Sonstiges

WordPress Sicherheit

ein prima Überblick zum Thema WordPress und Sicherheit: WordPress Security Prevention, Reactions, and Scares. Das betrifft WordPress-Nutzer, die das System eigenhändig auf ihren Webserver aufgespielt haben, nicht WordPress.com!! So oder so ist das ein Killerargument, warum man WordPress nicht nutzen sollte. Denn, liest man sich den Artikel durch, so hat man am Ende vor lauter Aufgaben, die man erledigen muss, ein leichtes Schwindelgefühl. Das kannste knicken! Man muss sich schlichtweg um zu viele Sachen kümmern, das ist für einen normalen User nicht mehr akzeptabel, der es gerade noch schafft, ein eigenes WordPress-Blog aufzusetzen. Oder sagen wir es anders: Die „Mittelschicht“ der WordPress-Nutzer ist geküsst. Die einfachen User sollten sowieso auf fertige Lösungen wie WordPress.com oder Typedpad zurückgreifen, da die Anbieter die technischen Systeme für den User pflegen und warten. Die jedoch Einiges an Flexibilität aufgeben müssen (Einsatz von Templates und Plugins wie auch anzupassenden Widgets).

Was kann also Automattic tun, die für WordPress verantwortlich sind? Es ist unabdingbar, dass man über ein automatisiertes Updateverfahren nachdenkt, das zudem eine Abwärtskompatibilität zu eingesetzen und „zertifizierten“ Plugin gewährleistet. Wer als User nicht zertifizierte Plugins einsetzt, läuft sonst Gefahr, dass sein Blog nach dem Update der WP-Software nicht mehr funktioniert. Nur, es gibt noch kein System, das Plugins offiziell absegnet, weil sie sich an einen Standard gehalten haben. Ebenso ist darüber nachzudenken, dass das WP-Plugin-System über einen ähnlichen Update-Mechanismus verfügt, wie man ihn von Serendipity kennt (ein alternatives Blogsystem). Zumal das Aktivieren der Plugins bei Serendipity vorzüglich gelöst ist: Man wählt aus einer Liste von Plugins aus und fertig. Mehr ist da nicht zu tun. Bei WordPress muss man ein Plugin downloaden, dann ins Blog einspielen und dort aktivieren. Das ist old school! Also, es muss ein Update-Mechanismus für WP her, ebenso eins für Plugins und es sollte endlich über eine Strategie der Aufwärtskompatibilität von zu zertifizierenen Plugins nachgedacht werden (oder umgekehrt über eine Abwärtskompatibilität von neuen WP-Versionen zu zertifzierten Plugins). Immerhin ist WordPress mittlerweile weit verbreitet und Automattic sollte endlich wie eine professionelle SW-Firma agieren. Sonst sehe ich schwarz für WordPress.org (nicht für WordPress.com).

Diese ständige Updaterei in kurzen Zyklen von rund 1-3 Monaten ist jetzt schon zu einer Arie verkommen: Man muss immer bibbern, dass irgendein Plugin nach dem WP-Update eine kleine Katastrophe verursacht. Das geht so einfach nicht. Das kostet den User Zeit, aber auch Firmen, die WordPress einsetzen und für einen unnötigen langen Support wegen den Updateprozessen zuviel zahlen müssen. Neu hinzugekommen ist das zunehmende Sicherheitsproblem, das die Situation verschärft, WordPress als System überhaupt noch in einem vernünftigen Zeitrahmen handeln zu können. Von den Sicherheitslücken der Plugins selbst ganz zu schweigen. So ist es eben: Kleine Systeme, kleine Probleme, große Systeme, große Probleme (was die Verbreitung angeht).

Jobs in der IT-Branche


Über den Autor

Robert Basic

Robert Basic ist Namensgeber und Gründer von BASIC thinking und hat die Seite 2009 abgegeben. Von 2004 bis 2009 hat er über 12.000 Artikel hier veröffentlicht.

47 Kommentare

  • Die automatische Updatefunktion für Plugins ist in der aktuellen Version ja durchaus vorhanden, sofern man sich dort im Mainstream-Bereich austobt.
    Das Updaten der eigentlich Blog-Software wäre eigentlich schon komfortabel, wenn es einen Wartungsmodus geben würde und die Besucher beim FTP-Transfer nicht für einige Minuten in den Wastelands surfen müssten. 😉

  • Wenn ich wenigstens die Zeit dazu hätte, würde ich mir einfach selbst was zusammen tippen. An den Kenntnissen mangelts ja nicht eher an der Freizeit. Leider!

  • Bei der Sicherheit muss man sich rasch was einfallen lassen. Viele Blogger wissen ja nicht mal, dass sich auf ihren Seiten Mengen an versteckten Links befinden, die sie auch aus dem Google Index befördern können.

  • Deine Argumentation ist so nicht ganz richtig, Rob. Natürlich gibt es für WordPress mehr Exploits als für andere Systeme. Das liegt schlicht daran, das WordPress viel weiter verbreitet ist, als jede andere selbst-gehostete Software. Das sagt aber gar nichts darüber aus, wie sicher eine Software ist. Ich kenne Joomla sehr gut, da ich eine Reihe von Kunden-Seiten mit Joomla aufgesetzt habe. Und deshalb weis ich, das Joomla viel unsicherer ist, als WordPress. Aber auf WordPress haben sich viel mehr Hacker eingeschossen.

    Und was den Aufwand angeht, das System auf dem aktuellen Stand zu halten, so gibt es ja Möglichkeiten. Zum Beispiel gibt es Hoster, die bieten für bezahlbares Geld einen Webspace mit installiertem WordPress an, wo die Updaterei im Preis mit eingeschlossen ist. Du musst Dich um gar nichts kümmern, passiert alles automatisch.

    Aber natürlich kostet so eine Lösung mehr als ein Billig-Webspace. Aber wenn Du Dein Auto selbst wartest, anstatt eine Fachwerkstatt zu beauftragen, dann sparst Du ja auch Geld. Aber wenn Du dann ein Problem mit der Sicherheit bekommst, weil die Wartung wohl nicht ganz fachmännisch war, dann kannst Du ja auch nicht den Hersteller beschuldigen.

    Oder, um es ganz klar zu machen: Wer keine Ahnung hat, der sollte keine Website administrieren. Sondern sein Blog auf WordPress.com hosten lassen. Oder sich einen Fachmann leisten, der die notwendigen Aufgaben erledigt, dafür aber ein bischen kostet.

    Ich verstehe einfach die Denke der neuen Web-Generation nicht. Wenn das Auto kaputt ist, dann gibt man es in eine Werkstatt. Wenn der Körper nicht richtig funktioniert, dann geht man zum Arzt. Wenn die Heizung spinnt, dann ruft man den Installateur. Aber wenn die Website nicht richtig funktioniert, dann nimmt man keinen Fachmann zu Hilfe, sondern verklagt den Hersteller der Software. Seltsam.

  • nur kurz: es nutzt nichts, dass man an einer Ecke ansetzt, da es sich um ein Verbundproblem handelt, das eine zentrale Koordination und Vorgehen erfordert, so schön es auch ist, dass es dieses Update-Tool für Plugins (was nur im Ansatz ein Update ist) und für WP selbst gibt (nicht ironisch gemeint)

    @Lothar, ja, es ist ein Größenproblem, das so oder so eine professionellere Vorgehensweise durch Automattic bedarf. Es spielt keine Rolle, was der User kann oder nicht. Sondern was der Hersteller bietet. Was nutzen mir viele Reparateure, wenn die sich selbst genügen, das ist nicht im Sinne der User.

  • Ehrlich gestanden, stört mich das mehrmalige Aktualisieren von WordPress überhaupt nicht. Immerhin habe ich ein kostenloses Produkt und eine Riesengemeinschaft mit WordPress hinter mir, die mir bei jedem Problem mit Rat und Tat zu Seite stehen. Etwas wovon „alternative“ Systeme nur träumen können. Es mag ja richtig sein, daß WordPress für viele Wehwehchen anfälliger ist, Herrgott, spätestens seit Windows können die Konsumenten davon ein Lied singen und für das Produkt bezahle ich etwas.

    Für mich ist es nicht nachvollziehbar, warum man ein Produkt derart kritisiert. Wer etwas Besseres und vermeintlich Sicheres haben will, soll eben auf die von Dir angesprochenen Systeme umsteigen und fertig. Der Deutschen Telekom kann ich auch keinen Vorwurf machen, wenn mein Rechner nicht funktioniert und ich deren DSL-Produkt nicht nutzen kann. Spätestens dann komme ich genau da hin, wovon Lothar sprach.

    Gruß,
    Steven

  • Ich stimme da größtenteils mit Lothar überein.
    Es ist in PHP einfach technisch nicht möglich, eine schöne, performante Lösung für ein automatisches Updaten von WordPress Plugins mit der aktuellen Architektur umzusetzen.
    Textpattern z.B. hat eine Pluginarchitektur die auf serialisiertem PHP Code beruht (da stellen sich die Haare hoch). Dort ist es möglich ein automatisches Update durchzuführen, da man lediglich einen Datenbankeintrag ändern muss (der den serialisierten PHP Code des Plugins enthält).
    In WordPress sind das einzelne Dateien, nicht nur eine sondern beliebig viele und auch in Unterverzeichnissen.
    Um da eine automatische Updatefunktion umzusetzen, müsste man Schreibrechte und einige aktivierte (die es per default nicht sind) PHP Extensions vorraussetzen.

    Wünschenswert wäre aus meiner Sicht aber eine Zertifizierung von Plugins dennoch, in erster Linie um Sicherheitslücken in Plugins effektiv zu vermeiden. Warnungen für nicht mehr unterstützte Plugins könnten dann ebenfalls herausgegeben werden. Sowas könnte z.B. mit PHP_Compat getestet werden und in den Zyklus normaler Unittests mit eingebaut werden.

  • Ich stimme nicht mit Lothar überein 🙂
    Klar, WordPress ist kostenlos, sogar Freeware, und wem was nicht passt, der soll sichs doch selber passend frickeln oder sich was neues suchen. Und wenn man was frickelt, gibts ne große Gemeinde die hilft. Absolut richtig.
    Aber gerade wegen der großen Gemeinde und der großen Verbreitung wäre es doch kein Problem, das Ding einfach userfreundlicher zu machen. Was wiederrum der Verbreitung und auch der Vergrößerung der Gemeinde helfen würde.
    PHP-technisch wäre es (auch ohne Extensions) kein Problem, den Updatevorgang zu automatisieren. Es muss nur der Filezugriff über HTTP oder FTP freigegeben sein, anschließend können neue Dateien geladen, alte überschrieben, Daten konvertiert usw. werden. Auch Chmod kann über PHP gesetzt werden, bzw. von mir aus auch einmalig bei der Installation. Ich wüsst nicht, was da nicht mit PHP gehen würde. Das einzige was notwendig wäre, wäre, dass ein paar hierfür ein sinnvolles Konzept überlegen, evtl. auch alte und veraltete WP-Konzepte über den Haufen werfen und Standards schaffen, auf die z.B. Plugin-Updates aufsetzen können.
    Dadurch wird das Produkt WordPress besser, hochwertiger. Und das ist doch, was sowohl die Nutzer, als auch die Entwickler wollen?

  • Ich habe neulich mal die aktuelle Version des beliebten WordPress-Themes „SoSuechtig“ ausprobiert und mich anschließend über die tausend Amazon- und sonstigen Werbe-Links im Quelltext gewundert.

    Kein feiner Zug vom Theme-Autor, da dies ein unkommentiertes Feature ist.

  • Also bei aller Liebe, manchmal kann man nur noch mit dem Kopf schütteln. Auf der einen Seite ist es ja schön und gut auf Sicherheitsrisiken hinzuweisen aber dieser Trend gegen „vielbenutzte“ Software zu wettern nimmt doch etwas überhand, oder? Meine schlichte Meinung ist: Wenn ich keine Ahnung von der Materie habe, dann darf ich mich auch nicht wundern wenn es in die Hose geht.
    Entweder ich nutze ein freies System und ggfs. noch frei verfügbare Templates und muss mit den „Sicherheitslücken“ leben und kann auch das Beste tun um Sie zu verhindern oder wenn man das nicht will oder kann muss man halt Geld investieren. Auch hier schlägt diese „Geiz ist Geil“ Einstellung (ich kann es schon langsam nicht mehr hören 🙂 ) zu Buche. Entweder zu geizig um Geld auszugeben oder um Zeit zu investieren … aber alles haben wollen: Sicherheit, einfache Handhabung, Service, Zeitersparnis – das geht nunmal nicht.

    Und davon abgesehen: Wie lange dauert ein WP Upgrade? Ich habe inzwischen über 70 gemacht und keines dauerte länger als 10 Minuten. Was will ich da denn automatisieren? Nur damit die Unsicherheit WAS da gerade alles verändert wurde noch größer ist?

    Ansonsten schliesse ich mich Lothars Meinung einfach an 🙂

  • Mit WordPress und anderen CMS verhält es sich doch ähnlich wie mit Windows und den „alternativen“ Betriebssystemen. Alle Augen ruhen auf dem „Marktführer“, dementsprechend werden hier a) die meisten Fehler gefunden und b) die Ansprüche teils ins astronomische geschraubt.

    Klar wünscht sich jeder ein fehlerfreies und sicheres System, aber es ist Software und wer diese eigenverantwortlich einsetzen will, muss sich eben auch mit den Macken, Tücken, Fehlern und Sicherheitslücken auseinandersetzen.
    Das Beispiel Auto finde ich da sehr passend. Ohne Führerschein fährt man kein Auto, ohne Werkzeug und Know How repariert man kein Auto.

    Im Vergleich zu anderen CMS sind die Updateintervalle von WP vorbildlich, so dass es auch den nicht Experten möglich ist ihr System einigermaßen aktuell und sicher zu halten. Das Update ist weder kompliziert noch zeitintensiv.
    Und sollte einmal eine Sicherheitslücke nicht sofort geschlossen werden, kann man an quasi jeder Ecke sofort nach bekannt werden der selbigen Workarounds finden die einem helfen diese zu beheben.

    Wie schon angeführt wurde, gibt es bereits die Möglichkeit WordPress automatisch zu aktualisieren und auch für die in der Datenbank hinterlegten Plugins existieren solche Lösungen.

    Grüße
    Mo

  • In der c’t 10/2008 , S. 190 wird ein automatisches Verfahren zum Update von WP beschrieben. Dazu braucht man einen SSH-Zugang zum eigenen Server und es muss der Subversions-Client „svn“ installiert sein.

    Ich persönlich halte es aber mit Thomas: die 10 Minuten nehm ich mir.

  • Ich kann hier auch den meisten nur zustimmen:
    Einerseits soll WordPress schön flexibel sein und überall anpassbar sein, anderererseits wird nach Automatismen und zertifizierten Plugins geschrien.
    Das passt einfach nicht zusammen. Die eierlegende Wollmilchsau gibt es nun mal nicht!
    Und auch zum Thema „Sicherheit“ kann ich den anderen (meisten) Kommentatoren nur zustimmen:
    Das „Sicherheitsproblem“ (welches eigentlich gar keines ist) liegt einfach an der Größe von WordPress und der dadurch reultierenden Atraktivität für Hacker bzw. „Böse Menschen“.
    Da werden mir wolh jetzt nicht merh viele zustimmen, aber genau das gleiche Phänomen gibt’s beim Betriebssystem (weit verbreitetes Windows, wenig verbreitetes Linux-Desptopsystem) und beim Browser (IE – Firefox). Abgesehen davon dass auch ich den Firefox bevorzuge: Immer galt der IE als unischer und die OpenSource-Browser als viel viel sicherer. jetzt, wo sich der Firefox immer mehr ausbreitet (ist ja gut), treten komischerweise auch immer mehr Sicherheitslücken auf…

  • Ich hab z.b. inklusive eines Onlinetestblogs sogleich 9 WordPressinstallationen dann mal flugs zu pflegen und das ist dann schon eine ziemliche Arbeit, die zudem bei Sicherheitsproblemen unmittelbar durchzuführen ist, ob man gerade Zeit hat oder nicht. Und es sind nicht nur die plugins, sondern zuweilen auch die sonstigen Funktionen, die den Aufwand nochmal vergrößern. Als z.B. die Sidebar auf Widgets umgestellt wurden, ließ sich zumindest in meinen Themes die Sidebar nicht mehr aktualisieren und es hieß zusätzlich alle Blogs auf diese Widgets umzustellen.

  • Ich kann das gejammere auch nicht mehr hören…..

    Wo ist das Problem mit Updates – runterladen, extrahieren uploaden – fertig…. Windows-Update- anlicken, auswählen, install – fertig…

    Sonstige Software – anklicken, install – fertig….

    Das Problem ist einfach – jeder Typ will ne Homepage selber machen oder sonstwas und technik oder Anpassungen liegen nicht jedem. Und vielleicht hilft einfach mal ein wenig selbsteinschätzung.

    Einfach mal sagen, ich kann bis dahin und danach suche ich jemanden der das besser kann und den bezahle ich dafür….

  • So fein das mit den automatischen Updates auch klingt, so gefährlich wäre ein solches Feature für den Nutzer – gerade für den technisch nicht so versierten. Einmal das Update-System infiltriert – auf einen Schlag tausende Blogs infiziert – ein sicherlich nicht ganz unwahrscheinliches Horror-Szenario.
    Dann doch lieber automatisch über neue Versionen informiert werden, und sich die nötige Zeit zum Update nehmen. Ich selbst hatte noch nie Probleme mit dem Update und nutze fast 10 Plugins. Selbst der Sprung auf die Version 2.5 hat reibungslos funktioniert.

    Eine Qualitätskontrolle der Plugins gerade in Hinsicht auf Fragen der Sicherheit wäre allerdings durchaus von Vorteil.

  • @Clemens, doch das geht mit PHP, ist dabei noch niemals weiter schwer. WordPress ist ja entpackt mal gerade etwas über 5MB groß.
    Schau dir beispielsweise mal Gallery an, die „können“ das auch, ich glaub, das Plugin-Interface funzt auch mit safe_mode = on.

    Mit phar wird es in Zukunft vielleicht etwas leichter.

  • Ich weiß ja, hier sind sich im Moment alle einig bzgl. der Sicherheit bzw Unsicherheit von WordPress, allerdings bekomme ich Roberts Aussage in seinem Artikel nicht mit dem Verlinkten Beitrag und des weiteren mit dem in dem verlinkten Beitrag verlinkten Beitrag nicht zusammen.

    Alle 38 gefundenen Bugs sind bereits in der Vorgänger-Version adressiert und behoben worden. Es besteht laut den Artikeln also aktuell keine akute Notwendigkeit rum zu hirscheln und panisch den Sicherheitsgau im eigenen WP-Weblog zu fürchten.

    Dass in den Themes und Plugins im Netz Malware versteckt sein kann, habe ich bereits vor Jahren, als es noch lange keine Anzeichen dafür gab, vermutet / befürchtet und mich im Grunde damals nur gewundert, dass man nichts davon hörte. Ebenfalls kopfschüttelnd nahm ich zur Kenntnis, dass WP angepriesen wurde, dass man es auf dem eigenen Server einsetzen könne, ohne auch nur ein Yota PHP zu verstehen. Erstaunlicher Weise geht es bis heute trotz der aktuellen trendigen Unkenrufe bzgl. WordPress und Sicherheitslücken besser als man meinen sollte.

    Soweit ich die ganze Angelegenheit betrachte hat sich seit damals in Bezug auf WP nichts verändert. Weder der Aufwand bzgl. der Pflege noch an der Situation, ob oder ob nicht PHP-/Internet-Daus WP auf dem eigenen Server hätscheln sollten.

    Soweit es mich betrifft hat sich lediglich das Klima geändert, wie man WP betrachtet und welche Themen man wählt, wenn man über WP schreibt.

  • Ich sagte ja nie, dass es mit PHP nicht möglich sei.
    Aber eine _schöne_ und _performante_ Lösung soll mir dann bitte erstmal jemand präsentieren. Ach und sicher sollte sie auch noch sein.
    Ich bin der Meinung, dass eine automatische Updatefunktion für noch mehr Probleme sorgen würde und das Gejammer danach umso größer ist.
    Wer ein CMS einsetzt (und in der Hinsicht ist WordPress eines), der sollte sich entweder damit auskennen oder jemanden beschäftigen, der das für ihn erledigt.
    Ich will nicht wissen wieviele WordPress Spambomben noch rum geistern.. Einfach nur weil manch einer ein Plugin installiert, ohne zu wissen was es tut.

  • Vielen Dank für den Tipp! Wie schon geschrieben wurde erledigt die automatische Updatefunktion ja bereits das meiste. Um noch mal alles zu überprüfen ist der Beitrag aber sicherlich sinnvoll…

  • Die schier endlose Diskussion über systemische Schwächen von WordPress und die daraus resultierenden Probleme mit der Sicherheit ist eine Irreführung und Verunsicherung. Ich habe genug PHP-Code von WordPress und von anderen großen Anwendungen (Joomla, Gallery etc.) gelesen, um zu wissen, dass in jeder dieser populären Anwendungen Stellen stecken, die mir riesengroße Bauchschmerzen bereiten. Wer jetzt sagt, das sei ein PHP-Problem, geht allerdings auch an der Wirklichkeit vorbei; es ist ohne weiteres möglich, ähnliche Techniken in Perl oder Python oder sogar in Java zu verwenden. Ob das gemacht wird, weiß ich allein deshalb nicht, weil ich keine Webanwendungen in Perl, Python oder Java verwende und nicht gerade zum Vergnügen Quelltexte lese. Aber ich weiß, dass man beim Programmieren manchmal eben tut, was man manchmal eben so tut — schließlich häcke ich mir auch selbst manchmal etwas zusammen, was ich nicht mit Stolz vorzeigen kann.

    Ein großes Problem jeder PHP-Anwendung ist die Schnittstelle zur MySQL-Datenbank, die bei unvorsichtiger Programmierung leicht zu SQL-Injections führen kann. Hier sehe ich durchaus Verbesserungsbedarf im WP-Code, aber das würde zu weit führen. Bislang habe ich mich immer damit getröstet, dass eine riesige Anwendergemeinde eben auch dafür sorgt, dass wirklich fatale Fehler schnell erkannt und behoben werden — und ansonsten regelmäßig Backups der Datenbank gemacht, nur für den Fall, dass es doch mal schlimmer kommt. Das Anlegen von Backups ist übrigens ein Grundkompetenz in der Benutzung von Computern, die jeder Mensch haben sollte, der mit einem Rechner arbeitet. Gleich, ob es sich um einen Webserver handelt, auf dem Inhalte zur Verfügung gestellt werden, oder ob es sich um einem ganz normalen Arbeitsrechner handelt, auf dem man sich nicht vergebens abmühen will. Erfreulicherweise macht die Export-Funktion von WordPress einen Backup auch für unerfahrene Benutzer möglich und relativ einfach.

    Soviel nur dazu. (Ich habe dennoch schon mehrfach laut über einen eigenen Fork der 2.3-Linie von WP nachgedacht, kann dies aber wegen meine gesamten Lebenssituation nicht allein wuppen und habe leider niemanden gefunden, der ein solches Projekt mittragen möchte. Es wäre verdammt viel Arbeit, die keine „coolen“ neuen Features bringt und dazu tendiert, keine Anwendung mehr im Browser laufen zu lassen, sondern eine Desktop-Anwendung für viele Aufgaben des Bloggens zu erstellen. Hinzu kämen etliche Änderungen im Kern von WordPress, die auf mehr Robustheit zielen.)

    Viel wichtiger ist mir die Frage nach einem automatischen Update-Verfahren.

    Und ich fände ein solches Verfahren zurzeit einfach nur grauenhaft. Das liegt allerdings nicht an WP, sondern an den momentanen Schwerpunkten der WP-Entwickler, die sich leider recht weit von den Ansprüchen der Anwender entfernt haben.

    Weshalb ich für ungefähr ein Dutzend verschiedener Projekte WP (mit einigen eigenen Häcks für die spezifischen Projekte) einsetze, ist eigentlich nur die hohe Benutzerfreundlichkeit dieser Software. Es handelt sich nicht um ein Streben nach „coolen“ Features. Das Dashboard von WP 2.0.x bis 2.3.x aus Autorensicht hat bis jetzt noch jeder leidlich erfahrene Mensch verstanden, der sonst vor Joomla oder anderen „fetten“ Systemen kapituliert hätte. Und genau das ist es, was die Idee eines Blogs verspricht, dass nämlich jeder mit geringem Aufwand eine Stimme im Netz haben kann. (Und s9y löst dieses Versprechen nicht so gut ein.)

    Ob es um die kleine Website einer Künstlergemeinschaft oder eines Webradios geht, WP im Hintergrund stellt ein System zur Verfügung, mit dem „Nur-Anwender“ in relativ einfacher Weise publizieren können. Eine ideale Grundlage für eine kleine Gruppe, die etwas gemeinsam und im gegenseitigen Vertrauen macht.

    Nun haben sich die WP-Entwickler hingesetzt und eine völlig neue Oberfläche im Backend geschrieben, die mit allen recht guten Konzepten der Vergangenheit gründlich gebrochen hat. Das Unausgereifte der neuen Benutzerführung zeigt sich darin, dass „normale“ Menschen nicht mehr damit klarkommen — auf einmal ist die Auswahl der Kategorien irgendwo versteckt, wo man erst einmal hinscrollen muss und die piktografische Gestaltung des Editors verbirgt teilweise recht gut die damit symbolisierte Funktion. (Dass das graue Rechteck für den Bildupload ist, sagt einem erst der Tooltip, wenn man überhaupt auf die Idee kommt, darauf zu warten.)

    Zu allem Überfluss funktioniert der aktuelle Dateiupload nicht mit der aktuellen Release des Opera-Browsers, den praktisch alle Beteiligten verwenden. Hätte es hier einen automatischen Upload gegeben, denn hätte ich so ganz nebenbei einen Haufen von Support-Tätigkeiten gehabt, die ich neben allen meinen anderen Tätigkeiten hätte erledigen müssen. Die Tatsache, dass diese Funktion mit der Beta des kommenden Opera problemlos läuft, ist nur eine kleine Hilfe. Ich lasse wirklich keine Gelegenheit aus, „Nur-Anwender“ vor der Benutzung von irgendwelcher Beta-Software zu warnen, wenn sie nicht gerade mit aktiven Fehlerberichten an der Entwicklung teilhaben wollen. Es ist schlimm genug, dass sich einer wie ich immer wieder dieser Quelle von teilweise unangenehmen Überraschungen stellen muss. (Die CSS-Interpretation vom Opera ist manchmal auch etwas „eigenwillig“, und sichtbare Objekte sind zuweilen nicht mehr anklickbar. Ich halte es für einen Fehler, gut acht Prozent der Besucher auszusperren, und deshalb teste ich so etwas rechtzeitig vorher. Solche Plage gehört leider dazu, wenn man was mit Internet macht, ich hätte es auch lieber anders.)

    Hätte es einen automatischen Update zu 2.5 gegeben, so wären praktisch alle Autoren dieser gemeinsam erstellten Websites über Nacht ausgesperrt worden. Einmal ganz davon abgesehen, dass ich nicht einmal eine Warnung hätte aussprechen können, dass die gesamte Oberfläche einmal umgekrempelt wurde. Das wäre eine für mich untragbare Situation.

    Nicht die immer wieder beschworene Sicherheit halte ich für das größte Problem in WordPress, sondern die relative Sinnlosigkeit der jüngeren Entwicklung. Dies beginnt damit, dass sich die Entwickler unter einem unnötigen Zeitdruck für die jeweils nächste Release setzen und auf diese Weise völlig sinnlos industrielle Release-Zyklen nachäffen, ohne dass irgendjemand einen Gewinn davon hätte. Würde die jeweils neue Version einfach dann veröffentlicht, wenn sie fertig ist, wäre allen viel mehr geholfen. Und niemand müsste sich hinsetzen und „eine Version ausfallen lassen“, um nicht offen einzuräumen, dass ein Termin nicht gehalten werden konnte. Das war die Abstand größte Sinnlosigkeit der letzten Jahre.

    Unter den Bedingungen einer derartigen Sinnfreiheit der Entwicklung bin ich froh darüber, dass ich den Zeitpunkt für ein Update selbst in der Hand habe. (Wenn nicht gerade eine ganz schreckliche Security-Meldung kommt.) Ich warte wirklich, bis es nicht mehr anders geht, und die von mir betreuten Blogs sind bislang noch nicht gehackt worden.

    Noch ein Ding ist da mit der Sicherheit.

    Es gab ja viele Angriffe auf WP-Blogs, die keinen Bezug zu den eingesetzten Versionen und den darunter laufenden Plugins zu haben schienen, so weit ich das von Betroffenen in Erfahrung bringen konnte. Die Verseuchung der Blogeinträge mit Werbelinks erstreckte sich über die ganze Bandbreite der Versionen 2.2.x bis 2.3.x und es gab keine Auffälligkeiten in den installierten Plugins. Dennoch hat jeder WordPress die Schuld daran gegeben.

    Woher nehmen eigentlich alle dieses Wissen. Ich weiß nicht, was die Angriffsfläche war, und ich habe sogar Quelltexte gelesen und habe einen Blick in die Logdateien von Betroffenen werfen können. Ich bin keineswegs dumm, und ich habe mir für die Analyse recht viel Zeit genommen, da ich eine Gefahr für die von mir betreuten Blogs sah. Aber es gab kein vernünftiges Muster.

    Der ganze Angriff muss gar nichts mit WordPress zu tun haben. Es kann sich ebensogut um einen über MS Windows laufenden Trojaner handeln, der Passwörter mitloggt und an die Spam-Mafia weiterleitet. Es gibt mehr als genug Möglichkeiten, sich mit Windows Dinge einzufangen, die kein Mensch auf seinem Computer haben will, im Vergleich zu diesem sehr fragilen Desktop-OS und der darauf laufenden, nicht minder fragilen Software ist die Anwendung WordPress fast schon sicher zu nennen. Alle Betroffenen, mit denen ich persönlich in Kontakt stand, bloggten von einem Windows-Rechner aus. (Das muss bei der großen Verbreitung nichts sagen, ich weiß.) Aber keiner ist auf die Idee gekommen, dass die Integrität des eigenen, zum Bloggen verwendeten Rechners zerstört sein könnte, und jeder hat sofort die Probleme in WordPress gesucht. Dabei ist die Sicherheit, die durch Virenscanner und anderen Aberglauben gewährt wird, eine ausgesprochen trügerische Angelegenheit. Vor allem, wenn man sich blind auf Verfahren verlassen muss, die man nicht versteht und deren fehlerfreies Arbeiten man selbst nicht überprüfen kann. Wenn ich ein pöses Cräckvirus schreiben würde (ich hoffe, zu solcher Barbarei lasse ich mich niemals hinreißen), denn würde es sich bei Anti-Viren-Software einklinken und dafür sorgen, dass der Rechner aus Anwendersicht vollkommen sauber ist.

    Ach, ich könnte so viel darüber schreiben…

  • Abgesehen davon, dass leider zu viele Dialoge unterhalb des Editors versteckt wurden, bin ich mit der neuen Oberfläche sehr zufrieden. Was man an WordPress wirklich kritisieren kann, ist der Aufbau der Themes: Dass in diesen PHP-Code erlaubt, sogar notwendig ist, führt nur dazu, dass unbedarfte Designer unnötig Sicherheitslücken einschleusen, indem sie für die Suche die Get-Parameter ungefiltert durchleiten und dergleichen.

  • also, ich komm bestens mit wp 2.5 zurecht. auch das update auf 2.5 war problemlos. und grad in sekundenschnelle alle plugins upgedated…
    und ich bin ungefähr der zweitgrößte anzunehmende ernstfall für ein compilein…
    sagt mein lieblings IT-spezi, den ich übrigens immer frage, wenn ich mir nicht sicher bin. aber bei wp muss ich gar nicht so oft fragen, wie bei anderen anwendungen…

  • also ich muß sagen das Update ging bei mir nicht so perfekt über die Bühne, WordPress hat ziemliche Zicken gemacht, somit doch erstmal zurück auf die alte Version
    besonders das neue Admin-Layout war für mich ein Faktor, das tu ich mir nicht an

  • @Markus: Das Admin-Layout ist gar nicht so schlecht. Ich finde es inzwischen ganz nett. Aber bei mir ist es inzwischen (nach 174 Beiträgen) die Performance die mich überlegen lässt ob ich nicht WordPress durch Serendipity tausche oder mir selbst ein kleines System zusammenschraube.

  • was man evt bei der Meiningsbildung in betracht ziehen sollte ist das Robert einen Haufen Geld mit einem kostenlosen Blogsystem generiert!

    Man sollte nicht den Gedanken hinter open source vergessen! Und nur weil eine Firma die Koordination des Projektes übernommen trägt sie noch lange nicht die Verantwortung!!

    Mit nem individuell geschriebenen Blog, der nur bei dir läuft umgehst du das Problem!

  • …wir haben unseren blog auch mit wp gemacht.. und haben auch andauernd propleme.. habe mir jetzt mal zusätzlich wpseo geholt.. mal schauen wie das funzt

  • Ich denke mal eine Sicherheit kann man nicht versichern im Netz..
    Es wird alles mal gehackt..
    Man kann auf nichts vertrauen haben..
    Es kommen ja auch ständig irgendwelche Updates wieder raus, die zum Download bereit gestellt werden..finde Ich ja auch super..
    Aber Man kann trotz allem nicht von einer 100 prozentigen Sicherheit sagen dass es gesichert ist..
    Angelo

  • Die 100 % Sicherheit gibt es einfach nicht. Beide Seiten rüsten ständig nach. Mit neuen Techniken, gib es schließlich auch neue Möglichkeiten.

  • Sicherheit sollte immer ein Thema sein, an dem man zyklisch arbeiten sollte. Natürlich hat mein Vorredner Recht damit, die 100 %ige Sicherheit gibt es nicht. Allerdings wurde mir bekannt, dass schnell die Version 2.9.2 nachgeschoben werden musste, da sich in wordpress 2.9.1 ein Sicherheitsproblem beim neu eingeführten Papierkorb eingestellt hatte, dass in der nachgeschobenen Version dann behoben wurde. Und hierbei ging es eben um sensible Daten.

  • Hi und vielen Dank für den Beitrag.

    Kurze Frage, stimmt es, dass man durch Word Press Pluggins sich Viren holen kann? Ich bin grad noch ein bisschen verängstigt, weiss jemand was?

    Vielen Dank!

  • Ich bin selbst auch ein großer Limousinenfan. Ich bin sogar schon desöfteren in einer Luxuslimousine geshutteled worden! 🙂 Das war der Hammer!

Kommentieren