Es ist wirklich manchmal rätselhaft, was so ein Idiot sagen will. Ich meine so einen Idioten, der in der Kommentarfunktion eines Blogs so etwas wie eine öffentliche Litfasssäule sieht, die er mit seinem unerwünschten Werbemüll zukleistern kann.
Die Spamfilter sind ja richtig gut geworden. Da kommen auch die Spammer auf seltsame Ideen, wie man einen Link auf ein gewiss nicht seriöses Angebot in einen Blog quetschen kann:
Schön auf dem Punkt gebracht. Außer einem Link mit seinem impliziten „Klick mich“ sagt diese Kommentarspam gar nichts mehr aus. Dass dieser Link nicht dorthin führt, wohin es der Text des Links vermuten lässt, ist ja klar…
Du kannst HTML-Code im Admin-Bereich „ausgefuehrt“ sehen? Das ist ein Sicherheitsrisiko. Jeder Spammer kann dir Bilder oder JavaScripte drunterjubeln. Lies dir mal meinen Blog-Eintrag dazu durch! Es muss nur wenig am „Core“ geaendert werden.
Ich will hier keine Panik verbreiten. Noch ist nichts passiert. Aber dass von Aussen einbindbarer HTML-Code im Admin-Bereich eine moegliche Gefahr darstellt, sollte dir hoffentlich klar sein. 🙂
Ja, ältere WordPress-Versionen hatten da so ein „Problem“. Inzwischen wird allerdings der HTML-Code strikt gefiltert, nicht einmal das Einbetten eines Bildes ist möglich, von JavaScript ganz zu schweigen. Das ist auch gut so, wenn ich an die „Kreativität“ gewisser Zeitgenossen denke.
Die möglichen Tags bleiben
a,blockquote,code,em,strongund ähnlich harmlose Kandidaten. Selbst innerhalb dieser Tags werden noch Attribute rausgefiltert, unter anderemstyle, damit nicht über diesen Umweg ein Angriff oder das Unterjubeln eines Bildes möglich ist. Einstyle=":before {content:url(path/to/image);"wäre ja auch zu einfach.Das gilt natürlich nicht nur für den Admin-Bereich, sondern auch für die ganz normale Darstellung der Kommentare.