Man liest immer mehr, dass WordPress für jeden geeignet ist. Fix mit FTP auf irgendeinen Billighoster geschoben oder mit einem Klick installiert, dann kann der Spaß auch schon losgehen. Am besten 10 Blogs nebeneinander auf das gleiche System. Dann braucht man nur noch ein Theme, muss ein paar Plugins zusammenklicken und am Ende hat man eine tolle Website, oder?
Würde ich so nicht sagen – für mich ist das ein großes Risiko. Jeder kann ohne Kontrolle Plugins zur Verfügung stellen. Ich kann als Entwickler in diese Plugins einbauen was ich möchte. Das muss nicht einmal bösartig sein. Viele „Entwickler“ reißen hierdurch große Sicherheitslücken in die Webseite. Das kann auch sehr großen PlugIns und (man könnte meinen) sehr erfahrenen Entwicklern passieren. Das beste Beispiel ist hier sicherlich der RevolutionSlider gewesen, welcher da draußen garantiert noch tausendfach ungepatcht im Einsatz ist. So wurde auch die Website eines Kunden komplett übernommen.
Und wer weiß schon genau, was die Angreifer dann auf dem System treiben? Neue Admin-Benutzer anlegen ist das kleinere Übel, die findet man relativ schnell. Meistens werden natürlich auch Dateien im WordPress-Core angelegt, welchen PHP-Code enthalten, der den Angreifen auch die volle Kontrolle gibt, wenn man das Plugin deinstalliert oder gepatcht hat. Teilweise werden sogar in Bilddateien im Uploads-Ordner sensible Informationen versteckt, sodass der Angreifer sich dann zu jederzeit die Anmeldeinformationen holen kann. Solche Szenarien gibt es zu tausenden!
Wie soll also nun ein Anfänger auf so einem System den Schadecode finden und am Ende sicher sein, dass auch alles gelöscht ist? Die Antwort ist denkbar einfach: Gar nicht! Klar gibt es Plugins und auch ohne Ende Tutorials, wie man WordPress regelmäßig scannt und sicherer macht, aber ich wette, dass davon tausende Webseitenbetreiber nie etwas gehört haben. Das gehört auch meiner Meinung nach nicht zu ihren Aufgaben – immerhin wollen die meisten einfach nur Bloggen und Content schaffen. Ist ja auch alles gut und richtig, aber dann schlüpft doch vorher bitte nicht in die Schuhe eines Entwicklers oder Sysadmins, ohne von der Materie Ahnung zu haben. Ihr repariert und wartet doch euer Auto auch nicht selbst, sondern fahrt es nur! Sorry für den Autovergleich…
Wobei hier der Vorwurf mehr in Richtung WordPress geht. Klar möchte man den Marktanteil so groß wie möglich halten, aber warum vermittelt man, dass alles total einfach ist und man gar nichts falsch machen kann? Ihr lasst die ganzen Menschen in die Falle laufen! Die meisten merken ja noch nicht einmal, dass sie gehackt wurden. Wahrscheinlich wissen sie nichtmal von der Möglichkeit, dass das passieren kann.
Also:
- überschätzt Euch selbst nicht als Blogger
- nehmt lieber fertige Lösungen wie blogger.com, wordpress.com usw. (dort kann man auch eigene Domains nutzen)
- installiert nicht wild irgendwelche Plugins, lasst Leute mit Know-How über Plugins drüber schauen bevor ihr sie einsetzt
- und haltet die Anzahl der PlugIns so gering wie möglich
- haltet alles auf dem neuesten Stand und macht Updates!
- kümmert Euch um die Webseite, nicht heute installieren und dann in nem Jahr mal gucken. Leider ist WordPress sehr Wartungsintensiv, da ständig neue Updates für Core und Plugins erscheinen. Das halte ich übrigens nicht für ein Qualitätsmerkmal.
- nutzt eventuell sogar etwas anderes als WordPress. Durch die hohe Verbreitung ist es natürlich viel Attraktiver für Angriffe.
- bildet Euch weiter und beschäftigt Euch mit der Thematik wenn ihr die Seite wirklich selbst betreiben wollt
- nehmt nicht alles auf die leichte Schulter
- holt Euch professionelle Hilfe wenn ihr Euch angesprochen fühlt
Falls ihr Dir damit jetzt etwas Angst mache: Gut! Gerade in Zeiten, wo jeder meint ein PlugIn bauen zu können ist ein wenig Sensibilität geboten. Das gilt übrigens nicht nur für WordPress, sondern für jede Software. Nur ist die Hürde bei WP einfach so extrem niedrig, dass sich jeder mal daran versucht. Ich habe schon überlegt, ob ich mal eine Serie mit ein paar Reviews zum Quelltext verschiedener PlugIns mache.