ein prima Überblick zum Thema WordPress und Sicherheit: WordPress Security Prevention, Reactions, and Scares. Das betrifft WordPress-Nutzer, die das System eigenhändig auf ihren Webserver aufgespielt haben, nicht WordPress.com!! So oder so ist das ein Killerargument, warum man WordPress nicht nutzen sollte. Denn, liest man sich den Artikel durch, so hat man am Ende vor lauter Aufgaben, die man erledigen muss, ein leichtes Schwindelgefühl. Das kannste knicken! Man muss sich schlichtweg um zu viele Sachen kümmern, das ist für einen normalen User nicht mehr akzeptabel, der es gerade noch schafft, ein eigenes WordPress-Blog aufzusetzen. Oder sagen wir es anders: Die „Mittelschicht“ der WordPress-Nutzer ist geküsst. Die einfachen User sollten sowieso auf fertige Lösungen wie WordPress.com oder Typedpad zurückgreifen, da die Anbieter die technischen Systeme für den User pflegen und warten. Die jedoch Einiges an Flexibilität aufgeben müssen (Einsatz von Templates und Plugins wie auch anzupassenden Widgets).
Was kann also Automattic tun, die für WordPress verantwortlich sind? Es ist unabdingbar, dass man über ein automatisiertes Updateverfahren nachdenkt, das zudem eine Abwärtskompatibilität zu eingesetzen und „zertifizierten“ Plugin gewährleistet. Wer als User nicht zertifizierte Plugins einsetzt, läuft sonst Gefahr, dass sein Blog nach dem Update der WP-Software nicht mehr funktioniert. Nur, es gibt noch kein System, das Plugins offiziell absegnet, weil sie sich an einen Standard gehalten haben. Ebenso ist darüber nachzudenken, dass das WP-Plugin-System über einen ähnlichen Update-Mechanismus verfügt, wie man ihn von Serendipity kennt (ein alternatives Blogsystem). Zumal das Aktivieren der Plugins bei Serendipity vorzüglich gelöst ist: Man wählt aus einer Liste von Plugins aus und fertig. Mehr ist da nicht zu tun. Bei WordPress muss man ein Plugin downloaden, dann ins Blog einspielen und dort aktivieren. Das ist old school! Also, es muss ein Update-Mechanismus für WP her, ebenso eins für Plugins und es sollte endlich über eine Strategie der Aufwärtskompatibilität von zu zertifizierenen Plugins nachgedacht werden (oder umgekehrt über eine Abwärtskompatibilität von neuen WP-Versionen zu zertifzierten Plugins). Immerhin ist WordPress mittlerweile weit verbreitet und Automattic sollte endlich wie eine professionelle SW-Firma agieren. Sonst sehe ich schwarz für WordPress.org (nicht für WordPress.com).
Diese ständige Updaterei in kurzen Zyklen von rund 1-3 Monaten ist jetzt schon zu einer Arie verkommen: Man muss immer bibbern, dass irgendein Plugin nach dem WP-Update eine kleine Katastrophe verursacht. Das geht so einfach nicht. Das kostet den User Zeit, aber auch Firmen, die WordPress einsetzen und für einen unnötigen langen Support wegen den Updateprozessen zuviel zahlen müssen. Neu hinzugekommen ist das zunehmende Sicherheitsproblem, das die Situation verschärft, WordPress als System überhaupt noch in einem vernünftigen Zeitrahmen handeln zu können. Von den Sicherheitslücken der Plugins selbst ganz zu schweigen. So ist es eben: Kleine Systeme, kleine Probleme, große Systeme, große Probleme (was die Verbreitung angeht).
