Updates für mehr Sicherheit. Was aber, wenn man kein Update machen kann?

| Der WP-Typ » Updates für mehr Sicherheit. Was aber, wenn man k...

Das Sicherheitsunternehmen Sucuri hat im Juni wieder was interessantes festgestellt. Das populäre Theme Newspaper, welches bei ThemeForest zum Verkauf angeboten wird, wurde attackiert. Nein, dieses mal ging es den Hackern nicht darum, ganze Seiten lahm zu legen um dann Geld zu erpressen. Stattdessen nutzten sie eine Lücke, um eigene Werbeanzeigen über fremde Websites auszuspielen.

„Das gibt’s öfter“, sagen Sie jetzt? Das ist richtig und ich will an dieser Stelle auch gar nicht näher auf den Hack an sich eingehen. Stattdessen störte mich folgender Absatz im Blogbeitrag bei Sucuri:

„The security hole was quickly patched in version 6.7.2 of the theme, but as it often happens, quite a few sites didn’t update the theme. One year later, all the affected sites still used vulnerable versions 6.4 – 6.7.1.“

Natürlich ist es blöd, wenn die User nicht updaten. Aber aus persönlicher Erfahrung kann ich sagen, dass das mit diesem Theme auch oft gar nicht möglich war. Wer aktuell Version 6.x nutzt, hängt womöglich genau in dieser Update-Schleife fest. Updates sind oft eine Katastrophe. Aber warum ist das so?

Was, wenn Updaten gar nicht möglich ist?

Im oben genannten Fall hat sich ein Kunde für das Newspaper-Theme entschieden. Kurz nach dem wir die Seite gerelauncht hatten, kam die Info, dass Version 6 nicht mehr weiterentwickelt werden würde und wir auf Version 7 updaten müssten. Denn Sicherheitsupdates gab es dann plötzlich nicht mehr. Normalerweise denkt man sich an dieser Stelle: „Na dann update ich eben. Kein Problem!“.

Aber so einfach ging das nicht. Denn das Theme wurde wohl von Grund auf neu entwickelt. Alte Einstellungen passten plötzlich nicht mehr und das hauseigene Update-Script, welches die alten Änderungen auf die Neuen übernehmen sollte, klappte nicht. Mehrere tausend Seiten und Newseinträge manuell durchzusehen war schlicht auch nicht möglich.

Probleme erfragen

Hier gab es also gleich mehrere Probleme, die ich gerne in Fragen umformulieren möchte:

  • Wieso entschieden sich die Entwickler für eine komplette Neuentwicklung?
  • Hätte man die Umbaumaßnahmen nicht langsamer angreifen können (ähnlich wie WordPress das macht)?
  • Warum funktionierten die Update-Scripts bei größeren Seiten nicht? Immerhin muss man bei einem Newspaper-Theme davon ausgehen, dass es mehrere tausend Artikel gibt.
  • Wieso erhielt Version 6 plötzlich gar keine Updates mehr?
  • Wieso gibt es oft keinen Long-Time-Support?
  • Wieso entschied sich der Kunde für ein günstiges Theme und setzte diese Miesere damit erst in Gang?

Über den letzten Punkt kann man sich wohl streiten. Denn oft passiert das aus Budgetgründen. Trotzdem werden diese Themes als „allumfassendes Wunderwerk“ angepriesen und der Kunde glaubt das. Am Ende sitzt er da und hat hohe Ausgaben, die so nicht eingeplant waren. Und genau hier entsteht dann diese „Dann Update ich eben nicht“-Mentalität.

Oh, diese quälenden Fragen:

Aber damit nicht genug. Fragen, die mich darüber hinaus quälen:

  • Wieso werden Themes mittlerweile so krass mit Funktionen aufgebläht?
  • Werden all diese Funktionen überhaupt genutzt?
  • Wieso verändert sich mit großen Updates plötzlich auch das Design?
  • Warum werden große Veränderungen nicht lange vorher angekündigt?
  • Und die schlimmste Frage von allen: Warum werden Kunden nicht über Sicherheitslücken informiert?

Nach Rücksprache mit meinem Kunden gab es keine offizielle Meldung über eine Sicherheitslücke oder überhaupt die Meldung, dass man doch bitte updaten sollte. Viele Nutzer wissen also eventuell gar nicht, dass sie betroffen sind.

Aufgrund meiner Tätigkeit als Webdesigner weiß ich, dass kein Unternehmen jedes Jahr seine Website neu gestaltet. Zumindest nicht bei den vielen kleinen Mittelständ’lern. Viele Websites bleiben uns zehn und mehr Jahre erhalten bevor sie „generalüberholt“ werden. Und daran ist nichts schlechtes. Denn nur weil eine Website „alt“ aussieht heißt das noch lange nicht, dass sie nicht mehr gewartet wird oder sie nicht mehr aktuell ist.

Lösungen finden

Wie dem auch sei: solche Fälle werden uns auch in Zukunft begleiten. Immerhin betrifft das ja nicht nur die WordPress-Welt. Wichtig wäre also hier, die oben genannten Fragen zu transformieren und an Lösungen zu denken:

  • Wie könnte man Themes stabiler machen?
  • Wie könnte man die Kommunikation zwischen Entwickler und Käufer verbessern?
  • Wie könnte man das Ausspielen von Updates schneller gestalten?

Fragen über Fragen. Aber ich hoffe, wir – die Community – können sie gemeinsam beantworten. Aber kommen wir nun zu der eigentlichen Thematik: den WordPress News.

WordPress News

WordPress 4.8. kommt am 1. August.

Das „Fragen & Antworten“-Interview mit Matt Mullenweg (Mitgründer von WordPress) vom WordCamp Europe Paris ist jetzt online und kann auf WordCamp.tv angeschaut werden (en.).

Auf dem WordCamp in Paris waren von den angekündigten 3000 Leuten „nur“ 1900 anwesend. 24% kauften ein Ticket, waren aber nicht anwesend (en.).

Einige Plugin-Entwickler wurden von Automattic angeschrieben, um populäre Plugins auch in Calypso zu bringen. Calypso ist die hauseigene WordPress App für Mac, Linux und Windows. Ein Anzeichen dafür, dass die App früher oder später auch für weitere Plugins zugänglich gemacht werden wird (en.).

Aktuell befindet sich wohl ein WordCamp Asia in Planung. Leider erst für 2019 aber immerhin wächst auch die Community in Asien stark an. Als Schauplatz wird eventuell Bangkok ausgewählt werden (en.).

Auf WordPress.com kann man nun seine Social Media Kanäle mit automatischen Posts füllen lassen (en.).

WordPress 4.9 wird sich auf das Managen von Plugins und Themes konzentrieren. Gutenberg kommt wohl erst in Version 5.0 (en.).

Gutenberg

Auf dem WordCamp Paris hat Mullenweg gemeint, er möchte den neuen Editor – getauft Gutenberg – auf mehr als 100’000 Seiten installiert sehen bevor es in den WordPress-Kern übernommen wird (ich berichtete). Das zieht sich wohl hin. Das Plugin-Verzeichnis zeigt aktuell „nur“ 1000+ Installationen an. Auffällig dabei: die schlechten Bewertungen die der Editor erhält. Viele wollen Gutenberg als Option aber nicht als Ersatz für den aktuellen Editor, wie z.B. dieser Tweet zeigt (en.).

Gutenberg liegt aktuell in Version 0.5.0 vor:

  • Bilder lassen sich nun wieder per Drag & Drop hochladen.
  • Neue Blöcke sind unter anderem der „Vers“-Block und ein Tabellen-Block.
  • Blöcke können nun über eine Suchfunktion besser gefunden werden.
  • Die Sidebar hat jetzt mehrere verschiedene Tabs.

Alle Änderungen findet man hier für Version 0.5.0 und hier für Version 0.4.0.

@jeffr0 hat bei Twitter ein Bild geteilt welches ein Design-Konzept von Matt Mullenweg aus dem Jahr 2013 zeigt. Kommt Gutenberg optisch schon sehr nahe:

Das Media-Team möchte verstärkt mit dem Gutenberg-Team zusammenarbeiten, um auch das Einbinden von Medien weiter zu vereinfachen. Eventuell sehen wir hier auch Veränderungen was den Medien-Editor anbelangt?

Matt Mullenweg hat offiziell zugegeben, dass die vergangenen WordPress-Versionen ein bisschen „uninspiriert“ gewesen seien. Da kommt es gerade recht, dass Gutenberg für ein wenig Furore sorgt (en.).

Marketing, SEO und Online-Shops

Google führt strukturierte Daten für Jobs ein (en.).

Der Bezahldienst Stripe startet auch in Deutschland (dt.).

WooCommerce ist in Version 3.1 erschienen und kann jetzt auch Produkte über CSV-Dateien importieren (en).

Das WordPress Marketing Team will genauer wissen, wie WordPress benutzt wird und möchte über diverse Umfragen mehr von Agenturen und Kunden erfahren. Mehr dazu auf dem Blogeintrag vom Marketing-Team. Inklusive Links zu den Umfragen (en.).

Sicherheit

Das Newspaper-Theme hat eine Sicherheitslücke die ausgenutzt wird, um fremde Werbung einzublenden (sieh Text oben) (en.).

Das WP-Members Plugin hat eine XSS-Sicherheitslücke (en.).

Das Shortcodes Ultimate Plugin hat eine Sicherheitslücke (en.) und sollte geupdatet werden.

Auch andere CMS-Systeme erwischt es regelmäßig: Drupal war/ist anfällig für eingeschleusten PHP Code in Version 8.3.3 oder kleiner und 7.5.5. oder kleiner (dt.).

Apple hilft bei „Leistungsproblemen“.

„Apple will Webseiten mit Leistungsproblemen analysieren und die Betreiber kontaktieren“, heißt es bei HeiseOnline (dt.).

Ein interessantes Plugin von Raidboxes namens Disk Space Sunburst zeigt, wie viel Speicher noch übrig ist. Und zwar mittels eines so genannten Sunburst-Graphs.

ElmaStudio bietet am kommenden Samstag ein WordPress-Meetup in Stuttgart an. Hinter ElmaStudio stecken Ellen und Manuel, zwei Deutsche die nach Neuseeland ausgewandert sind.

Bis zum nächsten Mal und weiterhin ‚Happy WordPressing‘!

Ihr Dipl.-Ing. (FH) Florian Simeth