Archive for März, 2008


Weit weg

Die christliche Religion versteht sich nicht nur darauf, ihre Anhänger auf riesige Belohnungen in einem postmortalen Jenseits zu vertrösten, auf dass sie als Lebende stumm und bücksam bleiben und dem Tod mit Hoffnung entgegenschauen. Die christliche Religion versteht sich ebenso „gut“ darauf, ihren Anhängern die Leiden der Hölle an die Wand zu malen. Auch diese. Natürlich. Als einen jenseitigen Ort, damit die Gläubigen das Höllische ihres Lebens nicht mehr als die wahre Hölle fühlen und nennen können. Und auch damit. Zementiert die christliche Religion das unnötig Höllische im Leben vieler Menschen.

Advertisements

Die Wortschöpfer

In den deutschen Verwaltungen muss es Menschen geben, die einen Beruf haben, der in keiner Stellenanzeige auftaucht. Diese Menschen schöpfen Sprache. Woraus. Sie die Sprache schöpfen, ist unergründlich. Und offenbar versiegt es auch niemals. Sie sitzen herum und fragen sich, in welcher Weise Dinge so ausgedrückt werden können, dass sie besonders kalt und unmenschlich klingen. Denn in Kälte und Unmenschlichkeit fühlen sich diese Menschen zuhause.

Da saß einst einer an seinem Schreibtisch und war mit der Aufgabe betraut, ein Schild für einen Schulhof zu entwerfen. Auf diesem Schild sollte Text stehen, der besagt, dass außerhalb der Unterrichtszeiten auf dem Schulhof Kinder spielen dürfen, wenn ihnen dann der Sinn nach Spielen auf tristem Asfalte steht. Ansonsten aber sollte niemand diesen scheußlichen Platz betreten. Das ist keine leichte Aufgabe für einen solchen Wortschöpfer, der kann da nicht einfach „Du darfst nicht auf diesem Schulhof, wenn du hier keinen Unterricht hast. Außer, du bist ein Kind und willst hier spielen.“ darauf schreiben, sonst wäre er kein rechter Wortschöpfer aus deutschen Amtsstuben, der tagein, tagaus mit großem Eimer aus der Latrine Tiefe der deutschen Sprache schöpft. Also ging er so vor, wie er es auch aus den Verordnungen und der täglichen Praxis der Vergewalt Verwaltung kannte. Er entfernte jede persönliche Ansprache, von der sich ein Mensch persönlich angesprochen fühlen könnte; er verwendete den heiligen Passiv der Bürokraten und freute sich über die wohlige Kälte, die sich dabei in seiner Brust breit machte. Und dabei musste er natürlich auch das konkrete Verb „spielen“ durch eine Substantivierung ersetzen, um in seiner gewohnten, täglich missbr gebrauchten Sprache etwas „gestatten“ oder „freigeben“ zu können; ganz so, als wäre jede menschliche Regung auf öffentlichem Grund eine gottsam gewährte Gnade. Denn das ist die Sprache, die so ein Wortschöpfer liebt, er kann sich niemals darin erschöpfen, so geformt zu sprechen, damit die Leser brechen.

Aber er hat sich Zeit damit gelassen und seinen Entwurf wieder und wieder gelesen. Diese bürokratische Ausdrucksweise im kalten Behördenpassiv, dieses „…ist ausschließlich für das Spielen der Kinder freigegeben“, sie klang ihm noch zu konkret und fröhlich nach dem heiteren Geschrei laufender Kinder, und das mochte seine bürograue Seele nicht leiden. Wir wissen nicht, wie lange er über die treffende, ja, direkt ins Herz treffende Formulierung nachgedacht hat. Aber wir wissen, dass ihm doch noch etwas „besseres“ eingefallen ist, denn schließlich schrieb er — für uns alle jeden Tag im Vorübergehen zum Genuss sichtbar — den folgenden Text auf seinen Antrag zur Bestellung eines anzufertigenden Hinweisschildes zur Auszeichnung der geduldeten Verwendungen eines Schulhofes in der Landeshauptstadt Hannover außerhalb der regulären Nutzungszeiten des inneliegenden Gebäudes zur Ausübung des Lehrbetriebes gegenüber den anvertrauten Beschulungsfällen:

Hinweisschild: Der Pausenhof der Schule Am Hohen Ufer ist außerhalb des Unterrichtes nur für den Spielbetrieb der Kinder freigegeben

Offen bleibt nur, wie man jetzt Kindern erklärt, was ein „Spielbetrieb“ ist…

Obwohl. Das gar nicht nötig ist. Weil kein Kind, das auch nur noch ein bisschen gesund in seinem Kopfe und an seiner Seele ist, an so einem trüben Ort spielen möchte.

Und ich habe da noch nie ein Kind spielen sehen, wenn ich vorbeiging. Ich hätte mich auch darüber erschreckt.

Nein, ich meine nicht den Weltuntergang. Darüber würde ich etwas reißerischer bloggen. Und. Nein, ich meine auch nicht WordPress 2.5, obwohl die Welt darauf wohl auch gewartet hat. Aber vielleicht noch viel wichtiger als eine Software zum Bloggen sind die Inhalte, die der Blogger schließlich bloggt. Und das kann einem Blogger ja schon mal schwer fallen, ein paar Inhalte zum Bloggen zu finden.

Doch. Damit ist jetzt Schluss! Die endgültige Endlösung der Inhaltsfrage ist gekommen, und zwar ganz so, wie man sich das bei einem technischen Medium immer gewünscht hätte, ist sie auf technischem Wege gekommen. Es gibt endlich eine technische Möglichkeit, Vorschläge für mögliche Inhalte beim Schreiben eines Blogbeitrages einblenden zu lassen. (Die folgende, etwas freie Übelsetzung des verlinkten Textes ist von mir.)

Heute morgen gab es einen interessanten Artikel bei TechCrunch über die Alpha-Version eines Produktes namens Zemanta. Zemanta ist eine mit WordPress und Firefox zusammenarbeitende, kontextuelle mechanische Vorrichtung, die dem Blogger Inhalte vorschlägt. Innerhalb des Blogs braucht nichts installiert zu werden, es handelt sich um eine Erweiterung für Firefox. Diese Erweiterung erzeugt einen kleinen AJAX-Bereich an der Seite ihres Beitragseditors in WordPress; und diese Box enthält Vorschläge, worüber sie schreiben können. Diese Information wird von verschiedenen Orten mit Publikationen der Medien und von anderen Blogs abgeholt. […]

(Auch, wenn es so klingt: Es ist noch nicht der 1. April und dieser Text ist echt. Er erschien vor ein paar Tagen als Verweis im WP-Dashboard, damit die Blogger ihn auch bemerken. Er ist auch zutreffend ins Deutsche übertragen worden. Die Welt ist wirklich so weit. Und so. Reif. Zum Pflücken reif.)

Das ist genau die richtige Software für jene armen Seelen, die auch bloggen wollen, obwohl sie eigentlich gar nichts zu bloggen haben. Warum so jemand bloggen soll? Na ja, weil man es eben tut. Oder weiß nicht. Und. Vor. Allem. Wegen der eingeblendeten Werbung, zu der allein noch kein Klicktrottel kommen will — da muss man schon ein bisschen Inhaltssimulation machen. Der automatische Blick in verschiedene, etablierte Medien gibt denn auch gleich das, was der Klicktrottel sehen will. Auch Hinweise auf attraktive Bildchen zum Verfeinern der eigenen Nichtsigkeit mit einem bisschen massenmedial-bildlich dargestellter Politik und einem bisschen Tittitainment vom Boulevard de la turd fehlen nicht im Angebot dieser wegweisenden technischen Lösung. Das ist die Zukunft des Bloggens! Eine riesige Echokammer, in der widerhallt, was die Contentindustrie so täglich ausspeit. Das ist die Zukunft des Bloggens, die keiner Presse mehr gefährlich wird und die auch politisch völlig unbedenklich ist. Die ideale Ergänzung für Mitmensch Dumpfbacke auf dem Weg zum A-Blogger.

Allerdings hat es sich bereits beim Alpha-Test erwiesen, dass das Zielpublikum dieser Software damit überfordert ist, aus den angebotenen, gefilterten Inhalten die richtigen auszuwählen. In den kommenden Versionen wird daher eine technische Lösung erwartet, die interessante und klickfreudige Blogbeiträge vollautomatisch erstellt, damit sich der Blogger endlich wieder auf das Wesentliche konzentrieren kann: Auf „coole“ technische Spielereien und Fluten eingeblendeter Reklame.

Das ist es, worauf die Welt gewartet hat. Endlich ist die Inhaltskrise in den Millionen von Blogs beendet. Eine genial einfache Idee, die das Bloggen revolutionieren wird. Endlich entsteht auch in den Händen privater Autoren Qualitätsjournalismus mit allen Merkmalen des Clipboards sorgfältiger Recherche. Das ist die nächste Stufe, das ist die viel beschworene Konvergenz, das ist das Mitmach-Web, das Web zwei null. Vor allem null.

Warnung! WordPress 2.5 erschienen

Aktuelle Ergänzung: Für die Probleme beim Hochladen von Bildern gibt es verschiedene, im englischen Supportforum beschriebene Workarounds. Vielleicht hilft das manchem, der gerade verzweifeln möchte. In jedem Falle können Bilder hochgeladen werden, wenn man den Firefox mit dem aktuellen Flash-Plugin verwendet. Aber überschüttet mich jetzt bitte nicht mit Fragen, wie man das aktuelle Flash-Plugin unter verschiedenen Linux-Distributionen zum Laufen kriegt, wenn das Installationskript eine nicht passende glibc anmeckert und aussteigt, sondert wendet euch damit an das jeweilige Supportforum eurer Distribution. Völlig ohne Gewähr und ohne eigene, umfangreiche Tests weise ich darauf hin, dass es offenbar auch möglich ist, zur vorhergehenden Version von WordPress zu wechseln. Wer das macht, der handelt auf eigene Gefahr und sollte in jedem Fall vorher einen Backup anlegen.

Weitere aktuelle Ergänzung: Die heute veröffentlichte Version „Brubeck“ von bbPress arbeitet nach Aussage im Entwicklerblog auch mit WordPress 2.5 zusammen. Ich habe das noch nicht getestet.

Es war eine schwere Geburt, bei der es sich die Entwickler nicht leicht gemacht haben. Der selbst erzeugte, völlig unnötige Termindruck hat sich nicht bewährt, sondern angesichts der gegenwärtigen Angriffswellen auf WordPress-Blogs eher noch zur Verunsicherung beigetragen. Aber jetzt ist es soweit, und WordPress 2.5 wurde veröffentlicht. (Es gibt bei WordPress Deutschland auch einen Hinweis in deutscher Sprache.)

Ich habe mir eben die Release runtergeladen und in einer lokalen Installation getestet. Meine Meinung zur neuen Benutzerführung habe ich ja schon deutlich genug dargelegt, und zwar hoffentlich so, dass niemand von einem allzu garstigen Urteil abgeschreckt wird.

Natürlich habe ich bei meinem damaligen Test nichts über kleine und größere Fehler geschrieben, das wäre ein unangemessener Maßstab gegenüber einer Vorveröffentlichung, anhand derer ja Fehler gefunden und beseitigt werden sollen. Und. Natürlich sind mir damals schon so einige kleine und größere Fehler aufgefallen.

Nun, jetzt handelt es sich um eine offizielle Veröffentlichung. Im Moment sieht jeder WordPress-Blogger, der sein Dashboard besucht, die gelb hinterlegte Aufforderung „Eine neue WordPress-Version ist verfügbar! Bitte aktualisieren Sie jetzt.“ — an eine solche Veröffentlichung darf man ja wohl einen etwas höheren qualitativen Maßstab anlegen als an eine Beta oder einen RC. Und. Deshalb muss ich eine Warnung aussprechen, bevor jemand allzu blind glaubt, dass er nun endlich eine Version erhält, die problemlos verwendbar ist:

Nicht voreilig auf die aktuelle Version updaten!

So unübersehbar die Aufforderung zur Update in jeder Seite des Dashboards auch sein mag, so gern man sich auch eine aktuelle Version mit vielen beseitigten Fehlern holen möchte:

Vor dem Update nachdenken und in jedem Fall einen Test in einer lokalen Installation machen!

Ich beschreibe jetzt nur die Schwächen, die mir binnen 15 Minuten in der aktuellen Release von WordPress 2.5 aufgefallen sind und die diese Release für mich (und wohl viele andere Blogger auch) zurzeit unbrauchbar machen.

➡ Die neue Medienverwaltung ist mit dem Webbrowser Opera nicht benutzbar. Da praktisch jeder, der mit mir persönlich zu tun hat und mit dem ich gemeinsame Projekte im Internet habe, diesen Browser benutzt, ist es für mich nicht möglich, den Update durchzuführen.

Es ist zwar möglich, eine Datei hochzuladen, aber es ist völlig unmöglich, die hochgeladene Datei mit Opera in einen Post einzufügen. Die Bilder erscheinen zwar in der Liste, aber es nicht möglich, die Details zu einem Bild anzeigen zu lassen; und es ist damit auch nicht möglich, an einen Link für das Bild zu kommen. Die an sich guten Erweiterungen (Medienverwaltung, konfigurierbare Skalierung der Vorschaugröße) nützen gar nichts, wenn in einem solchen Fall nicht einmal ein Weg zur Verfügung gestellt wird, an einen einfachen Link für die hochgeladenen Dateien zu kommen. Da tröstet es denn auch nicht besonders, wenn Matt im WordPress-Blog schreibt, dass er damit schon über tausend Fotos hochgeladen hat — ganz im Gegenteil, man wünscht sich, dass die Entwickler ihr Werk wenigstens einmal mit den populären Browsern ausprobiert hätten. Angesichts der Tatsache, dass etwa acht Prozent meiner Besucher den Opera benutzen und angesichts der Tatsache, dass dieser Browser eine ideale Software für Menschen ist, die einfach nur das haben wollen, was man beim Internet-Explorer nicht kriegt und was man beim Firefox mit vielen Plugins nachrüsten muss, ist das schon etwas schmerzhaft. Ich habe übrigens wesentlich mehr Besucher mit Opera als mit dem Safari, der gewiss gut unterstützt wird…

Kurz gesagt: Wer Opera benutzt, kann die neue WordPress-Version nicht verwenden. Oder er muss eben mit einem anderen Browser bloggen, wenn er dies nicht als übergroße Zumutung empfindet.

➡ Wer ein bbPress-Forum zusammen mit WordPress verwendet und die Benutzertabelle zwischen beiden Anwendungen teilt, wird feststellen, dass dies mit der aktuellen WordPress-Version nicht mehr funktioniert. Da ich zwei Projekte mit zugehörigem bbPress verwende, ist mir bei diesen Projekten der Upgrade nicht einmal dann möglich, wenn ich keine Rücksicht auf Opera-Nutzer nehmen muss.

Kurz gesagt: Wer WordPress und bbPress so benutzt, dass die Benutzerdaten zwischen den beiden Anwendungen geteilt werden, kann die neue WordPress-Version nicht verwenden.

Angesichts der Tatsache, dass bbPress eine Forumssoftware ist, die eigens für das Support-Forum von WordPress entwickelt wurde, ist diese Einschränkung besonders schmerzhaft und unverständlich. Ich halte es für durchaus wahrscheinlich, dass in Kürze eine angepasste bbPress-Version veröffentlicht wird, aber wer darauf nicht gewartet hat, der hat jetzt ein Forum, an dem sich kein registrierter Nutzer mehr anmelden kann.

Ich halte es durchaus für möglich, dass es noch weitere, teilweise schwere Schwächen in der aktuellen Release gibt. Es ist schade, wenn man die Installation einer Release als ein Wagnis betrachten muss, aber genau das ist es im Moment: Ein Risiko für die Funktionsfähigkeit eines stark erweiterten Blogs. Allerdings bin ich mir gewiss, dass die schlimmsten Schwächen in den nächsten Wochen behoben werden und dass es in vier bis acht Wochen eine Release geben wird, die man bedenkenlos empfehlen kann.

Angesichts der möglichen Probleme kann ich nicht deutlich genug empfehlen, vor dem Update einen vollständigen Backup der Datenbank und des laufenden Blogs anzulegen, um im Problemfall mit Leichtigkeit auf den vorherigen Stand zurückgreifen zu können. Wer dazu bereit ist, probiere es ruhig aus — denn abgesehen von einigen ergonomischen Unreifen in der neuen Benutzerführung enthält die neue Version von WordPress durchaus gute Ideen.

Dies ist mehr ein hannöversches Thema, und eigentlich gar nicht so recht hannöversch, sondern eher etwas für die Lindener unter meinen Lesern…

Ich habe ja schon im September letzten Jahres ein paar Bilder dieser tristen Betonburg namens „Ihmezentrum“ veröffentlicht, die den ästhetischen Begriff dieses Menschenschließfaches der Siebziger Jahre gut einfangen. Natürlich ist diese Zumutung von den meisten Menschen niemals angenommen worden, und die gesamte, recht junge Geschichte dieses Machwerkes ist eine Geschichte von Pleiten und Pannen.

Nun, wie ich damals schon andeutete, ist dieses Ding, das leider viel zu immobil ist, als dass man es einfach in die vorbeifließende, trübe Ihme schieben könnte, inzwischen wieder ein Objekt für Spekulanten, die dort beabsichtigen, das Geld anderer Leute zu verbrennen oder zu vermehren. (Umbauen, ein bisschen Glas, ein bisschen Stahl, vielleicht wirds ja angenommen und kann verkauft werden…)

Flyer: Dies ist kein Lindenpark! Weder Linden, noch ein Park!Das zynischste an diesem Geldzauber ist wohl die Reklamesprache. Den Menschen, deren Alltag von Anblick und Zustand dieser Betonmassen täglich vergällt wird, soll dieser vergiftete Keks jetzt als „Lindenpark“ verkauft werden. Als ob es schöner würde, wenn man ihm einen schöneren Namen gibt! Dabei ist dieses Ding in Linden von Anfang an ein Fremdkörper gewesen, es ist also nicht gerade „Linden“ — und „Park“ ist die wohl unangemessenste denkbare Bezeichnung für diese hohen, grauen Türme, die nur ein Selbstmörder als einladend empfinden kann. (Der Sprung von dort oben ist zuweilen sehr beliebt und wird dann zum regelmäßigen Ereignis, da helfen auch Kameras und bauliche Maßnahmen nicht.)

Um diesen Gehirnpflug nicht unwidersprochen hinzunehmen, habe ich eine Grafik im Postkartenformat (A6) mit 300dpi Auflösung gebastelt. Dieses Bild steht unter der Piratenlizenz und kann so von jedem in Selbstverantwortung völlig frei verwendet und bearbeitet werden. Wer sich vom Sprachblendzauber der Werber genau so angewidert fühlt wie ich, der mache daraus kleine Postkarten oder etwas anderes, um seinen Protest auf diese Weise zu äußern und der stumpfen Wiedergabe des zynischen Reklamebegriffs durch die lokale hannöversche Journaille etwas entgegen zu setzen.

Um den Ausdruck zu vereinfachen, steht das Bild auch als PDF in vierfacher Anordnung auf einer DIN-A4-Seite zur Verfügung; idealerweise wird es auf einem Drucker ausgedruckt, der einen randlosen Druck ermöglicht.

Hirnbleistift

Schreckliche Werbung für ein kommerzielles NachhilfeangebotDieses Foto wurde in der Limmerstraße zu Linden bei Hannover aufgenommen. Es handelt sich um eine Werbung für ein kommerzielles Angebot zur Nachhilfe für Schüler, die bei der gewöhnlichen Vermittlung von „Wissen“ im Schulsystem der BRD nicht mehr mitkommen. Wenn man vor dieser misslungenen Tafel steht, sieht man auf dem ersten Blick, dass an der Werbung nicht gespart wurde. Das ist nicht etwa ein stümperhafter Entwurf, den sich jemand auf die Schnelle gebastelt hat. Sondern. Das aufwändig erstellte Produkt einer Werbefirma, in farbenfrohem Siebdruck auf ein wetterfestes Material gebannt, damit es um die Aufmerksamkeit besorgter Eltern schreie. Aber wenn man sich das Bild genau anschaut, fragt man sich, wie die „Zielgruppe“ wohl mit ihren Kindern umgehen wird, wirkt das darauf abgebildete, offenbar traumatisierte Mädchen doch…

Ein Detail aus dieser Werbung für ein kommerzielles Angebot zur Nachhilfe

…als wolle es sich das Gehirn mit dem Bleistift aus den Kopf prokeln, um seinem Leiden ein Ende zu setzen. Ob das wohl eine gute Reklame für die dort angebotene Nachhilfe ist? :mrgreen:

Zwei Dinge scheinen geradezu sicher. Es gibt wohl bessere, persönlichere Angebote für Nachhilfe. Und. Es gibt wohl auch bessere Werbefirmen als jene, die sich hier „ausgetobt“ hat.

Der Rummelplatz

Wenn man an einem Rummelplatz vorbei geht und nur seinen Ohren traut, kann man einen völlig falschen Eindruck vom Charakter dessen bekommen, was sich darauf abspielt. Lärmende mechanische Geräusche überlagern sich zu einem wummernden Brei, über den hinweg sich die gellen Schreie erheben. Vom Klange her. Ist es kaum zu unterscheiden, ob sich Menschen untereinader Gewalt antun. Oder ob sie sich gewaltsam vergnügen.

Ich finde es persönlich immer wieder interessant, wie die relativ einfache Idee eines Blogs von Menschen wahrgenommen wird, die selbst nicht zu den Bloggern gehören. Was wurde nicht schon an bleischwerer Wortwucht bemüht, um der geradezu primitiven Idee eines öffentlich einsehbaren, persönlichen Tagebuches den Anstrich einer revolutionären Entwicklung zu verleihen! Ein völlig neuer Journalismus oder gar die Zukunft des Journalismus sollte es sein, eine Meinungsbildung von unten. Und natürlich, das darf in diesen alles vermarktenden Zeiten niemals fehlen: Ein ganz großes Geschäft sollte es auch noch werden können.

Nichts könnte weltfremder sein als solche Wertungen. Die. In ihrer berauschten Sprache oftmals so klingen, als hätte ein Reklamemensch seine Nase mit einer Extraportion Kokain vollgesogen. Ich bin alles in allem froh darüber, dass der ziemlich künstliche hype um die Blogs etwas abgeflaut ist, dass alle diese markigen Sprüche auf zunehmende Stumpfheit und Gleichgültigkeit stoßen. Und. Dass bei allem Verstummen marktbesoffener Stimmen eine große Anzahl lesenswerter Blogs übrig geblieben ist. (Welche das jetzt sein sollen? Dazu hat wohl jeder eine andere Meinung. Und genau das. Ist. Gut. So.)

Zunächst ist so ein Blog „nur“ eine technische Möglichkeit.

So wenig, wie ein Mensch schon dadurch zu einem guten Autor würde, dass man ihm eine Textverarbeitung gibt; so wenig eine gute Kamera für sich allein die Fotos machte, die das Werk eines guten Fotografen sind; so wenig einer nur durch den Besitz eines potenten Grafikprogrammes zu einem Gestalter ansprechender Designs werden könnte; genau so wenig wird ein Mensch schon dadurch zu einem guten Blogger, dass er jetzt eine einfache, technische Möglichkeit zum Bloggen hat. Diese technische Möglichkeit steht nun aber jedem zur Verfügung, der sie haben will, sie ist mühelos in der Anwendung und völlig kostenlos erhältlich. Es ist also gar nicht überraschend, dass sich unter diesen erfreulichen Bedingungen auch gute Blogger zeigen. (Und eben so wenig überrascht es, dass sich auch weniger gute Blogger zeigen. Aber niemand ist gezwungen, das ganze Internet lesen.)

Aber das ist nicht das wirklich Neue. Schon immer hätten Menschen eine Website gestalten und regelmäßig aktualisieren können, und doch ist durch die technische Möglichkeit der Blogs eine neue Ebene hinzugekommen. Diese Ebene besteht nicht nur in der Vereinfachung des gesamten Vorganges, sondern auch in den interaktiven Möglichkeiten der Blogs, in Kommentaren, Pingbacks und Trackbacks, die Websites völlig verschiedener Ausrichtung in einer recht anarchistischen Weise über das Internet zu einem Ganzen verbinden können, das weit über frühere Ausdrucksformen im Internet hinaus geht und eine qualitativ neue Dynamik entfacht. (Und das, von der anderen Seite aus gesehen, ganz neue Formen der asozialen Spam ermöglicht. Denn die „Kreativität“ krimineller Geschäftemacher scheint sich nie zu erschöpfen.)

Jeder aktive Blogger weiß das. Jeder aktive Blogger hat sich schon mehrfach inhaltlich und kommentierend mit Blogs beschäftigt, die „weit neben seiner Spur“ liegen. Manche greifen den Streit mit Genuss und großer Polemik auf, andere lassen den anderen Blogger anders sein und setzen fröhlich ihre eigenen Schwerpunkte dagegen — und zwar nicht ohne dass sie gewisse Überschneidungen bemerken würden. Im Stil eines Bloggers zeigt sich immer auch ein bisschen seine Kultur oder eben auch das Fehlen einer persönlichen Kultur; ein Blog ist nun einmal die tägliche Tätigkeit einer Persönlichkeit. Was aber jeder aktive Blogger wenigstens ahnt, wenn er nicht schon ganz genau weiß, das ist die Tatsache, dass die „klassische Journaille“ mit diesem Stil Probleme hat, da die unter Bloggern gepflegte Offenheit des MitTeilens einer in Jahrhunderten eingefahrenen Haltung widerspricht, aus der alleinigen Bedingung eines exklusiven Zuganges zu Quellen der Information und Möglichkeiten ihrer Publikation einen Vorteil schlagen und sichern zu wollen.

Blogs sind kein neuer Journalismus, sondern etwas qualitativ anderes. Nicht etwas Besseres, nicht etwas Schlechteres, sondern etwas Anderes. Dass dieses Andere zuweilen in die Domäne des Journalismus hineinragt, liegt vor allem darin begründet, dass sich diese Domäne seit Erfindung des Buchdruckes mit beweglichen Lettern viel zu weit ausgebreitet hat; dass sie sich, gestützt auf die Macht über die kostenintensiven Mittel zur Publikation, auch in Bereiche erstreckte und erstreckt, in denen sie eigentlich nicht viel zu suchen hat. Die bisherige Meinungs- und Sprachhoheit der Journaille über den berichteten Alltag der Menschen und die stets gern verwendete, damit verbundene Möglichkeit zur Irreführung vieler Menschen über das Wichtige und das Belanglose im Leben, sie ist zum Glück für die Menschen im Schwinden begriffen. Dass das zurzeit viele Menschen noch gar nicht mitbekommen — der gegenwärtige Einfluss des Bloggens und generell des Publizierens im Internet wird doch gehörig überschätzt — das kann diesen Prozess mittelfristig nicht aufhalten.

Wenn der Journalismus in diesem Prozess nicht untergehen soll, denn gibt es nur ein Mittel, ihn zu erhalten: Inhaltliche Qualität und sorgfältige, ausgewogene Aufbereitung der gesellschaftlich wichtigen Ereignisse. Angesichts der gegenwärtigen Wirklichkeit in der Journaille, die in allen ihren Auswürfen immer mehr zu einem Ort verkommt, an dem sich neoliberale Mietmäuler unwidersprochen und mit großem Zynismus gegenüber den Opfern des gegenwärtigen gesellschaftlichen Prozesses präsentieren können, sieht es aber eher trübe für die Zukunft des „klassischen Journalismus“ aus. Da wird es am Ende auch nicht helfen, dass einst renommierte Magazine und Zeitungen in ihren Online-Präsentationen unverhohlen auf Unterhaltung, Boulevard, Videos und klickfreudige Bilderstrecken neben flackernden Fluten der Reklame setzen — im Zweifelsfall werden gerade Blogger einen besseren, fröhlicheren und gemeineren Boulevard-Stil hinbekommen.

So viel nur zur Abgrenzung.

Was aber macht das Bloggen für den Blogger attraktiv? Für einen Menschen mit ungezügeltem Drang zur Selbstdarstellung stellt sich diese Frage natürlich nicht, er hat mit einem Blog einfach nur eine weitere Möglichkeit, die er nutzt; und in der Tat gibt es solche Blogs. Einige von diesen sind sogar interessant, doch die Mehrzahl… 😉

Aber für mich ist es etwas ganz anderes geworden, was das Bloggen attraktiv macht. Dafür muss ich allerdings ein bisschen ausholen.

Das Internet ist für mich schon lange nichts „Neues“ mehr. Ich kenne es noch aus Zeiten, die ich als die „besseren“ empfinde. Älter als die heute in Medien und Reklame so gefeierte Möglichkeit, in Netz Informationen und Produkte zu finden und diverse Geschäftchen zu machen, ist die Möglichkeit, sich über das Netz menschlich auszutauschen.

Für mich ist es immer die einzige Funktion eines Netzwerkes von Computern gewesen, dass Menschen über dieses Netzwerk zusammenkommen können. Auch. Solche Menschen, die sich aus gesellschaftlichen Gründen physikalisch nur schwerlich begegnen würden.

Schon immer gab es neben dem eher privaten Austausch über EMail (die heute unter der Flut von Spam beinahe unbrauchbar geworden ist) weitere Möglichkeiten des öffentlichen Austausches. In früheren Zeiten gab es hierzu vor allem das USENET (das heute unter einer Flut von Spam und geistloser Trollerei beinahe unbrauchbar geworden ist) sowie Maillinglisten (die heute ebenfalls stets von Spam bedroht sind, aber meist sauber und damit benutzbar gehalten werden, wenn es sich um einen speziellen fachlichen Themenbereich handelt). Diese Medien sind den meisten Menschen heute nicht mehr vertraut, obwohl sie noch in regem Gebrauch sind. (Auch ich nutze noch Mailinglisten und kenne für bestimmte Themen keine bessere Alternative.)

Mit dem „World Wide Web“ und dem Siegeszug der leicht bedienbaren, grafischen Webbrowser kam es immer mehr zu einer Entwicklung, möglichst viele „Anwendungen“ des Internet in den Browser zu verlagern. Das alte USENET wurde immer weniger bedeutsam, und es entstanden viele Webforen, in denen sich Menschen zu allen möglichen und unmöglichen Themen untereinander austauschen konnten. Diese Foren hatten eine Benutzerschnittstelle, mit der auch weniger versierte Menschen gut umgehen konnten, was dazu führte, dass auch Menschen mit geringen technischen Kenntnissen am Austausch teilhatten. Das ist ja grundsätzlich eine gute Entwicklung, schließlich sind die Computer für Menschen da und nicht umgekehrt.

Nun konnte man gerade in den Webforen die Verschärfung einer Entwicklung feststellen, die bereits zuvor im USENET sichtbar wurde. Der abstrakte Charakter des verwendeten Mediums führte oft zu einem Verlust einer angemessenen Ausdrucksweise und damit zu verschiedenen Missverständnissen, die sich zu regelrechten Kleinkriegen hochschaukeln konnten. Das Drängen auf die Einhaltung einer Netiquette kam einem Kampf gegen Windmühlenflügel gleich, da immer wieder neue, völlig unerfahrene Benutzer hinzukamen, die immer wieder aufs Neue an elementare Umgangsformen im virtuellen Miteinander herangeführt werden mussten. Auf diesem Zustand aufsetzend, bildete sich ein weiterer „Nutzertypus“ heraus, der seinen persönlichen Gewinn in der Provokation des Streites als Selbstzweck sah, der Forentroll. Gerade diese Gestalten, die aus dem Schutz der Anonymität destruktiv gegen eine Gemeinschaft agieren, die ihnen offenbar nichts bedeutet, sie sind der Todesstoß für die letzten Reste einer Kultur des Austausches in Webforen geworden. (Jeder Nutzer der Foren bei heise online kann das bestätigen.)

Heutiger Zustand der meisten Webforen ist es, dass ein vernünftiger Austausch kaum noch möglich ist. Zum Einen gelingt es den Trollen immer wieder, den gewünschten Stunk zu stiften; und wenn sie „rausgeworfen“ werden, können sie sich einfach neu anmelden (eine dazu erforderliche neue Mailadresse ist schnell beschafft). Zum Anderen leidet der gesamte Austausch unter diesem Qualitätsverlust, so dass selbst besonnenere Nutzer zu wenig erbaulichen Überreaktionen neigen (und damit die Trolle „füttern“). Es gibt zwar noch viele Webforen, aber in den meisten von ihnen hat der Stil der Mitteilungen eher den Charakter eines Chats angenommen und ist von daher nur wenig dazu geeignet, wirkliches, respektvolles (und in der Sache dennoch ruhig einmal scharfes) Miteinander zu befördern.

Als ich damit begann, zum Blogger zu werden, war ich noch in vielen Webforen aktiv. Je länger ich bloggte, desto mehr ließ meine Teilhabe an diesen Foren nach, weil ich zunehmend einsehen musste, dass ein Großteil der dort registrierten Benutzer kaum noch zum Austausch fähig ist. Was denn doch einmal an guten Ansätzen entstand, verkam leider in der Regel schon nach kurzer Zeit zum trüben Tummelplatz für Trolle.

Und dann durfte ich immer häufiger erleben, wie der Austausch unter Bloggern funktioniert.

Ich gebe es ja offen zu, dass ich beim ersten Mal richtig überrascht war, als ich einen Link in meinem damaligen Blog setzte und damit automatisch einen Pingback in einem anderen Blog veröffentlichte. Zumal das eine für mich eher peinliche Situation war, da ich ausgerechnet bei diesem ersten Mal einen konservativen niederländischen Blogger (zum Thema der Kanzlerschaft Angela Merkels) mit meinem deutschen Text verlinkte, und der fand „Het Duits“ gar nicht so lustig. Aber meine englische Entschuldigung unter Verweis auf meine eigene Überraschung (ich kann Niederländisch zwar gut lesen und verstehen, aber schreiben ist noch einmal eine andere Sache) nahm er gern an, und es kam zu etwas, was so in einem Forum zu dieser Zeit niemals entstanden wäre; zu einem durchaus erträglichen Austausch trotz völlig verschiedener Hintergründe und Meinungen.

Das hat mir damals schon sehr zu denken gegeben. Eben. Weil es etwas qualitativ anderes war, als alles, was ich aus meiner Erfahrung als Forumsnutzer kannte.

Richtig verstanden habe ich das erst über zwei Jahre später. Als. Ich mit einigen sehr scharfen Texten Stellung dazu bezog, dass die deutsche Version von WordPress mit einem Reklame-Plugin des Link-Händlers LinkLift ausgeliefert wurde. Da hatte ich nämlich einmal beides nebeneinander, die heiße Diskussion im Support-Forum von WordPress Deutschland und den ebenfalls recht heißen Widerhall in verschiedenen Blogs. Natürlich erhielt ich an beiden Orten ein bisschen Zustimmung und teilweise scharfen Widerspruch. Aber was im Forum als Widerspruch stets mit dem starken Unterton der Gereiztheit und Unversöhnlichkeit daher kam, das wurde innerhalb der Blogs wesentlich kultivierter ausgetragen. Während im Forum jegliches wirkliche Argumentieren schnell erstickte, während dort vor allem Argumente für und wider die beteiligten Personen in die Waagschale geworfen wurden, die niemals zu einer Klärung in der Sache, aber schnell zum Aufbau verhärteter Fronten führen können; währenddessen wurden in den Blogs auch sachliche Argumente entwickelt und vorgetragen, was einen deeskalierenden Stil zur Folge hatte. Wer mich in dieser Sache kommentierte, ging zumeist viel deutlicher auf den Inhalt des Textes und die darin angesprochene Problematik ein, was im entsprechenden Forumsthread überhaupt nicht der Fall war. Schließlich kam es sogar zu einem kleinen Austausch zwischen mir und einer beteiligten Person „der anderen Seite“, der in seinem Verlauf eine auch für mich gangbare Lösung hervorbrachte, wenn WordPress Deutschland sich dazu entschlossen hätte, diese Kooperation weiterhin durch die Lieferung eines Plugins zu pflegen. Ein solcher Verlauf wäre innerhalb der Forumskommunikation völlig unmöglich gewesen.

Das war der Moment, in dem mir langsam der kulturelle Unterschied dämmerte. Und. In dem ich verstand, dass ich für die gewöhnliche „Forumskultur“ endgültig verloren war. Denn das Bloggen. Ist. Ein besseres Miteinander. Auch. Und gerade. Unter den Bedingungen schwerer sachlicher oder gar persönlicher Differenzen.

Und dieses bessere Miteinander hat seinen Grund in einem technischen Unterschied, der menschliches Benehmen hervorbringt.

In einem Forum nutzen alle Beteiligten die gleiche Website. Das scheint zunächst eine Gemeinschaft zu sein, und damit dieses Wort angesichts der wirklichen Zustände nicht allzu fühlbar wird, spricht man lieber neudenglisch von einer community. Aber die Grundlage dieser Gemeinschaft ist in der Regel nicht vorhanden, es gibt kein gemeinsames Erleben der Beteiligten, es folglich ist eine abstrakte Gemeinschaft, die nur durch die gemeinsame Verwendung einer technischen Grundlage für die Kommunikation entsteht.

Man könnte ebensogut von einer „Gemeinschaft“ der Fernsprechteilnehmer sprechen. Und wer hätte sich nicht schon einmal über einen unerwünschten Reklame-Anruf aus einem Callcenter aufgeregt.

Genau das passiert Forennutzern ständig. Sie agieren unter den Bedingungen einer scheinbaren, zentral-technokratisch bestimmten „Gemeinschaft“, in der sie sich ständig mit Dingen auseinandersetzen müssen, zu denen sie nur sehr eingeschränkte Handlungsoptionen haben. In dieser „Gemeinschaft“ wird ihnen die technische Grundlage und ihre vollständige Ausgestaltung vom Betreiber vorgesetzt; es ist nicht ihre eigene Welt, sondern so etwas wie ein sich virtuell spiegelndes Staatswesen unter monarchischer Regierung. Der Betreiber und die von ihm ernannten Admins und Moderatoren nehmen darin eine Rolle ein, die jenseits jeder wirklichen Kritikmöglichkeit steht, da sie ihre Vorstellungen autoritär und despotisch durchsetzen können. (Auch wenn sie es nicht tun, besteht diese Möglichkeit immer. Sie tun es aber. Und. Sie müssen es oft tun, damit ein Forum unter der Wucht der Trollereien und Kleinkriege überhaupt benutzbar bleibt.) Was dem „gewöhnlichen“ Forennutzer an Einfluss auf das Gesamtgeschehen und seine technische Ausgestaltung verbleibt, das ist die eigene Mitteilung innerhalb des gesetzten Rahmens und die Option, sich mit gewissen Bitten an die Betreiber, Admins und Moderatoren zu wenden.

Unter diesen Umständen kommt es nicht zu einem fühlsamen Eindruck, dass man sich „zu Hause“ befindet. Und dementsprechend gering ist die Neigung vieler Forennutzer, die gemeinsame Grundlage des Austausches „wohnlich“ zu gestalten. Deshalb entsteht in Foren (und im USENET) so häufig eine gewisse Bedenkenlosigkeit im Umgang miteinander, die zu einer allgemeinen Verrohung des Miteinanders führt.

In den Blogs ist das völlig anders. Das beginnt bereits damit, dass es jedem Menschen mit Leichtigkeit möglich ist, ein eigenes Blog zu betreiben; dieses Blog ist sein „eigenes Wohnzimmer“, das er beliebig ausgestalten und mit inhaltlichen Schwerpunkten belegen kann. (Dass jemand wie ich es dann geschmacklos finden kann, ist dafür völlig unerheblich.) Selbst das Betreiben mehrerer Blogs ist problemlos möglich, wenn dies einem Blogger sinnvoll erscheint. Auch muss der Blogger nicht alles hinnehmen, sondern kann Kommentare anderer Menschen generell oder zu einzelnen Texten verbieten oder nach eigenem Ermessen löschen. (Oder er kann, wie ich dies tue, die Entscheidung treffen, dass jeder Leser zum selbstständigen Denken imstande sein sollte und deshalb jede menschliche Äußerung stehen lassen. Denn die meisten Hohlköpfe disqualifizieren sich wirklich selbst. Wenn ich einmal etwas lösche, denn eigentlich nur, weil es Spam ist oder wegen einer möglichen strafrechtlichen Verantwortung für einen in der BRD illegalen Inhalt. Und. Wenn es nach mir ginge, würde die Notwendigkeit für den zweiten Punkt völlig entfallen, so wenig ich einige Äußerungen einiger Leute auch mag.)

Dennoch ist jeder Mensch bereits mit diesem Schritt, ein Blog zu eröffnen und mit Inhalten zu befüllen, zum Bestandteil eines technischen Netzwerkes geworden, in dem Menschen bequem aufeinander Bezug nehmen können. Und zwar jeder auf der Grundlage eines gleichberechtigten Miteinanders von Menschen. Dabei gibt es nicht nur die Möglichkeit des Kommentierens. Ein Link auf ein anderes Blog in einem Posting oder ein Trackback führt dazu, dass dieser Vorgang im Kommentarbereich des anderen Blogs sichtbar wird. Auf diese Weise kann ein Bezug auf eine andere Quelle auch im eigenen Blog hergestellt werden, der anders als ein Kommentar auf der Website eines anderen Menschen nicht so einfach vollständig weggelöscht werden kann. Natürlich obliegt es auch hier jedem Blogger, ob er solche Automatismen überhaupt zulässt und ob er sie vielleicht nachträglich löscht — aber was man in seinem eigenen Blog geschrieben hat, das bleibt stehen.

Die bloße Wahrnehmung, dass jedes andere Blog in seiner Gestaltung und seinen Schwerpunkten das „Wohnzimmer“ eines anderen Menschen darstellt, führt zu einem gewissen Benehmen. (Bei einigen allerdings auch nicht, denn auch unter den Bloggern verrät jeder seine persönliche Kultur im Miteinander.) Es ist im ersten Moment klar, dass es sich um den Bereich eines anderen Bloggers handelt, der darin nach seinem eigenen Gutdünken tun und lassen kann, was er will.

Und genau dieser Zustand. Der scheinbar gar keine Gemeinschaft bilden kann. Führt zu einem besseren Miteinander gleichberechtiger Menschen. Und zwar auch dann noch, wenn die differierenden Standpunkte einmal völlig unversöhnlich sind.

Denn anders als in einem gemeinsam genutzten Forum ist man auch nicht gezwungen, gewisse Äußerungen zu lesen oder auch nur zur Kenntnis zu nehmen, bevor man sich entschließt, sie nicht zu lesen. Man kann ein Blog vollständig ignorieren, wenn es von einem Spinner geschrieben wird. (Zum Beispiel dürften mich viele Menschen aus genau diesem Grund ignorieren.) Natürlich haben auch die Blogs ihre Trolle hervorgebracht, und natürlich wird von diesen so mancher Stunk um seiner selbst willen angezettelt. Aber es ist ein leichtes, diese Zeitgenossen völlig zu ignorieren, und deshalb kommt es auch nicht zu Ausbrüchen der Trollwut. Es handelt sich nicht um eine Zwangsgemeinschaft, die grundsätzliche Bedingung des MitEinAnders ist eine völlige Gleichberechtigung. Aller. Beteiligten.

Ich mag dieses bessere MitEinAnder.

Denn es macht wahr. Was die Idee des Internet einst einmal versprochen hat. (Die Websites der „etablierten Journaille“ werden dies hingegen niemals können. Weil. Es nicht im Interesse ihrer Betreiber liegt. Deshalb ist bislang auch jeder Versuch der „etablierten Journaille“ gescheitert, auf der „Blogwelle“ mitzuschwimmen.)

Vom Trostcharakter der Religion

Der unverfälscht infantile Trostchrakter der Religion wird darin offenbar, wie religiöse Menschen sprechen. Sie sprechen über das Objekt ihrer religiösen Verehrung wie von einem Gegenüber, in dessen dennoch unergründlichen Zielen sie geborgen und in dessen Allmacht sie sicher sind. Verläuft etwas in ihrem Leben unerwünscht, denn können sie vom „weisen Ratschluss“ dieses Gegenübers sprechen, der für sie gut ist und von dem sie dennoch nichts verstehen — die religiösen Menschen sind in diesem Stereotyp der Ausdeutung ihres Lebens ein Spiegelbild der ausgelieferten Situation eines Kindes gegenüber der Macht seiner Eltern. Da nimmt es auch nicht Wunder, dass die elterliche Metapher so beliebt für die Anrede dieses Gegenübers ist, dass der ferne und doch nahe geredete Fetisch des religiösen Weltbildes so mühelos zum „Vater“ gerät. Zumal. Im Regelfall der Familie der wirkliche Vater meist jemand war, der ferne schuftete, um den modernen Segen des Geldes zu erlangen und deshalb nur selten verfügbar war. Aber. Immer noch gut dafür war, die Bestrafungen des Kindes ebenso wie die Belohnungen des Kindes auszuführen. (In jenen ländlichen Regionen, in denen diese alles Leben überschattende Gewaltstruktur der Familie noch Bestand hat, ist die religiöse Haltung unausrottbar.) Das gleiche Bild. Findet sich beim esoterischen Gegenüber des religiösen Menschen, der den braven und gefügigen Anhänger mit dem ewigen Zuckerbrot eines Paradieses belohnt, während er. Seinen unanständigen Kindern eine ewige Hölle aus Frost, Flammen, Exkrementen und Eiter als Strafe zuweist. Man mag sogar sagen. Dass sich in den recht wahnhaften Bildern der Hölle jene kleinere Hölle spiegelt, durch die hier zu viele Menschen in ihrer ausgelieferten Kindheit gehen mussten und müssen. Und. Die man „Erziehung“ nennt.

Ein Fundamentalist treibt diesen Trostcharakter seiner Religion auf die narzistische Spitze, indem er sich des dazu sehr nützlichen Bildes vom Satan bedient. Misslingt ihm, wonach ihm der Sinn steht, so ist dies „vom Satan“; misslingt ihm hingegen, wozu er eine eher indifferente Stellung hatte, so „weiß eben Gott allein, wozu das gut ist“. Nichts könnte klarer machen, dass der „Gott“ dieser Menschen ihre eigene Schöpfung ist, mit der sie sich zum Trost über einen psychologischen Umweg jene Allmacht erneut zusagen, die sie mit wachsender Einsicht in die Bedingtheit ihres eigenen Lebens abgeben mussten. Das Glaubensbekenntnis. Dieser Menschen. Sollte konsequenterweise so lauten:

Am Anfang schuf ich Gott.
Und.
Gab ihm
Meine Allmacht.
Und.
Am Ende der Tage
Werde ich meine Allmacht
Von Gott zurückfordern
Und
Über Gott zu Gericht sitzen.

Denn ich
Habe meine Allmacht wieder,
Und er
Hat die Verantwortung
Für all mein Scheitern im Leben.

Dies ist ein Nachtrag zu meinem gestrigen Text zu den gegenwärtigen Angriffen auf WordPress-Blogs. In diesem Nachtrag will ich versuchen, Hinweise zur möglichen weiteren Eingrenzung des Problemes zu geben. Das ist ziemlich trockener, technischer Stoff, der wohl nicht jeden interessieren wird.

Bitte unbedingt auch den entsprechenden Thread im deutschen Support-Forum beachten und dort bei der Eingrenzung des Problemes helfen.

Ich habe die verschiedenen Diskussionen des Problemes natürlich verfolgt. Dabei hat sich vor allem bei „Ja gut, aber…“ herauskristallisiert, dass die Verseuchungen der Blogbeiträge mit Spam in verschiedenen Versionen von WordPress auftreten. Entweder handelt es sich um einen Fehler in WordPress, der schon seit längerer Zeit (seit Version 2.2) „auf seine Chance wartet“, aber erst jetzt richtig so ausgebeutet wird; oder aber — und das ist meine Vermutung — es handelt sich um ein Problem mit einem schlampig programmierten Plugin. Dieser Post ist ein Versuch, das verursachende Plugin zu isolieren; das bedarf allerdings der Mitarbeit betroffener Blogger.

Ein möglicher Verdächtiger für ein Plugin, dass die Probleme über eine XSS-Lücke mit einem gestohlenen Cookie verursachen könnte, hat sich schon gefunden, es könnte sich um das recht populäre Statistik-Plugin „Semmelstatz“ handeln. Dieses Plugin wurde sogar (von Ralf im oben verlinkten Thread) dabei erwischt, wie es im Dashboard einen eingebetteten Frame auf eine externe Seite im Internet darstellen wollte. Das sollte alle Alarmglocken klingeln lassen.

Besonders erschreckend an den gegenwärtigen Attacken ist, dass sich die Angreifer Schreibzugriff auf ein Verzeichnis im Blog verschaffen können, und dass es sich dabei nicht um das reguläre Upload-Verzeichnis handelt. Wer in seinem Verzeichnis wp-content ein Unterverzeichnis mit dem Namen 1 hat, sollte dieses umgehend löschen, wenn er nicht will, dass seine Website von Verbrechern zu gewiss unschönen Zwecken missbraucht wird. (Im Zweifelsfall ist der Betreiber für einen kriminellen Missbrauch seiner Site haftbar; wenn es vor Gericht gehen sollte, hängt alles von der technischen Kompetenz der Richter ab. Diese ist oft erschreckend gering.) Besonders schlimm ist die Vorstellung, dass die Spammer eventuell sogar die gesamte WordPress-Installation überschreiben könnten. Wer sich dagegen schützen will, sollte die Zugriffsrechte auf die PHP-Dateien seines Blogs so restriktiv wie nur möglich setzen. Ich empfehle 644 für die Dateien und 755 für die Verzeichnisse (außer wp-content/uploads), um dem Webserver keine Rechte zum Überschreiben der Installation zu geben. Auch, wer noch nicht betroffen ist, sollte unbedingt über diese einfache Maßnahme zum Schutz nachdenken.

Um die Fehlersuche etwas anzuregen und hoffentlich zu einer weiteren Klärung des Problemes beizutragen, veröffentliche ich hier einmal ein paar Daten, die man eigentlich nicht veröffentlichen sollte. (Keine Sorge, ein Backup der Datenbank läuft bei mir automatisch und regelmäßig durch, und wenn ich doch mit diesem Posting auf eine Bruchlandung hinlege, hat die Bloggosphäre wenigstens einen Grund zur Häme.)

Ich verwende WordPress-Blogs in den verschiedensten Versionen für unterschiedliche Projekte. Keines dieser Blogs ist von den jüngsten Attacken der Spam-Verbrecher betroffen.

Das muss nichts bedeuten, es kann ohne weiteres einfach nur ein Glücksfall sein, der diesen automatisierten und offenbar sehr wirksamen Angriff bislang an mir vorbeigehen ließ — es kann aber auch bedeuten, dass diese Konfiguration sicher genug ist. Da ich zumindest mit diesem Blog vielfach verlinkt bin, ein relativ gutes Ranking bei Google habe und der Angriff automatisiert nach diesen Kriterien erfolgen wird, gehe ich davon aus, dass ich eigentlich betroffen sein müsste.

Besonders interessant auf dem Hintergrund der Attacken dürften die WP-Versionen 2.2.3 und 2.3.3 sein, die zurzeit vielfach im Einsatz sind und beide schon gecrackt wurden. (Etliche Blogger haben den Update auf 2.3 mit gutem Grund vermieden und verwenden immer noch das letzte WP 2.2.x.) Ich werde hier die Versionen und die installierten Plugins von zwei Blogs veröffentlichen, die ich technisch betreue und die nicht von den Attacken betroffen sind. Beide Blogs sind ausgewählt worden, da sie für meine Verhältnisse besonders viele Plugins enthalten. (Ich versuche stets, eine Installation so klein wie möglich zu halten.) Zu einigen Plugins mache ich kurze Anmerkungen. Ferner gibt es auch ein paar Worte zur sonstigen Konfiguration der Blogs.

Konfiguration: Lumières dans la nuit

Es handelt sich um das von mir in der Hauptsache mit Anmerkungen und dunklen Gedanken befüllte Blog. Die Postingfrequenz ist täglich, an manchen Tagen mehrfach täglich. Da ich das Spiegeln meiner Inhalte in der Lizenz sehr ausdrücklich erlaube und da davon auch Gebrauch gemacht wird, kann ich keine sicheren Angaben zur wirklichen Leseranzahl machen. Die direkten Zugriffe auf das Blog sind stark schwankend, liegen aber in normalen Zeiten zwischen 100 und 350 Lesern am Tag.

Es handelt sich um ein WordPress 2.3.3. Das Theme ist ein leicht angepasstes Simplicity ohne besondere Schnörkel (allerdings habe ich es Widget-fähig gemacht und um ein paar kleine Funktionen erweitert).

Im Blog sind folgende Plugins aktiv:

  • Akismet
  • BDP RSS Aggregator
  • CSS Naked Day
  • Dashboard Editor
  • Delete Comment IP
  • Exec-PHP
  • Executable PHP Widget
  • Filosofos Tinfoil Hat Plugin
  • Follow-URL
    enthält einen kleinen Hack von mir
  • Force Word Wrapping
  • Google XML Sitemaps
  • Intypo
  • Jamendo Embedder
  • o42-clean-umlauts
  • Page Peel (AK VDS)
  • pjw-wp-phpmailer-nosender
  • Popularity Contest
  • Search_Hilite
  • Time Zone
  • TinyMCS Advanced
  • Visitor Counter Widget
  • WordPress.com Stats
  • WP-ContactForm
    enthält einen kleinen Hack von mir
  • WP-UserOnline
  • WP-UserOnline Widget
  • WP Grins
  • WP Paypal Donate Widget R2.0

Die folgenden Plugins sind installiert, aber nicht aktiv:

  • !Wartungsmodus (de)
  • BDP RSS Aggregator Widgets

(Das schlichte Blog hier ist also „aufgeblähter“, als macher auf dem ersten Blick denken möchte. Ich halte eben nichts von „fetter“ Gestaltung.)

Wenn ich nicht einfach nur Glück hatte, denn sind die hier gelisteten Plugins unter WP 2.3.3 sicher. Wenn jemandes Blog gecrackt wurde und keine weiteren Plugins als die hier erwähnten verbastelt wurden (auch inaktive Plugins können ein Problem sein), denn bitte einen deutlichen Widerspruch in die Kommentare schreiben.

Konfiguration: White Darkness

Das Blog White Darkness ist eine schnelle Portierung der früheren Homepage nach WordPress. Das Theme habe ich von Grund auf selbst geschrieben, es ist vorsätzlich sehr schlicht. Es handelt sich um die Homepage einer nicht-kommerziellen Künstlergruppe aus Hannover. Die Postingfrequenz ist gering, ungefähr monatlich. Zu den weiteren Anforderungen neben dem leichten Publizieren gehörte ein gut in die Homepage integriertes Forum und eine Galerie, beides wird eher wenig verwendet. Die Leserzahl ist in der Regel gering, kann aber im Umfeld von Veranstaltungen auch auf 80 bis 100 am Tag ansteigen.

Es handelt sich um ein WordPress 2.2.3. Als Forum wird ein bbPress verwendet, die Galerie ist eine Gallery; beides wird auch mit Hilfe von Plugins in WordPress eingebettet.

Besonders bemerkenswert hier: Es ist eine Registrierung von Lesern möglich, die auch zur aktiven Benutzung des Forums erforderlich ist.

Es wurde verschiedentlich an anderen Stellen geäußert, dass solche Registrierungen die Ursache des gegenwärtigen Problemes sein könnten. Ich kriege dort zwar automatische „Spam-Anmeldungen“ von diversen, windigen Pillenhändlern, aber zu einer Veränderung von Beiträgen oder dem Upload von Spam-Dateien ist es dort nicht gekommen. (Die Spam-Anmeldungen sind fast wirkungslos, das Forum wird durch Akismet geschützt und bis heute ist kein einiger Spambeitrag „durchgekommen“. Aber es ist eben eine gewisse Last, weil ich diese Schrottaccounts lieber lösche, statt sie in der Datenbank vorzuhalten.)

Im Blog sind folgende Plugins aktiv:

  • ©Feed
  • Akismet
  • bbPress Integration
  • BBpress Latest Discussions
  • bs-wp-noversion
    Ich bin im Moment eben ein bisschen paranoid… 😉
  • Dashboard Editor
  • Executable PHP Widget
  • Follow-URL
  • Google Analytics
  • Google XML Sitemaps
  • Intypo
  • Nice Dashes
  • o42-clean-umlauts
  • RS Event
    mit größeren persönlichen Anpassungen von mir…
  • Search Hilite
  • Time Zone
  • Visitor Counter Widget
  • Sprücheklopfer
    Ein „Hello Dolly“ mit anderen Texten zur Erheiterung der Coautoren…
  • WordPress.com Stats
  • WP-Sticky
    mit kleineren Hacks von mir
  • WP-UserOnline
  • WP-UserOnline Widget
  • WPG2

Die folgenden Plugins sind installiert, aber nicht aktiv:

  • !Wartungsmodus (de)
  • pjw-wp-phpmailer-nosender
  • Upgrade Preflight Check
    Denn irgendwann muss es ja doch mal sein, und ich mag gewisse Überraschungen nicht…

Wenn ich nicht einfach nur Glück hatte, sind diese Plugins unter WP 2.2.3 sicher. Wenn jemandes Blog gecrackt wurde und keine weiteren Plugins als die hier gelisteten verbaut wurden (auch inaktive Plugins können Probleme bereiten), denn bitte deutlich genug in den Kommentaren widersprechen.

Weitere Anmerkungen

Beide Blogs verwenden keinen JavaScript-Code von Drittanbietern, und ich rate jedem Menschen mit gutem Grund davon ab, auf seiner Site irgendwelchen Unternehmen das Recht einzuräumen, beliebigen Code auszuführen.

Beide Blogs enthalten externen JavaScript-Code für einen auf PPhlogger basierenden Zählerdienst. Dieses wird innerhalb der Blogs nicht sichtbar, es dient nur zur Erstellung einer bequem abrufbaren Zugriffsstatistik, die möglichst „live“ Einblick in das Geschehen gibt. (Daran kann ich etwa eine Attacke von wirklichen Leserzugriffen unterscheiden, die Skripten der Cracker führen kein JavaScript aus.) Die PPhlogger-Installation steht unter meiner Kontrolle.

Beide Blogs enthalten ein bisschen JavaScript-Code zur automatischen Aktualisierung der Anzeige der aktuellen Leserzahl.

Weiteres JavaScript ist nicht „verbastelt“.

Eine spannende Frage

Jetzt bin ich selbst gespannt: Ist es wirklich ein fehlerhaftes Plugin, das zurzeit von den Spammern ausgenutzt wird, oder ist es ein fürchterlicher Fehler im Kern von WordPress?

Dies herauszufinden, geht leider nur gemeinsam.

Wenn Sie gecrackt wurden und nur Plugins hatten, die hier als aktive Plugins gelistet wurden, denn widerspricht das meiner Vermutung, dass es sich um einen Fehler in einem Plugin handelt. Bitte schreiben Sie mir das in die Kommentare!

Wenn Sie gecrackt wurden und andere Plugins hatten, solche, die hier nicht in den Listen stehen, denn erwähnen Sie bitte die anderen Plugins in einem Kommentar und schreiben Sie dazu, dass sie gecrackt wurden. (Sie müssen ihr Blog nicht angeben.) Wenn sich herausstellt, dass alle gecrackten Blogs gewisse Plugins benutzt haben, dann haben wir gemeinsam herausgefunden, wo der Fehler liegen könnte. Wenn nicht, war es den Versuch wert.

Wie gesagt, ich bin selbst gespannt auf das Ergebnis…

(Und wehe, ich werde jetzt gecrackt…)

Kopf hoch!

„Kopf hoch!“, sagte der Henker zu einem Mann auf seinem letzten Weg. Nur. Damit er ihm den Strick noch leichter um den Hals legen konnte.

Infectious Substance - In case of damage or leakage immediately notify public health authority!In den letzten Tagen entsteht immer häufiger der Eindruck, dass in den aktuellen Versionen des Blogsystemes WordPress ein schwerer Fehler vorliegen muss. Angesichts der offenbar sehr schweren Probleme wird von Bloggern schon öffentlich darüber nachgedacht, zu einer anderen Software zu wechseln, obwohl die Migration bestehender Inhalte auf ein neues System in der Regel kein Spaziergang ist. (Es sollen ja auch weiterhin alle alten Links funktionieren und Google soll auch fortan zu den richtigen Seiten führen — so segensreich Import-Skripten auch sein mögen, da ist eigentlich immer auch etwas Handarbeit nötig.) Nachdem inzwischen auch bekanntere Blogger das Problem thematisiert haben, hier auch einige Anmerkungen von mir, die vielleicht auch substanziell Neues zur Suche nach dem Problem beitragen können.

Wie tritt das Problem auf

Ein betroffener WordPress-Blogger stellt fest oder wird von Lesern darauf hingewiesen, dass seine älteren Beiträge durch typische Suchmaschinen-Spam versalzen wurden, also durch riesige Linklisten, die sich in erster Linie an Google und andere Bots richten.

Das entspricht dem bisherigen Blogmissbrauch der Spammer, wenn sie entsprechende Kommentare oder Trackbacks verfassten. Gegen diese Form der Spam gibt es vielfältige Abhilfe (zum Beispiel Akismet), die einem ungefähr 99 Prozent dieser Pest vom Halse hält.

Das qualitativ neue an der gegenwärtigen Spamwelle ist es, dass die Spam nicht mehr als Kommentar erscheint, sondern als Bearbeitung eines regulären Blogbeitrages. Wir haben es hier also nicht mehr „nur“ mit kriminellen und asozialen Spammern zu tun, sondern mit richtigen Crackern. (Ich lehne die Bezeichnung „Hacker“ für solche Barbaren ab, da sie inhaltlich falsch und eine Beleidigung für jeden Hacker ist.) Diesen Crackern ist es über eine zurzeit noch völlig unbekannte Lücke möglich, ältere Beiträge in einem Blog zu bearbeiten und mit Spam „anzureichern“, die dann als normaler Eintrag im Blog erscheint. Natürlich greift hier ein gewöhnlicher Spamschutz nicht, da die Texte des Blogbetreibers ja an sich über jeden Zweifel erhaben sind und deshalb vor der Veröffentlichung nicht überprüft werden.

Bislang habe ich nur von betroffenen WordPress-Blogs gelesen. Wenn es sich um ein Sicherheitsloch in WordPress handelt, denn ist dies das wohl schwerste Sicherheitsloch in der gesamten Geschichte dieser Software.

Wie man an den Datumsangaben sehen kann (im Screenshot ist es der 16. März, die verlinkten Blogeinträge sind vom 22. März), handelt es sich um eine ganz aktuelle Gefahr. Da die genauen Bedingungen eines solchen Angriffes zurzeit noch nicht bekannt sind, besteht die Möglichkeit, dass momentan jedes WordPress-Blog in eine Litfaßsäule für Spammer umgewandelt werden kann.

Oder anders gesagt: Niemand kann sich im Moment sicher vor diesem Angriff fühlen. Die „kleinen“ Blogs mit wenigen Zugriffen sind genau so bedroht wie die „großen“ mit einem riesigen Leserstamm. Die Zielrichtung des Angriffes sind nicht menschliche Leser, sondern es geht um die Manipulation der Ranking-Verfahren der großen Suchmaschinen; da ist dem Cracker jeder Link recht.

(Um diese Unsicherheit ein bisschen zu beheben, wäre es wünschenswert, dass wenigstens die Versionsnummern der betroffenen Blogs und die darin verbauten Plugins offen bekannt würden. Wenn es sich nicht um die ganz aktuellen Versionen handelt, sollten betroffene Blogger allerdings vorher ihr WordPress updaten, bevor solche Informationen an eine feindselige Welt gegeben werden.)

Angriffszenarien in meinen Blogs

Auch meine Blogs waren (nicht nur) in den letzten Tagen von Angriffsversuchen betroffen, ich weiß allerdings nicht, ob diese Versuche im Zusammenhang mit den aktuellen Cracks stehen. Dennoch möchte ich diese versuchten Angriffe hier kurz charakterisieren, damit ein Eindruck von der kriminellen Energie entsteht, die sich im Moment an gängigen Blogsystemen entfesselt und mit aller Gewalt Lücken reißen will.

IP-Adressen — Die IP-Adressen der angreifenden Rechner waren über die gesamte Welt verstreut. Es handelte sich durchweg um dynamisch vergebene IP-Adressen von Providern. Das bedeutet, dass diese Angriffe von gewöhnlichen Desktop-PCs ausgingen, die mit Hilfe von Malware übernommen wurden, alle diese PCs dürften Windows-Rechner sein, die von der Spam-Mafia mit Hilfe untergejubelter Trojaner übernommen wurden. Es ist nicht möglich, den Angriff zu vermeiden, indem bestimmte IP-Bereiche blockiert werden.

Leserregistrierungen — Obwohl das bei den meisten meiner Blogs nicht möglich ist, wurden mehrfach automatische Registrierungen von Lesern versucht. Die dazu verwendeten Mailadressen lagen allesamt bei Google Mail, was zeigt, dass die Spammer momentan leicht und automatisch an diese Adressen kommen können. Das könnte bedeuten, dass die von den Crackern ausgebeutete Lücke etwas mit einer Möglichkeit angemeldeter Benutzer zu tun hat, sich Rechte zu holen oder eine SQL-Injection auf das Blog loszulassen.

XMLRPC — Der letzte Bug in der xmlrpc.php von WordPress, der ausbeutbar war, liegt schon einige Zeit zurück. Offenbar vertrauen die Cracker dennoch darauf, dass noch eine größere Menge älterer WordPress-Installation in Benutzung sind und probieren deshalb auch ältere Lücken aus. Da es sich hier um einen HTTP-POST handelt, weiß ich aus den Logdateien nichts von den Daten, die transportiert werden sollten.

Wörterbuch-Attacken — Immer wieder kam es zu verteilten Login-Versuchen, die natürlich alle scheiterten. Gerade hier war die Häufung in den letzten Tagen sehr auffällig. Offenbar werden Passwörter aus einem Wörterbuch ausprobiert, bis dieser Angriff irgendwo einmal klappt. Da auch XMLRPC eine Anmeldung ermöglicht, kann es gut sein, dass die verteilte XMLRPC-Attacke ebenfalls in diese Kategorie fällt und in Wirklichkeit ein Versuch ist, die regulären Zugangsdaten des Blogs zu ermitteln.

Vertiefende Anmerkungen

Der Angriff auf die xmlrpc.php ermöglicht, wenn er erfolgreich ist, sogar das Hochladen von Dateien. Wer eine alte WordPress-Version mit dieser Lücke hat, sollte unbedingt einen Upgrade machen, wenn er seinen Webserver nicht in eine Malware-Schleuder der Spammafia umgestalten will.

Die Wörterbuchattacken sind sehr gefährlich. Wenn es einem Angreifer gelingt, sich an einem Blog als Administrator einzuloggen, steht ihm die gesamte Funktionalität des Blogs über eine leicht automatisierbare Schnittstelle (XMLRPC) zur Verfügung. Er kann mit leicht zu schreibenden, kleinen Programmen jeden Beitrag löschen oder bearbeiten und beliebige Dateien im Blog hochladen. Natürlich wäre das der größte denkbare Gewinn für die kriminellen Cracker, die sich gerade auszutoben scheinen.

Der Gefahr von Wörterbuchattacken muss in jedem Fall begegnet werden. Die erste und wichtigste Regel lautet dabei: Sichere Passwörter verwenden!

Ein sicheres Passwort findet sich nicht in einem Wörterbuch und enthält auch Ziffern, eingestreute Großbuchstaben und Sonderzeichen, sollte sich aber dennoch leicht merken lassen. Ein alter Trick ist die Verwendung von Anfangsbuchstaben eines leicht einprägsamen Satzes wie „Du solltest dein Passwort so wählen, dass es sicher ist“ — hieraus würde „DsdPswdesi“, wenn man jeweils den Anfangsbuchstaben des Wortes nimmt. Natürlich ist auch der zweite Buchstabe geeignet, natürlich kann man auch die Wortlänge nach jedem Buchstaben schreiben und vieles mehr. Dieser Trick ist nicht der Weisheit letzter Schluss, aber er ist viel besser als der Vorname der Freundin gefolgt von ihrem Alter. Und er ist natürlich auch viel besser als ein Passwort, das so schwer zu merken ist, dass man es sich irgendwo notieren muss.

(Eine kleine Anmerkung am Rande: Ich habe vor Jahren einmal in einem größeren Unternehmen die Passwörter der Mitarbeiter auf ihre Sicherheit untersuchen müssen. Es war sehr erstaunlich, dass damals etwa fünf Prozent der Mitarbeiter das Passwort „Passwort“ verwendet haben, und diese waren fast ausschließlich Mitarbeiter, die in der betrieblichen Hierarchie recht weit oben standen. Wer nach dem Lesen dieses Textes auf die Idee kommt, jetzt für sein Blog das Passwort „DsdPswdesi“ zu verwenden, darf sich bei mir eine kostenlose Ohrfeige abholen.)

Für relativ unsicher halte ich übrigens die Passwörter, die WordPress automatisch nach der Installation für den Benutzer „admin“ vergibt. Es handelt sich einfach nur um sechsstellige Sedezimalzahlen. Davon gibt es zwar gut 16,7 Millionen, was zunächst nach „viel“ klingt. Aber ich weiß nicht, ob diese Zahlen vielleicht leicht zu erraten sein könnten, da sie eine Abhängigkeit vom Zeitpunkt der Installation enthalten. (Ich werde mir in den nächsten Tagen den WordPress-Quelltext einmal anschauen, ich weiß es im Moment wirklich nicht.) Der Zeitpunkt der Installation ist einem Angreifer mit einer Genauigkeit von ein bis zwei Sekunden bekannt, wenn der ebenfalls automatisch erstellt erste Post „Hallo Welt“ im Blog erhalten bleibt; so dass hier leicht ein Problem liegen könnte — vor allem, wenn jemand diesen „ersten Post“ nicht löscht.

Was wahrscheinlich keinen Schutz bietet

Momentan wird an verschiedenen Stellen diskutiert, ob es sinnvoll ist, die Versionsnummer der WordPress-Installation nach außen zu verbergen. Ich kann dazu nur drei Dinge zur Aufklärung sagen und jedem die Benutzung seines Gehirnes empfehlen:

Security by obscurity hat noch nie funktioniert. Die Angriffe auf meine Blogs betreffen eine ganze Bandbreite verschiedener Versionen, und ich verberge meine Versionsnummern nicht. Allein deshalb glaube ich nicht, dass diese Information von den gegenwärtigen Crack-Skripten überhaupt ausgewertet wird. Es handelt sich nicht um einen Angriff pubertierender Jugendlicher, die ihre „Kreativität“ in destruktiven Attacken verwenden, um sich daran aufzubauen. Es handelt sich um einen Angriff der Spam-Mafia. Spam ist ein Milliardengeschäft, und da draußen sind zehntausende asoziale Zeitgenossen, die alles versuchen werden, um ein paar Link- und Malwareschleudern mehr in die Welt zu setzen.

Das Verbergen der Version ist schwierig; es reicht keineswegs aus, wenn man die entsprechende Meta-Angabe im Template löscht. Die Versionsnummer findet sich zum Beispiel auch in allen RSS-Feeds. Um sie dort (und vielleicht noch an anderen Stellen, die mir gerade nicht bewusst sind) sicher zu entfernen, ohne nach jedem Upgrade in die Quelltexte des Kernsystems einzugreifen, muss man sich eines Plugins bedienen, das diese Information löscht. Das ist allerdings ein Eingriff ins System, der zum Beispiel auch den Hinweis sabotiert, dass eine neue Version von WordPress verfügbar ist. Im Falle eines aktuen Sicherheitsproblemes kann das leicht bedeuten, dass man den Hinweis auf ein erforderliches Upgrade gar nicht mitbekommt, was unter Umständen viel schlimmere Löcher aufreißt. (Wer es dennoch machen will, sollte zumindest alle zwei Tage nachschauen, ob es eine neue WordPress-Version gibt und sich nicht in falscher Sicherheit wiegen.)

Wir wissen gar nicht, ob dieses Problem an eine bestimmte Version von WordPress gebunden ist oder ob es alle derzeit erhältlichen Versionen betrifft. Die externe Sichtbarkeit der Versionsnummer ist zwar ein gewisses Problem, aber es kann völlig unbedeutend für die gegenwärtigen Attacken sein.

Was etwas mehr Schutz bietet

Nun aber ein paar praktische Tipps, wie man mit geringem Aufwand etwas mehr Schutz für sein Blog erreichen kann.

Bekannte Lücken schließen — Wer noch eine Version mit einer anfälligen xmlrpc.php hat, sollte diese Lücke unbedingt und sofort schließen.

Installationsbenutzer löschen — Bei der Installation wird ein Account mit dem Login „admin“ angelegt, der volle administrative Rechte (auch über XMLRPC) hat. Hier ist einem Angreifer immerhin schon der Login-Name bekannt, auch weiß er, wie das Passwort aufgebaut ist. Ich empfehle jedem WordPress-Blogger dringend, diesen Account nur zu einem einzigen Zweck zu verwenden, nämlich, um damit einen anderen administrativen Account anzulegen. Danach mit dem anderen Account anmelden und den Benutzer „admin“ löschen. Wenn ich ein Cracker wäre, würde ich immer eine Attacke auf diesen „admin“-Benutzer versuchen, denn ich wüsste ja, dass er fast überall existiert.

Installationspost löschen — Bei der Installation erstellt WordPress ein „Posting“ mit dem Titel „Hallo Welt“ und einen „Kommentar“ zu diesem Posting. Dieses „Posting“ sollte immer gelöscht werden, da es die Information verfügbar macht, zu welchem Zeitpunkt die Installation vorgenommen wurde. Wenn diese Uhrzeit in einige Parameter einfließt, die besser privat bleiben sollten, haben Cracker nur durch diese Uhrzeit bereits einen wertvollen Hinweis für mögliche Angriffe erfahren. Außerdem ist der automatsch erstellte Text so schön nicht.

Keine Leserregistrierung — Wer es nicht aus irgendeinem Grund tun muss, sollte keine Registrierung von Lesern ermöglichen. Ein registrierter Leser hat die Möglichkeit, sich am Blog anzumelden und im Admin-Bereich herumzuklicken, er hat damit schon eine Hürde überwunden, die einem potenziellen Cracker im Wege stehen sollte. Die Möglichkeit zum Login ist ein Privileg, sie sollte niemals leichtfertig gewährt werden. Schon gar nicht. Jedem.

Der Login ist kein Anzeigename — Bei WordPress kann man einen Anzeigename (zum Beispiel für den Autor der Blogeinträge) verwenden, der frei gewählt ist. Es macht Angreifern das Leben leichter, wenn der Login-Name offen sichtbar angezeigt wird, sie müssen dann nur noch das Passwort rauskriegen. Wer besonders sicher sein will, wählt seinen Login-Namen ähnlich kryptisch wie das zugehörige Passwort. Das macht eine Wörterbuch-Attacke sehr schwierig und gibt zusätzliche Sicherheit gegen diese Art von Angriffen. Wer einen „guten“ Login-Namen verwenden will, sollte sich darüber bewusst sein, dass sich zwar der Login-Name nicht ändern lässt, dass es aber sehr leicht möglich ist, einen neuen Benutzer anzulegen. Wenn der alte Benutzer gelöscht wird, fragt WordPress nach, an welchen Benutzer die Artikel übertragen werden sollen. Hier einfach den neuen auswählen, und es sollte keine Probleme geben.

Kein überflüssiges Plugin verwenden — Jedes Plugin ist Code, der innerhalb des Blogsystemes auf dem Server ausgeführt wird. Während das Kernsystem von WordPress noch von einer größeren Anzahl Menschen auf gewisse Probleme durchgesehen wird, ist die Sicherheit eines Plugins eher eine Glückssache. Wer den Quelltext nicht lesen kann, ist auf sein Vertrauen gegenüber dem Programmierer des Plugins zurückgeworfen. Ein ganz kurzer Tipp: Jedes Plugin, dass direkt auf die Datenbank zugreift, kann bei schäbiger Programmierung von einem Angreifer aus dem Internet dazu missbraucht werden, in der Datenbank und damit auch in den Bloginhalten herumzupfuschen. Solche direkten Zugriffe können im Quelltext an den SQL-Schlüsselwörtern SELECT, INSERT, UPDATE oder DELETE erkannt werden; und jeder Editor hat eine Suchfunktion. Natürlich braucht es viel mehr Kenntnisse, um eine angreifbare Programmierung zu erkennen, aber dieser einfache Tipp kann helfen, die meisten „harmlosen“ Plugins sicher daran zu erkennen, dass nicht direkt auf die Datenbank zugegriffen wird. Aber Vorsicht! Es gibt noch eine ganze Reihe weiterer Programmiertechniken, die in einer Webanwendung sehr gefährlich sind und die sich nicht so leicht erkennen lassen. Wer auf der sicheren Seite sein will, vermeidet jedes unnötige Plugin. (Nötig ist zum Beispiel ein guter und wirksamer Spamschutz, den sollte man auf keinen Fall vermeiden.)

Backups — Angesichts der Angriffe, die den Inhalt eines Blogs zerstören können, ist zurzeit nichts so wichtig wie eine tägliche Sicherung der Daten. Ob man hierzu einen Dump der Datenbank anlegt oder ob man sich der Export-Funktion von WordPress bedient, ist zweitrangig: Hauptsache, man kann ein von kriminellen Crackern zerstörtes Blog mit möglichst geringer Mühe wiederherstellen. Da die Zerstörung offenbar auch schleichend verlaufen kann, sollten die Backups zwei Monate aufgehoben werden. Wer kann, sollte den Vorgang der Backup-Erstellung automatisieren. Aber nicht, ohne sich regelmäßig zu überzeugen, dass der automatische Vorgang auch wie geplant abläuft. Wenn sich jemand im Katastrofenfall über sein Backup freut und einen Null Byte großen Datenbankdump vorfindet, ist das eine Situation, die auch der friedlichsten Seele wenig druckreife Worte entlockt.

Mit sauberem Rechner bloggen — Die besten Schutzmaßnahmen im Blog nützen nichts, wenn der Arbeitsrechner, an dem man bloggt, mit Malware verseucht und deshalb für kriminelle Cracker offen wie ein Scheunentor ist. Wenn Passwörter aller Art mitgeloggt und unauffällig im Hintergrund an die Spam-Mafia versendet werden, denn kann man genau so gut jedem Verbrecher dieser Welt volle Schreibrechte in seiner persönlichen Website geben. Wer völlig sicher gehen will, verwendet zum Bloggen ein Betriebssystem, das nicht anfällig ist. Alle Programme zum „Virenschutz“ taugen nicht viel, da sie den aktuellen Schadprogrammen um einige Tage hinterherhinken — und schon ein einziger Tag mit mitgelesenen Passwörtern vom eigenen Blog, von Mailkonto, vom eBay-Account und anderen Webdiensten kann großen Schaden anrichten und einem richtig die gute Laune versauen. Tatsächlich können Programme zum „Virenschutz“ sogar gefährlich sein, da sie ihre Anwender in falsche Sicherheit wiegen. Die Tatsache, dass die meisten Angriffe auf Windows-Rechner ausgerichtet sind, sollte jeden darüber nachdenken lassen, ob Windows ein gutes System zur Nutzung empfindlicher Webdienste ist. Im jedem Fall ist ein Knoppix schnell von CD gebootet (dieses Medium verhindert auch die Manipulation des Betriebssystemes durch Kriminelle) und schon ein deutlicher Zugewinn an Sicherheit.

WordPress und die Sicherheit

Am letzten Punkt wird schon deutlich, dass es noch nicht einmal sicher ist, dass wir es bei den gegenwärtig erfolgreichen Attacken mit einem Problem in WordPress zu tun haben. Letztlich kann ein gecracktes Blog viele Ursachen haben.

Dass sich die Aufmerksamkeit dennoch vor allem auf WordPress als mögliche Ursache richtet, hat seine Ursache in den vielen Unstimmigkeiten dieses Blogsystemes, die WordPress immer wieder auf wenig vorteilhafte Weise ins Gerede bringen. Man kann schnell auf die Idee kommen, dass in der gegenwärtigen WordPress-Entwicklung völlig falsche Schwerpunkte gesetzt werden.

Die größte Stärke von WordPress, die konsistente und leicht verständliche Benutzerführung, wird ohne Not aufgegeben. Zudem wurden gerade in letzter Zeit immer wieder Versionen herausgegeben, die sogar ärgerliche Fehler bei den Grundfunktionen hatten (etwa beim Versenden administrativer Mails oder im Editor für Beiträge), was denn für die Version 2.3 auch noch um ein „Feature“ ergänzt wurde, welches ein völlig unnötiges Datenschutzproblem in WordPress einführte. Zu allem Überfluss haben sich die WordPress-Entwickler freiwillig unter einen unangemessenen Zeit- und Projektdruck gesetzt, anstatt dass sie einfach dann die neue Version veröffentlichen, wenn sie fertig ist. Unter Zeitdruck und dem damit verbundenen Stress hat noch niemals ein Mensch bessere Arbeit geleistet. Immerhin wird jetzt auch bei WordPress „endlich“ der „Standard“ befolgt, dass Termine nicht eingehalten werden können. Als ob. Man keine anderen Probleme hätte.

Als wenn das alles noch nicht schlimm genug wäre, hat WordPress auch eine gewisse Sicherheits-Geschichte; es gab immer wieder schwere Lücken. Diese hatten übrigens fast alle ihre Ursache in einer frühen Entscheidung zum Thema, wie man auf die Datenbank zugreifen will. Die Filterung von Benutzereingaben (und solche kann bei einer Webanwendung jeder Mensch im Internet machen) wird nicht zentral an einer Stelle vorgenommen, sondern stets jeweils dort im Code, wo die Eingaben verarbeitet werden — dabei wurden auch immer wieder einmal schwere Fehler verbaut. Oft wird davon gesprochen, dass WordPress bereits in seinem Design (solche Entscheidungen bei Software werden als „Design“ bezeichnet) unsicher sei.

Da ist es gar kein Wunder, dass sich der Verdacht auf eine Schwäche in WordPress richtet, wenn etliche WordPress-Blogs von Spammern gecrackt und zu Litfaßsäulen für kriminelle Angebote gemacht werden:

Da scheinen etliche WP-Versionen von diesen Hacks betroffen zu sein, es wird Zeit das sich das mal jemand näher anschaut. Langsam wird es nämlich unheimlich.

Inzwischen ist der Ruf von WordPress derart ramponiert, dass vereinzelt sogar Blogs völlig aufgegeben werden, wie etwa fridaynite.de:

Für gestern war ja der verschobene Termin für WordPress 2.5 angekündigt. Geschehen ist nichts. Ich hab mich vorhin allerdings gerade mal im Bugtracking System umgesehen. Da sind noch 3-400 Bugs zu finden. Ich frage mich jetzt natürlich:

Warum gibt es bei einer Software, die seit 5 Jahren entwickelt wird noch immer so viele Schwachstellen? Muss man immer auf Teufel komm raus neue Features, egal ob sinnvoll oder nicht, mit Gewalt irgendwo einbauen? Wäre es nicht wirklich sinnvoll, die Software einfach nur mal SICHER zu machen?

Warum ich das schreibe? Weil mir vor 3 Tagen ein kompletter Server gehackt wurde über ein Leck in einer WordPressinstallation. […]

Mein Entschluss steht jetzt fest: Dieser Blog wird zu gemacht.

Die Leute, die im Moment die strategischen Entscheidungen für die weitere Entwicklung von WordPress treffen und die von allen guten Geistern verlassen zu sein scheinen, sollten sich vielleicht wieder auf das besinnen, was WordPress einst stark und so überaus beliebt gemacht hat: Eine klare Benutzerführung, ein relativ minimales Grundsystem und eine einigermaßen ausgereifte Software, die für Menschen geeignet ist, die „einfach nur bloggen“ wollen. Denn ein Blog ist etwas für Menschen, es ist kein technischer Selbstzweck. Alles, was über diesen Kern hinaus geht, gehört meines Erachtens in Plugins.

Wer zu den gar nicht so wenigen Menschen gehört, die schon einmal nach einem Upgrade eine zerstörte Datenbank und deshalb einen Haufen Arbeit mit gleichermaßen aufgeblähter wie unreifer Software hatten, der weiß, dass diese Zeiten vorbei sind.