wp-contactform wurde für spam missbraucht

[pufaxx]

... heute hab ich von meinem hoster die nachricht erhalten, dass mein kontaktformular (hier handelte es sich um wp-contactform version 1.0) für spam-mails missbraucht worden ist.

ich persönlich hab nur ein paar komische mails mit meinem eigenen absender erhalten, aber insgesamt muss wohl ein ziemlicher haufen spam über mich verschickt worden sein.

ob die version 1.2 vor so etwas sicher ist, weiß ich nicht - die scheint mir ein wenig ausgereifter zu sein (inkl. nachprüfen, ob die angegebene mail-adresse gültig ist) --- aber ich hab datt janze jetzt vorsichtshalber erst einmal komplett vom server gelöscht.

hat jemand schon mal ein ähnliches problem gehabt? oder kann jemand sagen, ob die 1.2er-version vor missbrauch geschützt ist?

.
.
.

wie dem auch sei: da ich schon ganz gern ein kontaktformular haben möchte, werde ich (wahrscheinlich erst morgen) einen kleinen "umweg" zurechtbasteln: ich benutze einfach das rumwall-gästebuch - und lasse GB-einträge nicht ausgeben. oder nur dann ausgeben, wenn man als administrator eingelogged ist...

und dann mal ausprobieren, ob man das rumwall-plugin auch zwei mal installieren kann, so dass das gästebuch weiterhin benutzbar bleibt ...

[Markus Pezold]

Hallo Pufaxx,

ich habe mit der Version 1.0 auch die selben Probleme. Hatte glaub ich hier auch schon mal darauf hingewiesen. Leider hat bei mir dann die Version 1.2 gar nicht mehr funktioniert... muss wohl ein Konflikt mit einem anderen Plugin vorliegen.

Wenn du etwas zusammen gebastelt hast, würde mich die Lösung auch interessieren. Besten Dank schon mal.

Markus Pezold
Redaktion Mysteria3000
http://www.mysteria3000.de

[pufaxx]

aaaalso:

das rumwall-gästebuch so umzubauen, dass es aussieht, wie ein "normales kontaktformular" ist nicht weiter schwierig.

den inhalt des gästebuches überhaupt nicht anzuzeigen, ist auch kein problem. kann man sich ja auch im admin-bereich angucken.

wäre nur schöner, wenn man das gleich "vorne" schon sehen würde. und dazu hab ich schon etwas gefunden:

if (is_admin()) { blablabla } klappt irgendwie nicht. man muss sich die funktion nochmal neu basteln.

Code:

<?php function is_meinblogadmin () 
	{
	global $user_level, $siteurl;
	get_currentuserinfo();
	if ($user_level >= 1) 
		{ // admins, plus site op
		return true;
		} 
	else 
		{
		return false;
		}
	}
?>

und dann kann man weitermachen mit

Code:

<?php if (is_meinblogadmin()) { ?>
	<div id="rumpages">
	.
	.
	.
	.
	</div>
<?php } ?>

rumwall zwei mal installieren - ich glaub, das ist ein bisschen eine größere aktion. mal sehen - vielleicht kann man ja eine statische seite mit kommentar-funktion versehen und so umbauen, dass sie wie ein kontaktformular aussieht..? könnte leichter zu realisieren sein...

allerdings - es könnte mich ein bisschen kaffee sparen, wenn jemand genaueres in sachen spam-missbrauch über die 1.2er-version von wp-contactform wüsste.

im englischen forum hab ich dazu nichts gefunden ...

allerdings einen chip-artikel über die technik, mit der kontaktformulare missbraucht werden können.

http://www.screamdesign.de/content/s...sicherheit.pdf

könnt ihr damit etwas anfangen? ich nicht so ganz ...

[alternative4]

das ist der grund, warum man grundsätzlich auf kontaktformulare verzichten sollte.

ich wüsste auch keinen grund ein solches zu verwenden.

[Olaf]

Mein Tipp: PHPFormMail
http://www.boaddrink.com/projects/phpformmail/

[\0]

Zitat:

Zitat von alternative4

das ist der grund, warum man grundsätzlich auf kontaktformulare verzichten sollte.

Das sehe ich nicht so. Jeder der ein Formular hat, wo der Empfänger im Quellcode steht und änderbar ist kann froh sein das es ihn nicht erwischt. Trotzdem verzichte ich nicht auf Kontaktformulare, da ich selbst weiss wie sehr so ein Formular Zeit spart.

[Olaf]

Bei PHPFormMail steht der Empfänger nicht im Quelltext und die Domain, auf der das Script genutzt werden soll, muss angegeben werden. Missbrauch kann so weitestgehend ausgeschlossen werden...

[pufaxx]

sind denn diese missbrauchsmöglichkeiten bei der version 1.2 ausgeschlossen?

.
.
.

wie dem auch sei - ich hab bis jetzt folgendes gemacht [änderungen noch nicht live]:

1) eine statische seite angelegt (sagen wir mal ID=xy)
2) die comments.php so umgeschrieben, dass bei anzeige der statischen seite mit der ID xy die bislang abgegebenen kommentare nur dann ausgegeben werden, wenn man als administrator eingelogged ist

damit ist eigentlich alles soweit geregelt. statt dass man mails bekommt, kann man sich die kommentare auf seiner neuen kontakt-seite oder im admin-bereich angucken.

die sache hat nur ein paar schönheitsfehler, die ich (noch) nicht wegbekommen hab:

a) wenn man nicht alle erforderlichen felder ausgefüllt hat, erscheint die fehlermeldung auf einer weißen, sonst leeren seite.
b) und es kommt keine bestätigung, wenn man eine nachricht erfolgreich eingegeben hat.

hat jemand ideen dazu?

[\0]

Zitat:

Zitat von pufaxx

sind denn diese missbrauchsmöglichkeiten bei der version 1.2 ausgeschlossen?

Die Version 1.2 des WP-ContactForm holt sich den Empfänger aus den Optionen. Es ist nicht mehr möglich diesen über das Formular zu ändern. Schönes Plugin muss ich sagen.

@Olaf: gibt es für das PHPFormMail auch ein Wordpressplugin?

[pufaxx]

... aber die 1.0 hat sich den empfänger doch auch aus den optionen geholt?

aber anscheinend konnte man diesen ja doch irgendwie verändern. was genau macht denn das 1.2er gegenüber dem 1.0er in der hinsicht sicher(er)? so ganz verstehe ich das nicht ...

ansonsten werd ich mir wohl durch eine etwas aufgebohrte comments.php helfen müssen - nur oben genannte "schönheitsfehler" (also keine bestätigung etc.) stören mich.

könnte da ein plug-in helfen? ich denke da an solche kommentar-vorschau-geschichten.