WordPress – Unsichere Plugins müssen nicht sein

Löcher in der WordPress-Installation machen es Angreifern immer wieder einfach, eine solche zu kompromittieren. Dagegen kann man sich schützen. Nein, ich habe rein gar nichts davon, Ihnen das zu erzählen. Es liegt an jedem WordPress-Blogbetreiber selbst, da einen Sicherheitsgedanken zu haben und sich dann auch danach zu richten. So sehe ich zum Beispiel nicht die Notwendigkeit, jedes noch so coole Plugin einzusetzen. Aber das muss wirklich jeder selbst wissen. Aber Angriffe auf WordPress-Blogs kommen nicht von ungefähr, sondern meistens durch ungenügenden Schutz oder leichtfertiges Installieren von fragwürdigen Plugins und Themes. Sorry, da müssen wir jetzt einfach mal durch.

Ach, was mag man nicht alles für Funktionen im Blog unterbringen! Besucherzähler, hochwertige Galerien, Videogalerien, Formulare und all das. Ganze Shop-Systeme werden über WordPress abgebildet. Und alles kostenlos. Und da denke ich mir einfach, wenn man da nicht für die Anbieter Spalier läuft und deren Namen und Kontaktdaten spazieren trägt, dann bezahlt man die Gratisnutzung auf irgendeine andere Art und Weise. Da gibt es auf einmal Sicherheitsprobleme, Instabilitäten und all das. Und das kann alles behoben werden, wenn man den Heller-50 für ein Ticket einwirft. Es gibt dann durchaus Leute, die dann einfach mal mit den Problemen leben und so. Andere wechseln einfach das Plugin. Trotzdem kursieren unsichere Plugins immer wieder im Internet, sogar im WordPress Plugin-Verzeichnis.

Der Blog „Pressengers“ hat die unsichersten Plugins im Dezember aufgeführt. 7 der dort gelisteten Plugins sind millionenfach im Repository heruntergeladen worden. Allen voran das Galerie-Plugin „NextGEN Gallery“, gefolgt von der Sicherheitssuite „WordFence“ und dem Shop-System „Wp e-commerce“. Allein diese drei Plugins wurden ca. 18 Millionen mal heruntergeladen. Und diese Plugins sind nicht gerade ohne.

Nehmen wir als Beispiel mal „WordFence“. Das Plugin bietet einen Cloud-gestützten Schutz und eine Bedrohungsabwehr bei Brute Force Attacken. Es ist direkt an die WordFence Cloud angeschlossen, so heißt es. Aber immer wieder werden Sicherheitslücken aus genau diesem Anschluss bekannt. Die bessert zwar das WordFence-Team schnell wieder aus, aber für ein Sicherheits-Plugin ist das nicht tragbar.

NextGEN ist eins der beliebtesten Plugins aller Zeiten. Aber auch hier werden immer wieder Sicherheitsprobleme bekannt. Das kann man doch alles nicht stehen lassen. Ich meine, mit NextGEN kann ich wohl meinen Rechner mit dem Blog quasi verheiraten, und dann haben die immer wieder Sicherheitslöcher? Bitte nein, das schenke ich mir.

Mit dem E-Commerce ist es ja fast noch schlimmer, da da unter Umständen neben Benutzerdaten und Kundendaten auch Kontodaten einem Sicherheitsproblem ausgesetzt sind. Nein, ich habe hier ja keinen Shop. Aber das wäre in meinen Augen ja schon ein Desaster.

Mir fällt jetzt nicht wirklich ein gutes Galerie-Plugin ein. Ich hatte mal „Simple Lightbox“ im Einsatz und eins, das sich schlicht „Gallery“ nannte. Beide gaben dann irgendwann den Geist auf, sodass eingebettete Bilder eben erstmal auf einer blanken Seite dann angezeigt werden. Aber ich hatte bezüglich NextGEN immer schon ein ungutes Gefühl. Und das hat sich ja wohl jetzt bestätigt.

Das Fatale ist aber eigentlich, dass WordPress da nicht reagiert. Wie gesagt, 7 von 10 Plugins, die da Pressengers zusammengetragen haben, sind im Verzeichnis zu finden, nur die restlichen 3 werden wüst im Internet angeboten. Also kann man sich da auch nicht darauf berufen, Dinge wie Themes oder Plugins nicht aus dubiosen Quellen einzusetzen. Dann aber sollte man vielleicht erklären, wie man denn unsichere Plugins erkennt. Wahrscheinlich noch am ehesten daran, dass sie „nach Hause telefonieren“ wollen. Oder was meinen Sie?

One Reply to “WordPress – Unsichere Plugins müssen nicht sein”

  1. Hi Henning,
    wüsste jetzt auch nicht, wie man ein unsicheres Plugin entdecken kann. Ich setze Nextgen auch ein, aber da sind schon sehr viele Bilder damit als Galerien abgebildet. Das kann ich mir wohl dann schenken oder. Muss ich schauen, ob ich es entfernen werde.

    Da Nextgen millionenfach heruntergeladen wurde, denkt man sich nichts dabei und schon gar nicht daran, dass es Sicherheitslecks gibt. Andere Plugins aus der Liste setze ich nicht ein und ich bleibe bei meinen 30 oder so Plugins. Neue kommen fast nicht mehr dazu, es sei denn, es wird wirklich dringend benötigt.

    Limit Attempts musste ich auf meinem Hauptblog installieren, was ja zu einem guten Zweck ist. Aber sonst schaue ich nur, ob ein Plugin stets weiter entwickelt wird und ob es ein paar Meinungen dazu gibt. Bezüglich der Sicherheit können einfache WordPress-Nutzer doch nichts sagen und nutzen ein Plugin, solange man nichts Negatives darüber hört und auch später wahrscheinlich, wenn der Sicherheitsleck behoben wurde.

    Hm…da muss man wohl aufpassen, wenn man von den Sicherheitsproblemen erfährt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert