wp-contactform wurde für spam missbraucht

... heute hab ich von meinem hoster die nachricht erhalten, dass mein kontaktformular (hier handelte es sich um wp-contactform version 1.0) für spam-mails missbraucht worden ist.

ich persönlich hab nur ein paar komische mails mit meinem eigenen absender erhalten, aber insgesamt muss wohl ein ziemlicher haufen spam über mich verschickt worden sein.

ob die version 1.2 vor so etwas sicher ist, weiß ich nicht - die scheint mir ein wenig ausgereifter zu sein (inkl. nachprüfen, ob die angegebene mail-adresse gültig ist) --- aber ich hab datt janze jetzt vorsichtshalber erst einmal komplett vom server gelöscht.

hat jemand schon mal ein ähnliches problem gehabt? oder kann jemand sagen, ob die 1.2er-version vor missbrauch geschützt ist?

.
.
.

wie dem auch sei: da ich schon ganz gern ein kontaktformular haben möchte, werde ich (wahrscheinlich erst morgen) einen kleinen "umweg" zurechtbasteln: ich benutze einfach das rumwall-gästebuch - und lasse GB-einträge nicht ausgeben. oder nur dann ausgeben, wenn man als administrator eingelogged ist...

und dann mal ausprobieren, ob man das rumwall-plugin auch zwei mal installieren kann, so dass das gästebuch weiterhin benutzbar bleibt ...

 

aaaalso:

das rumwall-gästebuch so umzubauen, dass es aussieht, wie ein "normales kontaktformular" ist nicht weiter schwierig.

den inhalt des gästebuches überhaupt nicht anzuzeigen, ist auch kein problem. kann man sich ja auch im admin-bereich angucken.

wäre nur schöner, wenn man das gleich "vorne" schon sehen würde. und dazu hab ich schon etwas gefunden:

if (is_admin()) { blablabla } klappt irgendwie nicht. man muss sich die funktion nochmal neu basteln.

Code:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

und dann kann man weitermachen mit

Code:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

rumwall zwei mal installieren - ich glaub, das ist ein bisschen eine größere aktion. mal sehen - vielleicht kann man ja eine statische seite mit kommentar-funktion versehen und so umbauen, dass sie wie ein kontaktformular aussieht..? könnte leichter zu realisieren sein...

allerdings - es könnte mich ein bisschen kaffee sparen, wenn jemand genaueres in sachen spam-missbrauch über die 1.2er-version von wp-contactform wüsste.

im englischen forum hab ich dazu nichts gefunden ...

allerdings einen chip-artikel über die technik, mit der kontaktformulare missbraucht werden können.

http://www.screamdesign.de/content/startseite/chip_pcsicherheit.pdf

könnt ihr damit etwas anfangen? ich nicht so ganz ...

 

sind denn diese missbrauchsmöglichkeiten bei der version 1.2 ausgeschlossen?

.
.
.

wie dem auch sei - ich hab bis jetzt folgendes gemacht [änderungen noch nicht live]:

1) eine statische seite angelegt (sagen wir mal ID=xy)
2) die comments.php so umgeschrieben, dass bei anzeige der statischen seite mit der ID xy die bislang abgegebenen kommentare nur dann ausgegeben werden, wenn man als administrator eingelogged ist

damit ist eigentlich alles soweit geregelt. statt dass man mails bekommt, kann man sich die kommentare auf seiner neuen kontakt-seite oder im admin-bereich angucken.

die sache hat nur ein paar schönheitsfehler, die ich (noch) nicht wegbekommen hab:

a) wenn man nicht alle erforderlichen felder ausgefüllt hat, erscheint die fehlermeldung auf einer weißen, sonst leeren seite.
b) und es kommt keine bestätigung, wenn man eine nachricht erfolgreich eingegeben hat.

hat jemand ideen dazu?

 

... aber die 1.0 hat sich den empfänger doch auch aus den optionen geholt?

aber anscheinend konnte man diesen ja doch irgendwie verändern. was genau macht denn das 1.2er gegenüber dem 1.0er in der hinsicht sicher(er)? so ganz verstehe ich das nicht ...

ansonsten werd ich mir wohl durch eine etwas aufgebohrte comments.php helfen müssen - nur oben genannte "schönheitsfehler" (also keine bestätigung etc.) stören mich.

könnte da ein plug-in helfen? ich denke da an solche kommentar-vorschau-geschichten.

 

vielen dank.



ich hoffe, du hast recht ... aber bevor mir so etwas noch einmal passiert, würde ich lieber doch auf die version mit den kommentaren ausweichen.

jetzt nur mal gucken, ob ich das mit der bestätigung irgendwie hinkriege...

 

genau die version hab ich ja auch benutzt.
ich hab nur in der "wp-contactform.php" ein paar sachen abgewandelt, um das formular gestalterisch ein wenig umzubauen.

http://www.gunnart.de/archiv/wp-contactform_alt2.zip

[bei der 1.0er gehört die "options-contactform.php" übrigens in den ordner wp-admin]

 

... dann sollte man diesem thema vielleicht das etikett "wichtig!" verpassen, damit alle gewarnt sind?

 

jo - das gleiche hab ich auch gemacht - und erst danach gesehen, dass er augenscheinlich schon von der problematik weiß.

http://ryanduff.net/archives/2005/05/16/contact-form-spam/

hoffen wir mal, dass er nicht total bombardiert wird.



ob das, was er indirekt vorschlägt, eine taugliche lösung ist? mit "bad behavior" die spammer im vorfeld schon zu blocken? hört sich vom prinzip her ja ganz vernünftig an...

 

... hab mich jetzt mal durch etliche seiten durchgewühlt ...

also, wenn ich das alles richtig verstehe, wird so ein kontaktformular in der weise angegriffen, dass in ein oder mehrere eingabefelder zusätzlich "\r" und "\n" eingegeben werden - so dass die strings, die festlegen, wohin die mail geschickt werden soll und von wem sie kommt, "überschrieben" werden ...?

http://www.anders.com/projects/sysadmin/formPostHijacking/

dann sollte ja der weg eigentlich funktionieren, alle eingaben auf diese zeichenketten hin zu durchsuchen und sie zu entfernen.