bootstrap und keinerlei Analytics (noch nicht mal Google-Fonts) und ist trotzdem halbwegs “responsive”. Man unterbiete bitte die Ladezeiten (wenn ich die Fonts rausnehmen würde, wär’s noch viel schneller).

Daher jetzt minus ein WordPress. Irgendwie find ich’s gar nicht so schade.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.