WordPress und die Ansprüche bezüglich Sicherheit

Mal ehrlich: So langsam nervt die Sicherheitsdiskussion rund um WordPress. Eigentlich nicht wegen der (mangelnden) Sicherheit, sondern eher die Tatsache wie substanzlos die Diskussion geführt wird. Vorab: Ich bin wie die meisten zu wenig in Sachen PHP bewandert um die grundlegenden Sicherheitsprobleme von WordPress beurteilen zu können. Das ist aber auch gar nicht das Problem an der Diskussion. Das Problem ist vielmehr der Anspruch der erhoben wird. Dieser Anspruch richtet sich – für mich unverständlich – in letzer Zeit immer mehr gegen Automattic, den Betreiber von WordPress.com.

WordPress (die Software selbst) ist ein OpenSource-Projekt an dem sich grundsätzlich jeder beteiligen kann und an dem erst einmal keiner direkt Geld verdient bzw. direkt dafür verantwortlich ist. Es gibt eine Hand voll Personen die das Softwaretechnische Herz von WordPress „verwalten“ und z.B. darüber entscheiden welche Entwicklungen der Community in zukünftige Versionen einfließen. Das sind neben Matt Mullenweg, dem „Erschaffer“ von WordPress auch aber nicht nur ein paar weitere Angestellte von Automattic (nähere Infos dazu hier in der Sidebar). Mag man deren Produkt- und Entwicklungspolitik bzgl. WordPress nun gut finden oder nicht, aber für Forderungen wie sie Robert in seinem Beitrag ausgesprochen hat, ist da meines Erachtens keine Grundlage vorhanden:

Was kann also Automattic tun, die für WordPress verantwortlich sind? Es ist unabdingbar, dass man über ein automatisiertes Updateverfahren nachdenkt, das zudem eine Abwärtskompatibilität zu eingesetzen und “zertifizierten” Plugin gewährleistet.

Sorry Robert, aber das ist Unsinn. Dass Automattic nicht verantwortlich ist, ist das eine. Dass es nicht ihre Aufgabe ist die Infrastruktur für zertifizierte Plugins zur Verfügung zu stellen ist das andere. Wer bitte soll das leisten? Hast Du Dich mal ne halbe Stunde damit beschäftigt wie es hinter der Downloadseite von WordPress aussieht? Zum Beispiel auf der Tester-Mailingliste oder im Forum? Wenn man bedenkt wie viele Menschen WordPress einsetzen ist es gar jämmerlich zu sehen wie wenige sich in irgend einer Form aktiv beteiligen (und damit ist nicht nur die Programmierung gemeint). OpenSource funktioniert eben nicht nur durch nutzen + Ansprüche stellen. Der offensichtlichste Weg für jeden der der Meinung ist, dass bestimmte Absicherungsmaßnahmen für WordPress zu viel Aufwand wären, ist der zu einer anderen Software. Es gibt schließlich im OpenSource-Bereich jede Menge Alternativen die genauso kostenlos und mindestens genauso einfach zu installieren sind wie WordPress.

Andererseits wäre es aber eventuell auch ein Gedankengang selbst die Finger von Dingen zu lassen, von denen man keine Ahnung hat. Wenn meine Waschmaschine kaputt ist, repariere ich sie ja auch nicht einfach selbst obwohl ich von tuten und blasen keine Ahnung habe. Und wenn hier eine Steckdose zu setzten ist, hole ich dafür auch jemanden der sich damit auskennt. Erst die Dinge selbst in die Hand nehmen, weil ja alles so offensichtlich einfach ist und hinterher schimpfen, dass die nötigen Schritte um das ganze handfest zu haben doch schwieriger sind als gedacht zählt also nicht. Zugegebenermaßen ist das vielleicht auch ein Marketingproblem weil WordPress (übrigens nicht als einzige Software) immer mehr darauf abzielt quick & easy zu sein und das Gefühl zu vermitteln, dass es ein Klacks ist ein Blog zu installieren und alles sowieso bedenkenlos selbst gemacht werden kann. Vielleicht sollte da auch an den entsprechenden Stellen darauf hingewiesen werden, dass ein Webhoster mit PHP und MySQL doch nicht die einzigen Voraussetzungen sind. Ein bisschen KnowHow und der Wille sich mit der Sache intensiver auseinanderzusetzen gehören eben auch dazu.

On this site you can download and install a software script called WordPress. To do this you need a web host who meets the minimum requirements and a little time. WordPress is completely customizable and can be used for almost anything. Quelle

Am Ende steht aber doch jeder selbst in der Verantwortung und sollte spätestens nachdem er Kenntnis davon hat nach entsprechenden Alternativen suchen. Das ganze ist analog anwendbar auf Root-Server. Jedermann kann heute für unter 50 € im Monat irgendwo einen dedizierten Server mieten. Sogar Plesk ist dabei, was das Anlegen von Domains, Mail-Accounts etc. zum Kinderspiel macht. Die Tatsache, dass vermutlich mindestens die Hälfte aller Root-Server-Kunden (wahrscheinlich sogar noch mehr) nicht in der Lage ist das System halbwegs abzusichern stört dabei keinen. Das gleiche gilt übrigens auch für die typischen Schüler-Produkte vServer. Eine nicht unerhebliche Zahl dieser Dinger sind Spamschleudern, weil sie nach allen Seiten hin offen sind.

Und so ist das eben auch bei WordPress. Und bevor man als derjenige, der keine Ahnung hat auf professionelle Betreuung zurückgreift oder alternativ als kostengünstigere/kostenlose Alternative auf eine Software die weniger bunt und umfangreich, dafür aber sicherer ist, beschwert man sich, dass andere einem die Arbeit nicht durch eigenen Einsatz abnehmen. Selbst aktiv beteiligen wäre hier die Devise.

28 Gedanken zu „WordPress und die Ansprüche bezüglich Sicherheit“

  1. Ich nutze zwar kein WordPress sondern Serendipity aber im Prinzip tue ich auch nichts dafür. Das ist bei vielen OpenSource Geschichten das Problem.

    Wir haben immer tausend Gründe warum wir nichts dazugeben und auch keinen Cent übrig haben und stellen gleichzeitig immer höhere Anforderungen.

    Wir sollten uns wirklich einmal selbst in den Hintern treten.

  2. Ich persönlich halte es so: Ich nutze die Software gerne, ärgere mich auch schon mal über Details, mache aber keine große Sache daraus. Ich akzeptiere, dass eine Software nie wirklich „fertig“ ist und immer etwas verbessert werden kann.
    Ich ziehe nicht los und sage „och Mensch, das wird aber Zeit, dass das gefixt wird“. Mir persönlich fehlt das Know-How, um mir ein Urteil darüber bilden zu können, wann etwas wie geändert werden soll. Ich *kann* es nicht besser machen und von daher vertraue ich den Entwicklern und der Community von WordPress, dass hier etwas geschieht. Ich sehe jeder Änderung gerne entgegen, auch wenn das jetzige gut ist. Veränderung ist gut :o)

    Dein Beitrag hat mich aber grade mal ermutigt, für WordPress auch mal wieder was zu spenden. Hatte das schon lange mal vor, aber dann wieder vergessen. Nun hab ich’s getan. Ein WP-T-Shirt hab ich mir ebenfalls schon vor einiger Zeit bestellt und es trägt sich super :-D

    Um wieder auf’s Thema zurückzukommen: Ich kann nicht wirklich einen aktiven Beitrag zur Community leisten, da mir die Kenntnisse fehlen, unterstütze aber gern durch finanzielle Mittel.

  3. @FuNKeR: Ein guter Ansatz, aber Geld ist nicht das primäre Problem.

    Aktive Beteiligung ist übrigens auch durch Dokumentation, Testen (sehr wichtig v.a. das anschließende berichten von Fehlern) und andere Dinge möglich. Man muss also keinesfalls programmieren können um die Entwicklung von WordPress zu unterstützen.

  4. Schade, dass du auf den Schwachsinn von Robert eingehst. Ich hab den schon vor Monaten aus meinem Feedreader geschmissen u.a. wegen solchen sinnlose Rants ohne fundiertes Hintergrundwissen von ihm.

  5. Da geb ich dir natürlich recht. Nur stelle ich selten wirklich Fehler im Programm fest, sodass es da keine Nutwendigkeit gibt, etwas zu melden. Feature-Requests wäre eine Sache, aber meist wird mit der nächsten Version schon das meiste mitgebracht. Siehe Tags, Widgets etc.

    Ich habe tatsächlich noch nie *wirkliche* Probleme mit WP gehabt, die nicht auf meine eigene Blödheit zurückzuführen waren ;o)

    Sollte ich was finden, würde ich das auch einbringen. Bei einigen Plugins tue ich das auch gelegentlich. Bei WP selbst war das noch nicht nötig.

  6. Frank, nach deiner Philosophie wäre Firefox ein kümmerliches Etwas geworden, sorry, das ist kein Ansatz für populäre Open Source Software. Die Frage nach einer vernünftigen Updatemechanik und Plugin-Standards (um Abwärtskompatiblität von künftigen WP-Versionen zu den Plugins zu erreichen) ist eine Frage der Vernunft und nicht eine Frage, ob User jammern dürfen. Entweder will man eine weit verbreitete Software verbessern oder eben nicht, gerade weil es viele nutzen und gerade weil die Sicherheitsprobleme größer werden, da sich mehr damit befassen. Wäre schön, wenn Du darauf eingehen würdest und nicht darauf verweist, wer sich zuständig fühlt und was an Sonderlösungen existiert und dass sich User andere Waschmaschinen holen sollen.

  7. Ich nutzt WP aktuell für 2 Blogs. Allerdings auch, ohne wirklich was dafür zu tun. Ich habe mal ein paar Plugins auf deutsch übersetzt, und die Sprachdateien den Entwicklern zur Verfügung gestellt. Das ist aber auch alles.

    Ich stelle allerdings auch keine großen Ansprüche an WP und die Plugins, denn schließlich darf ich doch froh sein, dass es so tolle Software gratis gibt. Ich weiß, als Ausrede zieht das nicht…

  8. Rob, ich glaube ich verstehe einfach dein Problem nicht. Mir ist in über 10 Jahren Webmasterei noch nicht viel Software untergekommen die leichter zu aktualisieren wäre als WordPress. Große Inkompatibilitätsbedenken muss man auch nur bei großen Versionssprüngen und nicht bei Sicherheitsupdates haben.

    Und ja, wem das zu viel ist und wer hier ansetzen will bei Verbesserungen, der wäre meines Erachtens wirklich bei „anderen Waschmaschinen“ besser aufgehoben. Da gibts wohl ganz viele andere Dinge die Verbesserungswürdig wären – die Sicherheit selbst zum Beispiel.

    Firefox ist übrigens ein gutes Beispiel – die Software ist vergleichbar Populär (bezogen auf den Gesamtmarkt), es gibt unzählige Addons und damit verbunden jede Menge Nachteile (Performance, Lücken durch „schlechte“ Addons). Die Frage ist doch: Was ist das Ziel?

    Plugin-Standards gibt es übrigens auch bei WordPress. Ohne diese Standards (Plugin API) würden die Plugins gar nicht funktionieren.

    Unterm Strich bleibt der Fakt, dass OpenSource-Software nur dann gut ist, wenn Menschen da sind die sie gut machen. Dass es Dinge zu verbessern gibt – egal ob bei WordPress oder anderen Projekten – ist hinlänglich bekannt und das ist auch ein dauerhafter Prozess. Eine noch idiotensicherer zu bedienende Software als es WP schon ist, ist da aber in meinen Augen keine Hilfe.

  9. Hi, also im Prinzip muss man da Dir schon recht geben. Es ist Open-Source, und damit ist entweder keiner, oder alle gleich mit verantwortlich. Wenn es jemandem nicht passt, wie es funktioniert, ist es einem freigestellt, es besser zu machen.
    Man kann auch mit Geld etwas bewegen. – nichts anderes ist Firefox. Firefox hat sich Mozilla als Basis genommen mit dem Ziel etwas besser zu machen – und sich mit zusätzlichem Geld zu finanzieren um dann weiter verbessert zu werden.

    Nun, ich kenne mich technisch durchaus in einigen Details aus, und daher muss ich sagen, dass WordPress leider viele Versionen der Vergangenheit immer noch wahre Spamschleudern sind. (und von vielen entsprechend missbraucht werden.)
    Habe mehrere Domains, und davon wird eine bestimmte von WordPress spammern versucht zu abusen. (also diese versuchen mit den „gehackten“ WordPress Sites meine Site mit Ping- und Trackbacks zu spammen)
    Diese eine meiner Domains bekam im April täglich 50.000 Trackback Spam Hits von den WordPress Versionen
    WordPress/2.1.2
    WordPress/1.9
    WordPress/2.0

    Das weiss ich aber, und daher setzte ich selbst nicht auf WordPress. Zum einen, weil bekannte Software einfach viel grössere Angriffsflächen bietet – und unbekanntere Software dadurch etwas mehr Sicherheit bieten kann, auch wenn diese nicht unbedingt besser ist.
    Zu einigen Kommentarvorrednern: Manchmal ist es technisch nicht möglich, Rückwärtskompatibilität zu leisten – das hängt von den Änderungen ab, die stattgefunden haben. Auch Firefox ist nicht in allen Versionen 100% Backwards kompatibel, das wird mit der nächsten Version 3 auch so sein. Innerhalb einer Mainstream Version ist dies allerdings meistens der Fall. Und für die Plugins kann man meistens nicht wirklich etwas machen weil diese oftmals anderen Open-Source Teams betreut werden!

    ;-)

  10. Nix für ungut, aber eine Version 1.9 gab’s bei WordPress nie: http://wordpress.org/download/release-archive/

    Trackback-Spamhits in diesem Umfang? Da bist Du Dir sicher? Nun gut, selbst wenn – wenn die tatsächlich von WordPress kommen ist das in der Regel noch kein Zeichen für Unsicherheit. Es wäre mir zumindest komplett neu, dass der WP-Blog eines dritten für Trackback-Spam missbraucht worden wäre. Zumindest ist mir das (in ebenfalls zahlreichen betreuten Installationen) bisher noch nicht untergekommen. Die angesprochenen Sicherheitslücken beziehen sich auch meines Wissens in keinster Weise auf Blogspam sondern eher auf die direkte Einflussnahme auf den „unsicheren“ Blog (Spamlinks in Templates und Beiträge einpflanzen) etc. pp.

  11. In einem Punkt muss ich Donneker Recht geben: WP ist auf Grund seiner Verbreitung in der Tat ein lohnendes Ziel für Cracker, weniger verbreitete Software ist da weniger gefährdet. Ich sage bewusst nicht: Sicherer.

    Es ist halt wie mit den Viren: die werden zu 99% für Windows geschrieben, da hier der größte „Erfolg“ erreicht werden kann. Ich bin mit meinem Linux da besser dran, auch wenn es da genügend Sicherheitslücken gibt.

  12. Jop, ich nochmal.
    Ja, ich bin mir da sicher. Zur Version 1.9, tatsächlich ist sie nicht gelistet, d.h. entweder gab es eine Alpha Version, welche nicht aufgehoben wurde, oder es ist ein Abzweig vom Original WordPress gemacht worden.
    Selbst benutze ich auch Linux, aus gleichem Grund @Markus. Das Problem liegt eben hierin, dass viele eine Software einmal installieren, und dann NIE wieder updaten, trotz kritischer Sicherheitslücken, was erklärt, wieso es so noch so viele alte Versionen gibt. Also 100% kann ich nicht sagen, dass es WordPress war, aber der Zugriff authed sich im Apache Log wie oben beschrieben.
    Für Hacker ist es meistens lohnender ein System zu kapern, ohne dass der Betreffende etwas mitbekommt, gerade bei Botnetzen (z.B. für Spam (auch eMail)) – können diese dann lange benutzt werden, ohne dass die Betroffenen etwas merken. Dies ist ja bei vielen Windowssystemen auch der Fall. Die meisten Trojaner machen sich ja auch nicht bemerkbar – sie nutzen das System eben solange es geht bzw. nicht auffällt…
    Auf meinen eigenen PCs ist mir sowas selbst noch nicht passiert, zumindest die letzten vier Jahre in denen ich Linux einsetze. Auf meinem Server / Domains, ist mir dies selbst sehr wohl schon passiert. Eine – obwohl kaum bekannte und individuell geschriebene – PHP Seite wurde von mir mal abused über Cross-Site Skripting und so mein Server als Massspam Mailer missbraucht. Glücklicherweise ist dies mir relativ schnell aufgefallen und ich konnte eingreifen und den Bug selbst beheben – aber ich bin mir sicher, es gibt viele bei denen dies anders läuft…

  13. Ich bin Schüler und besitze einen vServer, meine Spamschleuder ist sicher – zum Glück. Aber zum Thema, Automattic ist eine Dienstleistungsfirma rundum WordPress und nicht die Verantwortlichen, einige der Entwickler vom WordPress arbeiten nicht bei Automattic (Ich glaube einer ist von Yahoo, kann mich aber auch irren). Was man aber vielleicht von Automattic fordern kann ist Aufklärung das zusammen mit der Community, vielleicht ein einfache Sicherheitsanleitung die jeder lesen und verstehen kann. Man sollte aber nicht Automattic für alles verantwortlich machen. Und das Automattic Server extra für WordPress.org, für das Pluginverzeichnis und die Supportforen stellt kann man etwas Dankbarkeit erwarten. Sie könnten das ganze Projekt auch einfach auf SourceForge.net verschieben und sich damit nicht beschäftigen.

    Gruß Dennis

  14. Ich finde schon, dass die Sicherheitsproblematik von WP ein Thema sein muss. Im Moment wäre es für mich unverantwortlich ein System herauszugeben, das auf seiner Webseite verrät, welches die Dateien mit den Sicherheitslücken sind. In Version 2.5 haben sie das gemacht, gleichzeitig steht die Version in einem leicht auszulesenden meta-Element auf jeder Seite. Das ist – hier gar nicht mal so aus der Programmierer-Sicht – einfach grob fahrlässig.

    WP hat es nicht geschafft für die Plugins ein Framework zu setzen, das den Zugriff auf Dateisystem und Datenbanken richtig gut regelt und so kapselt, dass es jeder benutzen kann.

    Zum Thema Automattic: Die haben das AAL-Prinzip natürlich bis zum Exzess ausgereizt. Machen eine Pseudo-Open-Source Software und kassieren dann Support-Gelder für das Stopfen der selbst eingebauten Sicherheitslücken. Bravo. Wer so viel Geld verdient, der hat sich auch um seine Software richtig zu kümmern. Die Sicherheitslücken in WP 2.5 waren bzw. sind Anfängerfehler, so etwas darf bei der Qualitätskontrolle nicht durchgehen. Aber so etwas scheint es ja nicht zu geben. Testen kann man ja auch die anderen lassen…

  15. @Eric: Gibts für die Sicherheitslücken (Anfängerfehler) in WP 2.5 eine Quelle mit Details? Wär schön wenn Du nen Link dalassen könntest – bei bedarf auch gerne privat per Email/Twitter.

  16. WordPress gibt dem Anwender Tipps zur Sicherheit mit, siehe Link.

    Für den Zugriff durch Plugins gibt es Schnittstellen und kein gekapseltes Framework. Dies wurde bewusst so gewählt, weil man alle Flexibilität, die WP auch so beliebt gemacht hat, erhalten will. Aus Programmierersicht kann man da sicher streiten, auch durch die Kapselung könnte man Flexibilität erhalten, wenn auch anders und nicht mehr in der Einfachheit, wie ich meine. Eine direkte Anfrage an Matt und Team gab mir diese Antwort. Im weiteren gibt es ein Framework für Plugins, wer auf Nummer (Sicher) gehen will, der erweitert damit und hält sich an den Codex. Viele Lücken kommen mit Plugins und Themes – im Netz wird es aber auf WP geschoben.
    Was wollen die Anwender? wp.org zeigt das ganz klar, dazu sind Wunschliste etc. da – sie wollen mehr Einfacheit, mehr Flexibilität und Umfang der Funktionen. Klar kann man die Install z.b. so machen, dass man nicht „Admin“ als Login hat und viele weiter kleine Sachen, aber das sind Punkte, die sind Usern schon zu viel, ein vergebenes Passwort reicht ihnen und das war es dann. Auch könnte man eine .htaccess anlegen und befüllen. Mit einigen Servern gäbe es dann eventuell Probleme und schon wieder wären User unzufrieden.

    Was kann WP dazu, dass wir kritischen deutschen Nutzer so wenig an dem Feedback teilnehmen? Im Entwicklerlager ist von dem KnowHow in DE nichts bekannt, man liest keine deutschen Blogs und im englischsprachigen Raum sind die Stimmen nicht so kritisch. Wobei ich Kritik nur auf begründete Kritik beziehe.

    Ich selbst habe eine Reihe von Entwicklungen für WP unternommen und habe auch regen Kontakt zu Leuten, die ähnliches tun – vollkommen kostenlos und uneigennützig, genauso wie viele Tipps vieler vieler Leute im Netz. Da gibt kaum einer einer Spende o.ä., wenn dann sind es immer die gleichen Absender. Trotzdem gibt es Leute die Umsetzungen fordern!
    Immer wieder sehe ich WP-Install’s, die nicht mal die klassischen Punkte, die ich und andere in zig Beiträgen posten, umsetzen – gleichzeitig schalten sie aber alle möglichen Plugins und Gimmicks ein – ohne darüber nachzudenken, experimentieren im Liveblog und klagen dann über die Sicherheit von WP. Es werden aus sehr vielen Blogs alle möglichen Tipps umgesetzt, egal was sie bewirken. Man lernt am System. Dagegen ist nichts einzuwenden, aber dann bitte auch die Konsequenzen tragen.

    Nichtsdestotrotz soll man kritisch bleiben – eine Benefit von OSS ist doch, dass man auch als Nichthacker den Code einsehen kann. Damit wird es flexibel, man kann recht einfach eingreifen, man kann aber auch Fehler finden, verbessern und mitmachen.
    Ebenso kenne ich kaum eine Software, die so populär ist und eine so anagierte Community hat, die Patches kommen rasend schnell und dann meckert man über die vielen Updates. 2.5.1 behebt 70 Fehler in einer sehr kurzen Zeit. Das ist eine große Zahl, bei weitem nicht alles, aber für ein recht umfangreiches System mit offenem Code auch nicht viel. Würden noch mehr User ihre Fehler beim test an WP senden, dann wären diese Probleme schon zu 2.5 aufgetaucht und behoben. Aber manchmal kann man nicht alles im Test sehen und ein Liveblock und die Aufgaben für Kunden zeigen dann oft erst die Schwächen.
    Der Markt ist umfangreich und vielfältig, nutzt eine andere Software und vergleicht. Wenn sie dann annähernd so populär wie WP ist, dann soll man mal vergleichen.

    Natürlich gibt es auch Positivbeispiele im OSS-Umfeld, denke da an Magento. Aber WP ist gewachsen, extrem schnell und das ist durch die Nutzer passiert. Weniger und gleiche Anforderungen der User, z.b. Sicherheit, sorgen auch bei WP für ein Denken in diese Richtung. Die Umstellung auf eine andere Form des Coding ist nicht so einfach und nicht mal schnell gemacht. Klar ist Objektorientiert schön und auch sicherer. Aber auch da kann man genug Fehler machen. Ebenso ist die Performance von OO nicht gleich zu setzen, Ebenso könnte man WP nur auf Basis PHP5 schreiben, wäre sicherer, mehr Filter, mehr PHP-Sicherheit. Ein Restrisiko bleibt und das Meckern wäre trotzdem das Gleiche, es gibt immer etwa zu kritisieren.
    ABER – dazu gibt es doch die Auswahl. Es steht genügend an Alternativen bereit und sie muss nur genutzt werden.

    Der Aufruf von Frank finde ich in jedem Fall richtig – Mitmachen hilft.

    … man könnte jetzt sicher eine große Diskussion heraus bringen, aber erstens ist das Kommentarfeld bei Frank sehr klein ;-) und meine Augen ebenso und zweitens finde ich diese Form nicht ausreichend für derartige Themen, dafür sollte man die Barcamps nutzen, dort ist es richtig aufgehoben und kann viel besser an die richtigen Personen heran getragen werden.

  17. Zur Frage „Sind Sicherheitslücken in WordPress Anfängerfehler?“ gibt’s zwei Indizien aus der WP 2.5, die zumindest eine gewisse Sorglosigkeit erkennen lassen.

    1. Die fehlende Konfiguration des SECRET_KEY bei bestimmten Installationsverfahren wie One-Click-Installation durch den ISP oder browserbasierende Installation auf Windows-Systemen.

    Wenn mit guter Absicht ein Verfahren eingeführt wird, das die Benutzerverwaltung gegen den Angriff über MD5-Hashtabellen absichern soll, dann müsste man meine, dass der Einsatz dieses Verfahrens auch gut geprüft wird.

    2. Der Bug, der letztendlich zu der Veröffentlichung von 2.5.1 gezwungen hat, war in einem Denkfehler begründet, der bereits eine ähnliche Sicherheitslücke in 2.3.2 geöffnet hat.

    Das Bemerkenswerte daran ist, dass beide Advisories auch noch vom selben Autor (Steven J. Murdoch) stammen. Er schreibt auch:

    This class of vulnerability, the cryptographic splicing attack, was commented on by Fu et al [1], but WordPress does not employ their recommended defence.

    Also, so ganz aus der Verantwortung lassen kann man Matt Mullenweg/Automattic/WP.org nicht. Das WordPress.org Open Source ist, bleibt ja nicht unbelohnt – siehe WP.com.

    Die Ideen von Robert Basic sind meiner Meinung nach recht praxisfremd. Ich möchte nicht in der Haut der WP-Leute stecken, wenn der automatische Upgrademechanismus mal ein paar populäre Blog shreddert, weil eine bestimmte Konstellation nicht berücksichtigt wurde.

  18. Eine Diskussion über Kritik und Lob und Mitmachen kann man lange ohne Nutzen führen. Ich möchte nur dazu sagen: Ein Programm ist so gut, wie es von den Menschen programmiert wurde. Wenn das Programm mit anderen Programmen, welche von anderen Menschen programmiert wurden, tangiert, dann könnten schwer zu lösende Probleme entstehen. Ein Beispiel ist das Betriebssystem Windows. Es ist ein komplexes Programm, welches mit anderen Programmen, Treibern etc. zu tun hat. Gut, MS Windows ist nicht Open Source, aber das Problem ist das Gleiche: Es gibt Menschen, die Windows mit schlecht programmierten Programmen, nicht stabilen Hardware-Treibern o. ä. nutzen und bei Abstürzen natürlich über Windows und Microsoft schimpfen. Andere nutzen Linux, lachen über Windows-Nutzer, fummeln selber im Betriebssystem, kompilieren Programme selber, jammern dann aber nicht, wenn etwas nicht rund läuft. Es gibt auch Mac OS Nutzer, die das Problem mit dem Betriebssystem gelassen sehen und evtl. mit dem Tiger auch ihre Probleme haben. Es gibt natürlich auch böse Menschen, die versuchen Windows zu hacken und ein Nutzen daraus zu ziehen. Microsoft ist dann eben gezwungen, da gebe ich Robert wenn ich ihn richtig verstehe Recht, Gegenmaßnahmen zu unternehmen. Microsoft will auch Schnittstellen reglementieren, Zertifizierung für Treiber einführen, User nicht als Administrator am System fummeln lassen usw. Fakt ist: Microsoft muss was tun, nicht die Software- und Treiberhersteller. Und das klappt leider nicht so gut und sicherlich nicht so, wie sich der Konzern das vorstellt. Sorry, dass ich das Wort Micro… oft verwende, ist keine Absicht, ich bin auch kein Freund von Bill Gates, ich sehe es einfach so und möchte die auch ein wenig in Schutz von der Kritik nehmen.

    Mit WordPress ist es meiner Meinung nach ähnlich. Es ist einfach so, die Software wurde mit Themes und Plugins konzipiert (was natürlich Vor- und Nachteile hat und was WP so beliebt gemacht hat), es wird ein Administrator mit der ID=1 angelegt usw. – da hilft jammern und kritisieren nichts. Andererseits sollte da Auttomattic was tun, um WordPress unabhängig von den Themes und Plugins sicherer zu machen.

    Mit automatischen Updates für Plugins funktioniert es ja auch schon teilweise, was z. B. Frank Bueltge in seinem Blog bereits angesprochen hat. Es gibt auch Plugins fürs Aktualisieren der WordPress-Installation. Es gibt auch gute Plugins zum Backup der MySQL-Daten. Es gibt viele gute Plugins, also braucht man eigentlich nicht zu jammern.

    @Robert: Ich denke, WordPress kann man schlecht mit Firefox vergleichen.

    Zum Thema mitmachen: Es ist ein anderes Thema; viele haben ja schon gesagt, man muss ja erstmal von der Materie eine Ahnung haben, um mitmachen zu können. Es nützt den Entwicklern von WordPress nichts, wenn einer z. B. im Forum schreibt: „Ich habe mein Internet versehntlich gelöscht. Was soll ich tun? Bitte helfen!!!“ Andererseits wollen die Mitmachenden auch das Gefühl haben, dass sie ernst genommen werden. Da gab es, so viel ich weiß, ein wenig Kritik Richtung Auttomattic. Aber wie auch immer und wie es so schön heißt: „Mitmachen lohnt sich!“ und „Mittendrin statt nur dabei!“

  19. Um mal eine leicht andere Farbe ins Spiel zu bringen:
    ICH wäre durchaus bereit, für WordPress Geld zu zahlen. Wenn das helfen würde, die Software „sicherer“ zu machen.

    Aber ich bin mir gar nicht sicher, ob das wirklich helfen würde.

  20. @ Upwärtskompatibilität von Plugins, einheitlicher Standard von Plugins etc.

    Plugins sind Zusatz. Und dieser Zusatz wird von der WP Gemeinde generiert. Für so Zusätze kann man Vorgaben ende nie machen, die Open Source Gemeinde WP wird sich nicht immer dran halten,

    Sie ist Auttomatic keine Rechenschaft schuldig.

    zu 90% sind Sicherheitsmängel, die zu gehackten Blogs führten nicht auf etwaige Programmierfehler zurückzuführen, sondern auf Unbedachtsamkeit.

    alles was automatisch abläuft entzieht dem Anwender die Kontrolle.

    siehe Vista, da biste nicht mal mehr eigener Admin Deines PCs, sondern Microsoft- dies mag ich bei WP garantiert nicht haben.

    klar ist 1Klick Update praktisch – keine Frage, man muss nur soviel lesen können , um den Klick zu finden, aber gut ist es nicht.

    lg

  21. Ja, es ist immer ärgerlich wenn die Sicherheit nicht gegeben ist, aber Leute, WP ist OSS und ist frei verfügbar mit unzähligen Templates, Plugins etc. Viele nette Menschen haben Stunden, Tage, Wochen, Monate ihrer Zeit in dieses System gesteckt und sozusagen „nichts“ dafür bekommen. WordPress ist mE ein tolle Software, ich nutze sie gerne – ich weiß aber auch, dass wenn ich etwas 99 %iges haben möchte, muss ich viel Geld ausgeben und selbst was auf die Beine stellen.

    So what? Freuen wir uns, dass es WP gibt und versuchen wir doch WP ein wenig von dem zurückzugeben was wir User schon in Anspruch genommen haben (ohne zu bezahlen).

  22. Diese Diskussion halte ich, wie so manch andere auch ;-), für müßig, vielleicht sogar für überflüssig. Denn weder die Gruppe der WP-Fans, noch die Gruppe der Zweifler oder WP-Hasser ;-) wird die andere Gruppe mit ihren Argumenten überzeugen können. Das ist auch gar nicht notwendig, denn jeder Anwender muss vor der Installation eines Systems oder einer (Web-)Anwendung selbst entscheiden, was für ihn am Wichtigsten ist. Wenn er eine Anwendung sucht, die wirklich sicher vor Hackern, Spam & Co. ist, weil er z. B. Patientendaten mit anderen gemeinsam nutzen will, dann ist WP tatsächlich der falsche Partner. Dies gilt aber nicht nur für WP, sondern auch für viele andere Webanwendungen. Eigentlich gilt es für das gesamte Internet. Sicherer wäre hier wohl die Nutzung eines Intranets.
    Wenn aber die Sicherheit nicht an erster Stelle steht (weil ich z. B. auf meiner Website nur Tipps zum Thema veröffentlichen oder der Öffentlichkeit meine Meinung geigen will), sondern die leichte Handhabung, der Preis und der gute (meist kostenlose) Service im Vordergrund stehen, dann kann sehr wohl WP das Richtige System sein. Kann, muss es aber nicht.

    Kurz & Knapp:
    Es gibt kein System/Programm auf dieser Welt, das alle Menschen glücklich macht. Das wird es auch niemals geben. Das kann es auch nicht geben. Denn wir alle haben unterschiedliche Bedürfnisse, Erfahrungen, Kenntnisse…. Bei der Auswahl des Programms müssen diese berücksichtigt werden. Nicht mehr und nicht weniger.

    Die Kritik von Robert und den anderen mag mir vielleicht persönlich nicht „schmecken“, aber die Kritik ist nicht immer unbegründet und teilweise sogar konstruktiv.
    Grundsätzlich halte ich konstruktive Kritik für wichtig. Denn nur dann wird sich zukünftig etwas ändern. Ob die Änderung dann positiv zu bewerten ist, das ist dann eine ganz andere Frage. Sicher ist nur, dass es sich ändern wird. Und das ist erst einmal gut so. ;-)
    (Ein kurzer Sprint in die Vergangenheit: Wenn sich ein Affe damals nicht dafür entschieden hätte, den Baum zu verlassen, weil ihm langweilig ist, dann würden wir noch heute auf den Bäumen sitzen und uns gegenseitig die Ohren kraulen. ;-))

    Ich wünsche Euch allen weiterhin viel Erfolg (mit oder auch ohne WP).

    VG
    Elke

  23. Es nervt mich oft, wenn mal wieder ein Update herausgekommen ist und ich dann knapp 15 Blogs auf meinem Server upzudaten habe – aber es nervt ich nur kurz. Wenn die Arbeit getan ist bin ich froh, dass Sicherheitslöcher so schnell geschlossen werden.

    Von der Bedienung finde ich wordPress unschlagbar – und ich habe mir schon so einiges angesehen. WordPress macht super viel Spaß und man kann sich wunderbar um das kümmern, worauf es eigentlich ankommt: um die Inhalte.

    Diese Sache mit den Spenden finde ich irgendwie nicht so glücklich. Ich würde tatsächlich gern für eine neue Versionsnummer bezahlen – so, wie ich es auch mit der anderen Software auf meinem Computer mache. Wer mit der alten Version glücklich ist, nutzt halt die weiter – oder wie wäre es mit einer „Premium“-Version? Muss ja nicht so heißen, aber vielleicht ist da irgendwas drin oder dran, was einem die tägliche „Arbeit“ mit WordPress erleichtern würde?

    50 Euro fände ich OK – dann wäre auch mal Geld für die Entwickler da.

    Meine unpopuläre Meinung …

    Jörn

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *