Kommentare trotz Deaktivierung, Kommentar Menü verschwunden

Hallo!

Wir lassen in keiner unserer Sites Kommentare zu, deswegen ist auch:

• die Option „Erlaube Besuchern, neue Beiträge zu kommentieren“ deaktiviert
• die Option „Benutzer müssen zum Kommentieren registriert und angemeldet sein“ aktiv
• Die komplette Kommentarsektion seit Jahren mittels CSS ausgeblendet
• comments_template(); aus der single.php der Themes entfernt
• XML-RPC ist per Konfig aus
• Alle (etwaigen) Kommentare Optionen eines Themes deaktiviert
• UPDATE wp_posts SET comment_status = 'closed' in der DB ausgeführt

Dennoch kommen Spam Kommentare durch.
Der Hoster meinte, da hilft nur mehr, den Zugriff auf die “wp-comments-post.php” serverseitig zu sperren.
Ok, das klappt sicher - aber die Frage bleibt, wie das überhaupt in die Kommentare geschrieben wird, wenn so vieles gesperrt und deaktiviert ist?
Das jemand auf die besagte Datei “wp-comments-post.php” zugreift, ok, kann vorkommen. Nur sollte dies allein nichts auslösen, oder?

Frage 2:
Bei einer unserer Sites (wo eben auch so ein unerwünschter Kommentar einlange), gibt es nicht einmal einen Menüpunkt “Kommentare”. Wo könnte der hin verschwunden sein? Ich habe nichts wissentlich unternommen, was einen Admin-Menü-Eintrag versteckt.
So kommt man nicht einmal an die Liste der Kommentare. (man müsste immer wp-admin/edit-comments.php manuell eintippen …)

Benutzer müssen zum Kommentieren registriert und angemeldet sein

Wenn das hier aktiviert ist können ganz einfach keine Kommentare gepostet werden da es ein login erfordert.
Es it unmöglich daran vorbei zu kommen.
Das heisst diese Kommentare kommen von jemandem der ein user auf der seite ist.

Was Du zusätzlich noch aktivieren kannst, währe Comment author must fill out name and email
Das ist zwar nicht notwendig wenn Du den Kommentar bereich eh abschaltest, aber vielleicht ist in dem einen oder anderen post das Kommentieren noch erlaubt, aus was für gründen auch immer…

Das menu /kommentare könnte verschwunden sein weil das template aus dem theme entfernt wurde, da bin ich mir aber nicht 100% sicher.
Ich bin mir jedoch 100% sicher dass wenn “>Benutzer müssen zum Kommentieren registriert und angemeldet sein” aktiv ist, dann ganz simple keine Kommentare ohne login erfolgen können, ob da nun jemand auf das file direkt zugreift oder nicht, kommt nicht drauf an,

Das dachten wir auch. Das meinen auch die beiden Hoster und andere Leute, die sich mit WP/CP auskennen.

Also "Benutzer müssen zum Kommentieren Name und E-Mail-Adresse angeben" ist auch angehakt. Sicher ist sicher, auch wenn es eigentlich unnötig sein sollte.

Sollte nicht sein, wenn ich UPDATE wp_posts SET comment_status = 'closed' absetze, dann sollten ALLE Beiträge fürs kommentieren geschlossen sein. (Sind sie auch!)
Und die Spam-Kommentare kommen teilweise sogar auf Beiträge, wo allein aufgrund des Alters des Beitrages alle Kommentarfunktionen geschlossen sein sind… Also selbst dann, wenn alles aktiviert wäre, sollte da kein Kommentar abgegeben werden können. Werden sie aber…

Logisch. Dennoch kommen die Spammer durch…

Das wäre dann eine Katastrophe, denn das würde bedeuten, es gibt versteckte Benutzer! Denn wenn es zu 150% keiner der angemeldeten Betreiber war, wer dann?

PS: Das passiert auf WordPress und ClassicPress Sites. Die alle natürlich aktuell sind, ebenso wie Plugins, Themes immer aktuell sind.

Es gibt leider meines Wissens nach keine andere Möglichkeit als dass da jemand der bereits Eintritt hat diese Kommentare postet.

Wo landen die eigentlich? In der Warteschleife? Im Spam? Oder gleich publiziert?
Das könnte noch ein bisschen Licht ins problem geben.

Ansonsten würde ich mal ein purge machen,

• Alle Users “überall ausloggen”
• sicherstellen dass da keine Plugins oder andere Features aktiviert sind die irgendwie comments zulassen per Drittanbieter, email oder was weiss ich (ping backs inklusive)
• alle User löschen, screening - evtl. neu aufsetzen wenn 100% getraut (inkl den admin account) abwarten, sehen ob’s nützt.
• sowas wie wordfence installieren und/oder ein screening der WP/CP files machen um sicherzustellen dass keine bogus Inhalte auf dem Server zu finden sind

Eh in der “Warteschleife”. Also es kommt auch brav das Mail " Bitte moderiere: „ …". Ja, die Spammer füllen sogar Namen und Mailaddy aus… (bringt zwar nichts, aber die Erkenntnis, dass wenigstens diese Abfragen funktionieren)

Ok,

Ok, glaube zwar nicht, dass wir irgendwo so eins aktiv haben, doch ich schau mir das näher an

Admin bin überall nur ich;
alle anderen User löschen ginge auch, es sind überall nur ein paar Redakteure, bzw. der Betreiber selbst (auch nur Redakteur).

Das ist ein Problem, ich habe mit solchen all-in-one Sicherheitslösungen bisher keine guten Erfahrungen gemacht. ZB. mit der Ninja-FW und ähnlichen Tools.
Wordfence, teste ich dann mal auf einer der Staging Sites.

Da mache ich lieber eine komplette clean Neuinstallation, dann sind zumindest die WP/CP Dateien sauber. wp-content ist halt immer ein Unsicherheitsfaktor, da kann sich einiges verstecken und man kann nicht alles einfach löschen.

Ich habe aber sofort nach dem ersten dieser Kommentare alle Sites gescheckt (zb. ob eben fremde User drin sind, usw.), einige Online-Scanner drüberlaufen lassen und die Hoster untersuchten auch auf etwaige Auffälligkeiten. Auch in den Logs fanden nichts, was auf einen Hack oder so deuten könnte.

Es ist nur dieses seltsame durchschleusen der Kommentare, nicht mehr, nicht weniger. Die richten keinen Schaden an, aber interessant wäre schon, wie die durchkommen …

Danke!

Um die files zu “erfrischen” (ausser dem wp-content natürlich) kannst du auch dashboard > updates > WordPress/ClassicPress “neu” installieren

Das überschreibt dann existierende files.

Komisch Sache das ist… um es mit Yoda Grammatik auszudrücken

Ich stimme zu, dass wahrscheinlich ein betrügerisches Plugin schuld ist. Ich stimme auch All-in-One-Lösungen zu.

Wenn du das Plugin nicht identifizieren könst, würde ich vorschlagen, WPBruiser zu verwenden: WPBruiser {no- Captcha anti-Spam} – WordPress plugin | WordPress.org

Die neuesten, schlechten Bewertungen stammen von Leuten, die WP verwenden. Auf CP funktioniert es weiterhin sehr gut für mich.

Ähm, da hab ich andere Ansichten, bzw. Erfahrungen, auch von Kollegen. Es kann vorkommen, das manche Server nicht immer überschreiben, sondern überspringen. (Selbst wenn man Dateien manuell darüber kopiert) Daher lösche ich lieber alles und installiere neu.

Möglich. Doch es tritt auf völlig unterschiedlich konfigurierten Sites auf.
Eine große WP Mediensite mit 25 Plugins auf Nginx;
Eine winzige CP Site mit 3 Plugins auf Apache; …
usw.
Bei keiner der kleineren Sites laufen idente Plugins, Themes usw.
Ich glaube eher an einen bisher unentdeckten Fehler in WP, welcher seit den 4.x besteht …

? Das sie okay sind, oder wie ich meine trügerische Sicherheit geben?
Oder das sie gar verboten gehören, wie diese Ninja-Firewall?

Ein Antispam Plugin ist zu überlegen. Dachte als erstes an Spam-Bee oder wie das heißt.
WPBruiser scheint ein bissl alt …

Dass sie ein falsches Sicherheitsgefühl vermitteln. Die meisten sind nur gut darin, Probleme öffentlich zu machen, ohne sie tatsächlich zu verhindern. Was die jeweilige Lösung betrifft, so ist jedes Plugin, das für Sie funktioniert, eine gute Lösung.

Mir war jedoch nicht klar, dass das von deinen gemeldete Problem auf mehreren Websites auftritt. Das deutet darauf hin, dass der Fehler bei deinem Host liegt.

Es sind mehrere verschiedene Hoster, wo “meine” (die von mir betreuten) Sites sind.

Und auf 2 Hostern kommen diese Kommentare. Also wäre es ein komischer Zufall, das bei einen bekannten DE-Hoster (ne, eh nicht Strato ) und bei einem kleinen Hoster aus AT das gleiche Problem zu solchen lästigen “Geisterkommentaren” führt…

Nicht unbedingt, besonders wenn es sich um kleine Unternehmen handelt. Sie könnten sehr ähnliche Setups haben oder sogar die gleiche Anleitung kopiert haben.

Glaube ich nicht.
Welche Anleitung?

Wie auch immer, die Techniker beider Hoster sind dran, bzw. versuchten zu helfen, fanden aber auch nur die Zugriffe, wann welche IP auf die comments-post zugegriffen hat. Sonst nix.

Denke, das ist kein besonderes Sicherheitsrisiko, wohl aber lästig und vor allem interessant, wie die das anstellen.

Bedenke eins: @timkaye ist kein Muttersprachler
Deswegen heißt das vermutlich im englischen Original “Tutorial” oder “How-To”.

BTT: Radikalkur für XML-RPC: Datei löschen.
Bei WP hat sich jahrelang niemand[1] dafür interessiert, wie wahnsinnig schlecht abgesichert das ganze Ding eigentlich ist. Deswegen siehst du hier bei CP auch immer wieder genau dieses Thema: “XML-RPC entfernen” oder “XML-RPC per default deaktivieren” etc.

Bzgl. Frage 2:
Ggf. wurden die Menüeinträge modifiziert. Andererseits könnte ich mir vorstellen, dass WP da auch einen Rappel hat, und bei “alles ist deaktiviert” + “keine freigegebenen Kommentare” nen Schluckauf bekommen hat.

Theoretisch könntest du manuell das Menü nachtragen, z.B. über add_submenu_page().

Frage dabei: Welche WP- oder CP-Version?

cu, w0lf.

[1] niemand = das obere WP-Automattic-Echolon. Gibt genug Entwickler, die das nicht lustig fanden und finden.

Achso, ja ok

stelle ich immer überall sofort aus (sa. Pkt. 5 im Startpost)

Ja, das war ich Per functions:
remove_menu_page( 'edit-comments.php' );
(Wahrscheinlich auch in meinem Wahnsinn, alles bez. Kommentare zu sperren …)

Immer die neuesten …

PS: Die Sache weitet sich aus, es muss eine Lücke in WP/CP sein, welche seit langem besteht.

Denn:
Am 1.2.22 begann ich eine neue Website und keine Stunde nach der Installation (Neues Paket, auf einer unbekannten Subdomain) wurde ein Kommentar gepostet und auch freigeschaltet!!!
Das trotz all der Maßnahmen wie im Startpost beschrieben und in dem Fall war auch noch kein einziges Plugin installiert und der Wartungsmodus aktiv. Dennoch kam ein Spam-Kommentar rein, der auch autom. öffentlich war!
Ok, es sieht eh keiner, nicht einmal der Kunde, weil wie gesagt Wartungsmodus.
Dennoch finde ich das schon sehr bedenklich!
Es tritt ja nicht nur bei 6 von 12 “meiner” Websites auf, auch Bekannte berichten von ähnlichen Ereignissen (nur sehen die das nicht so dramatisch …)

Was ist mit Pingbacks und Trackbacks? Sind die auch deaktiviert?
Sonst ist darüber auch ein indirektes “Kommentieren” möglich, siehe etwa:

• Wordpress: Pingback schnell erklärt – Gefahr durch SEO-Pingback-Spam - Sirmark bloggt
• How to Stop WordPress Trackback and Pingback Spam

cu, w0lf.

Natürlich sind die deaktiviert. Brauchte noch kein Kunde und wir selbst auch nicht.
In all den Jahren mit WP/CP stellt sich da so eine Routine ein, was man alles in den ersten Minuten nach Installation alles ein- und abstellt. Egal ob Kundensite oder eigene.

Eigenmeinung:
Kommentare sind das unnötigste Feature ever, denn trotz allen Anti-Spam Maßnahmen wurden “meine” früheren Mediensites täglich mit > 100 Kommentaren überschwemmt. Für einige kassierten die Medieninhaber sogar Gerichtsurteile wegen Mediengesetz und Forenhaftung.
Also baten mich die Betreiber damals, ab sofort alles zu unternehmen, um Kommentare zu sperren.
Denn wegen 1% konstruktiver Kommentare braucht man sich das nicht anzutun …
Und: Kommentare kann man dort ablassen, wo Müll nicht auffällt: In FB & Co.

Ergo: Es gibt viele Gründe, dieses Feature zu sperren oder auszulagern. Da aber sehr viele Betreiber Kommentare direkt zulassen, fiel diese Lücke bisher nicht auf. Jene werfen sicher auch kaum einen Blick in andere unnütze Bereiche wie eben Pingback, Trackback, XML-RPC, Updateservice, Beiträge per Mail usw.

Etc. aber in den meisten dieser Fällen scheint es mir entweder falsche Settings/Handhabung zu sein oder eben 3rd party plugins

Jedoch ist es interessant dass es offenbar im mindesten nicht ganz klar ist für die meisten user wie man diese comments vermeidet

Mindestens ein thread deutet darauf hin dass das irgendwie mal vor 2 Jahren bei einigen Usern plötzlich zum Problem wurde.

Ich hab das Problem nie erlebt, aber ich brauche keine Plugins generell, und die Seiten sind stark “gesichert”

ab der 5.1 gibt es eine neue Funktion, die offenbar “leere Kommentare” erlaubt. Evtl. huscht es da durch?

Radikalste, aber sicher einfachste Lösung: Aufrufe von wp-comments-posts.php mit nem Redirect oder 403 Error ersetzen. Entweder via .htaccess oder einfach die Datei austauschen.

cu, w0lf.

Möglich.
Aber man kann uralte Fehler im Core nicht generell dem User zuschieben oder Plugins die Schuld geben (Wie mein Fall zeigt, kommt auch ohne ein einziges Plugin ein Kommentar)

Oder seit längerem, weil es ja auch in CP so ist. Und CP zweigte so um 2018 vor WP 5 ab.

Die verlinkten Beiträge (u. weitere zum Thema) zeigen mir folgendes:

• Einige wundern sich, warum nach ein paar deaktivierenden Klick in Einstellungen > Diskussion nicht gleich alle Kommentare verschwinden. s. dessen “Fazit”.
  Wobei UPDATE wp_posts SET comment_status = 'closed' in Sekunden alle Kommentare schließen würde und ein Ausblenden der Kommentarsektion reichen müsste, um alle visuell verschwinden zu lassen.
• Die Links zum WP Forum zeigen mir: Dort betreibt man Symptombekämpfung; statt den Fehler im System suchen/finden/beheben raten sogar Mods zu Anti-Spam Plugins!

Schön, aber das scheint mir unmöglich. Selbst bei der kleinsten Privatsite entstehen irgendwelche Wünsche, welche ohne Plugins oder zumindest mittels Scripts nicht erfüllbar sind.

Und nochmal: Es braucht kein einziges Plugin, der Fehler mit den unerwünschten Kommentaren tritt auch bei einer völlig blanken Installation mit Standardtheme auf! Bei WP und bei CP und das Problem könnte seit lange vor der Trennung bestehen.
Es merkt nur kaum jemand, weil 99% aller Betreiber ohnehin Kommentare zulassen …