Vor ca. zwei Wochen machte mich ein Blogleser darauf aufmerksam, dass mein Blog spamverseucht sei (vgl. vorherigen Post). Inzwischen wird das Thema in der Blogosphäre heiß diskutiert (vgl. z.B. Basic Thinking, PHP Performance, Tom’s Diner und Webrocker). Über Webrocker bin ich auf einen sehr lesenswerten Artikel auf spam.weltretter.de gestoßen.

Daraus geht hervor, dass die Spam-Angriffe auch bei aktuellen WordPress-Versionen vorkommen. Diese Aussage hat mich einerseits in meiner Faulheit, immer noch nicht auf WP 2.3 upgedated zu haben, bestärkt, andererseits zu einer neuen Arbeitshypothese gebracht:

Was, wenn das Sicherheitsleck nicht direkt bei WordPress zu suchen ist, sondern beim verwendeten Browser?

Aufgrund dieser Hypothese habe ich folgende Schritte eingeleitet:

  • Ich verwende Firefox für Mac (aktuell Version 2.00.12). Beim WP-Admin-Login hatte ich bisher das Passwort in Firefox gespeichert. Diese Funktion habe ich bei Einstellungen > Sicherheit abgestellt.
  • Sodann habe ich mein Administrator-Passwort für WordPress geändert. Es enthält nun sowohl Groß- als auch Kleinbuchstaben, außerdem Ziffern und Sonderzeichen, ist also als relativ sicher einzustufen.

Dieses Prozedere habe ich vor etwa vier Stunden eingeleitet. Seither ist Ruhe im Karton. Gut, vier Stunden ist noch kein sehr repräsentativer Zeitraum. Aber bisher war bereits ca. zwei Stunden nach dem Entfernen des Spams aus dem Post wieder neuer Spam vorhanden.

Daher möchte ich diesen Lösungsansatz hiermit der Öffentlichkeit vorstellen und ihn diskutiert wissen.