WordPress – Warnung vor dem Plugin „WP App Studio“

Stellen Sie sich vor, Sie wollen in Ihrem WordPress Blog zusätzliche Funktionen einbauen, haben aber nicht so den Draht, selbst etwas zu programmieren. Sie wollen die Möglichkeiten von WordPress ausreizen, können aber Ihre Vorstellung wegen mangelnder Kenntnisse nicht selbst umsetzen. Dann greifen Sie sicher auf ein Plugin zurück.

Es gibt da ein Plugin namens „WP App Studio“, das genau das verspricht und dann selbständig den Code generieren soll. Tolle Sache, die Sache hat nur einen klitzekleinen Haken, weshalb ich einfach mal beherzt vor der Nutzung dieses Plugins warnen möchte.

WordPress kann man ja wunderbar an seine Bedürfnisse anpassen. Findige Designer und Programmierer machen aus einem normalen Blog die eine oder andere ganz tolle Sache. Wenn man aber nicht die Kenntnisse hat, aber auch solche Dinge machen will, benötigt man Hilfsmittel. Mir würde das zum Beispiel so gehen, und deshalb habe ich aufmerksam gelesen, was mir da über den Weg lief.

Das Plugin „WP App Studio“ soll laut Entwickler-Angaben alle möglichen Dinge in Sachen zusätzlicher Funktionen generieren können. Man muss nicht einmal irgendeinen Code schreiben oder einbauen können, das macht alles das Plugin selbst. Klasse Angelegenheit, oder? Aber so ist es dann doch nicht.

Denn der Code wird nicht vom Plugin generiert. Der Benutzer klickt irgendetwas in dem Plugin zusammen, was er gern in seinem Blog haben möchte und nicht schon Standard ist. Und dann wird die Anfrage nicht etwa lokal im Plugin verarbeitet, sondern an einen externen Server übermittelt, der dann den Code erstellt.

Was erst einmal nicht so weltbewegend klingt, kann aber fatale Auswirkungen haben. So könnte es möglich sein, dass der Entwickler und Betreiber des externen Servers, emarket-design, Schadcode in den Blog einzuschleusen. Der Blogbetreiber, also der Benutzer, wird davon nichts mitbekommen. Denn ein solches Plugin würde nur von Betreibern wie mir eingesetzt werden, die mit der Programmierung etwas auf Kriegsfuß stehen. Und diese Benutzer würden dann den gelieferten Code nicht überprüfen, weil einfach mal die Kenntnis dafür fehlt.

Weil eben jedweder Code, ob gut- oder bösartig, eingeschleust werden kann und das Plugin vielleicht sogar ständig „nach Hause telefoniert“ und vielleicht im Hintergrund irgendwelche Daten unbemerkt übermittelt, muss ich dringend davor warnen, dieses Plugin einzusetzen. Tun Sie sich den Gefallen und nutzen es nicht bzw. entfernen Sie es umgehend aus Ihrer WordPress-Installation.

Ich bin auf diese Geschichte durch einen entsprechenden Eintrag von Franz Josef Kaiser bei Google+ gestoßen. Das Plugin ist inzwischen gemeldet und könnte aus dem Plugin-Verzeichnis von WordPress heraus fallen. Aber wenn man so über das Plugin nachdenkt, sollte man es in jedem Fall nicht nutzen. Sie wissen ja gar nicht, was das Plugin überhaupt an den Server übermittelt.

Welche Erfahrungen haben Sie gemacht? Gehören Sie zu den über 500 Benutzern, die dieses Plugin aus dem offiziellen Plugin-Verzeichnis heruntergeladen haben?

Bildquelle: Wordpress Administration ab V. 3.3 – Matt Mullenweg, Ryan Boren – Screenshot erstellt von Seir – Public Domain via Wikimedia Commons

Was Sie auch interessieren könnte:

Schreibe einen Kommentar

Mit dem Nutzen des Kommentarbereiches erklären Sie sich mit der Datenschutzerklärung einverstanden.