Externes Projekt Schule-fuers-Leben.de

Externes Projekt Schule-fuers-Leben.deHeute ist ein neues Webprojekt online gegangen: Schule-fuers-Leben.de, die Website zur Bildungsinitiative der FDP-Fraktion im Thüringer Landtag.

Neben Großflächenplakaten und Pressekampagnen wurde hierfür auch eine Website benötigt. Diese sollte schnell umgesetzt werden, einfach zu bedienen sein und vor allem ein Responsive Design besitzen, damit auch mobile User speziell angesprochen werden können.

Als Basis habe ich daher WordPress genutzt, da es eine gute Akzeptanz besitzt und eine Vielzahl von hervorragenden Plugins genutzt werden können. Aufgrund der Kürze der zur Verfügung stehenden Zeit habe ich kein komplett neues Design entwickelt sondern habe auf die qualitativ hervorragende Theme Choice zurück gegriffen. Durch die umfangreichen Theme-Optionen war es möglich, die Theme an die Layoutvorlagen der Printkampagnen anzupassen.

Torchwood Miracle Day: Event-Wochenende ab dem 17.08.2012

Nachdem die ersten drei Staffeln des erfolgreichen Dr. Who-Spin-offs Torchwood bei RTL II mit 7,9 % Marktanteil überdurchschnittliche Zuschauerzahlen erreichten, werden die 10 Folgen der vierten Staffel Torchwood: Miracle Day als Eventprogramm am Wochenende vom 17.08.-19.08.2012 gezeigt werden und nicht auf mehrere Wochen verteilt werden.

Aufgrund der Zusammenarbeit zwischen der BBC und dem amerikanischen Sender Starz wurde diesmal nicht nur in Wales gedreht, sondern auch in den USA und an weiteren Schauplätzen auf der ganzen Welt. Ausserdem konnten für die neuen Folgen auch US-Stars wie Bill Pullman (Independence Day) und Mekhi Phifer (Emergency Room) gewonnen werden. Eingefleischten Fans wird das nicht unbedingt gefallen, sorgt aber für einige Überraschungen.

Zum Inhalt: Zwei Jahre sind vergangen, seit Torchwood aufgelöst wurde. Captain Jack Harkness ist verschwunden, Gwen lebt mit ihrem Mann Rhys im Verborgenen. Doch dann stirbt urplötzlich auf der ganzen Welt niemand mehr, trotz Unfällen und Krankheiten. Auch Oswald Danes (Bill Pullman), ein verurteilter Pädophiler und Kindermörder, der durch die Giftspritze sterben sollte, überlebt und muss freigelassen werden. Dieses Phänomen, der Miracle Day, wiederholt sich Tag für Tag, so dass sich die die Weltbevölkerung innerhalb kürzester Zeit drastisch vermehrt. Die Rohstoffe werden knapp, die Regierungen der Welt sind überfordert. Handelt es sich um zufällige natürlichen Ereignisse oder steckt jemand / etwas dahinter? Gemeinsam mit den beiden Überlebenden des Torchwood-Teams macht sich der CIA-Agent Rex Matheson (Mekhi Phifer) an die Aufklärung der mysteriösen Begebenheiten.

Hier der jüngste RTL II-Trailer zu Torchwood – Miracle Day:

TimThumb: Potentielle Sicherheitslücke in einigen WordPress-Themes

TimThumb: Potentielle Sicherheitslücke in einigen WordPress-ThemesDa spielt man regelmäßig die Updates von WordPress und den Plugins ein, um ja keine Sicherheitslücken offen zu haben, und trotzdem hat mich diese Woche mein Provider darauf aufmerksam gemacht, dass bei einem meiner Web-Projekte ein Malware-Schädling aufgetreten ist. Anhand der Log-Files konnte ich dann auch schnell den Übeltäter identifizieren und war etwas überrascht. Die Sicherheitslücke verursachte weder der Core-Part von WordPress noch irgendein Plugin, nein, der Übeltäter ist war ein kleines, aber feines Tool namens TimThumb, welches Bestandteil der in dem Projekt genutzten Theme ist.

Dieses PHP-Script kann Bilder auf beliebige Grössen zuschneiden und wählt dabei den bestmöglichen Ausschnitt. TimThumb wird vielen kostenlosen wie -pflichtigen Plugins und Themes verwendet, da es für die Entwickler einen geringeren Arbeitsaufwand bedeutet. Nur leider exisitiert in älteren Versionen dieses eigentlich sinnvollen Scripts eine Sicherheitslücke, mit der beliebige PHP-Dateien in dessen Cache-Verzeichnis eingeschleust und ausgeführt werden können. Und da dieses Script nicht automatisch durch WordPress auf eine notwendige Aktualisierung überprüft werden kann, fällt diese Sicherheitslücke meistens erst auf, wenn es zu spät ist!

Was kann resp. muss man nun also machen? Wenn man das Script nicht durch eine neuere Version ersetzen will, sollte man einfach die folgende Zeile suchen:

$allowedSites = array (
'flickr.com',
'picasa.com',
'blogger.com',
'wordpress.com',
'img.youtube.com',
);
und ersetzen mit

$allowedSites = array ();

Sinnvoller ist es aber natürlich, sich die neueste Version von TimThumb herunterzuladen und auf den Server zu spielen! Das habe ich gemacht und parallel dazu das WordPress Plugin Timthumb Vulnerability Scanner installiert. Mittels dieses Plugin können alle veralteten TimThumb Skripte angezeigt und automatisch auf den neuesten Stand gebracht werden. Und natürlich habe ich den Aufruf von Dateien auf externen Seiten komplett deaktiviert. Damit kann dieses Schlupfloch gar nicht mehr genutzt werden!

Auch wenn diese TimThumb-Sicherheitslücke nun bereits seit fast genau einem Jahr bekannt ist, hatte ich bisher davon nichts gelesen. Daher poste ich diesen Artikel heute, um eventuell anderen WordPress-Nutzern eine Hilfestellung zu geben resp. für dieses Thema zu sensibilisieren.