Ein Wurm nutzt aktuell Sicherheitslücken in alten WordPress-Versionen aus und stößt damit eine grundsätzliche Debatte über das Blogsystem an. Ist WordPress auf dem richtigen Weg? Ist es in der jetzigen Form für einen Gelegenheitsnutzer überhaupt noch empfehlenenswert? Sollte WordPress vielleicht darüber nachdenken, sich eine neue Grundlage zu schaffen, wie es TYPO3 tut? Wo liegen die Alternativen?

Unbestritten ist WordPress das System Nr. 1, wenn es um das Publizieren und Verbreiten von Inhalten geht. Eindeutig ist aber auch, dass WordPress enorm gewachsen ist. Nicht nur die Zahl der Plugins und Themes ist unüberschaubar groß, auch WP selbst ist immer umfangreicher geworden.

Viele Features, viele Lücken?

Dieses Wachstum ist eine zweischneidige Sache. Für die Nutzer bedeutet es auf der einen Seite die Gewissheit, mit ihrem System im Prinzip immer alles machen zu können, was sie wollen. „Dafür gibt es ein Plugin“, ist die Standard-Antwort auf nahezu jede Frage in Zusammenhang mit WordPress. Und sollte es doch mal keine vorgefertigte Lösung geben, ist auch das Erstellen eigener Erweiterungen recht gut dokumentiert und es gibt eine große Community, die mit Rat und Tat zur Seite steht.

Auf der anderen Seite ist WordPress längst nicht mehr das simple, schnelle und schlanke Blogsystem, dass es einst war. Meine erste Begegnung mit WordPress müsste Version 1.5 gewesen sein. Zu dem Zeitpunkt war das Backend noch schnell und aufgeräumt. Inzwischen hat man so viele Möglichkeiten und Optionen, das Ajax eingesetzt wird, um Übersicht zu schaffen.

Der Code von WordPress gilt nicht gerade als die sauberste Arbeit. Das ist auch WordPress-Chef Matt Mullenweg klar, der in dem Zusammenhang lieber auf seine Forensoftware BBPress verweist, die er im Gegensatz zu WordPress von Beginn an selbst entwickelt hat.

Derzeit verbreitet sich nun ein Wurm, der Sicherheitslücken in alten WordPress-Versionen ausnutzt. Das kann man dem aktuellen System schwerlich anlasten. Ein Imageschaden droht dennoch.

Stimmen und Meinungen

So mancher ist gerade öffentlich frustriert, was WordPress angeht - beispielsweise US-Starblogger Robert Scoble. Ihm wurden Inhalte untergeschoben und andere gelöscht. Er fühle sich mit WordPress nicht mehr sicher, gibt er zu Protokoll. Seine Installation war allerdings auch schon ziemlich veraltet.

Ausführlich geht Webdesigner Gerrit van Aaken auf die Problematik ein. „Wann kommt es zur Katastrophe?“ fragt er in seinem Artikel und schreibt:

Meine grundsätzliche Kritik lautet demnach wie folgt: Die WordPress-Gemeinde ist bestrebt, alle kulturellen und technischen Trends, Möglichkeiten und Ideen, die auch nur entfernt mit Blogging zu tun haben, mit ihrer Software erschöpfend abzudecken, ohne dabei allzuviel Rücksicht auf Bedienbarkeit, Performance oder Sicherheit des Systems zu nehmen. (...) Ich sehe inzwischen kaum eine andere Möglichkeit als einen kompletten Re-Write des Core-Systems, ähnlich wie es TYPO3 derzeit unternimmt. Es muss ein harter Einschnitt gemacht werden.

Robert Lender, „Evangelist“ des WordPress-Konkurrenten Serendipity, macht in seinem Beitrag Unterschiede in der Herangehensweise deutlich:

Natürlich kann jeder ein Plugin für Serendipity entwickeln. In das Pluginverzeichnis – das dann auch über Spartacus online abrufbar ist – kann aber nicht jedes. Es ist die allgemeine Pluginpolitik, dass es für eine Lösung nur ein Plugin geben soll. Ein gutes Beispiel ist das Microblogging Plugin. Hier gab es zwei Entwickler mit unterschiedlichen Ansätzen. Nach kurzer Diskussion wurden die Entwicklungen zusammengelegt und ein mächtiges Plugin geschaffen. Die Devise heißt: Nicht ein neues Plugin mit ähnlichen Funktionen entwickeln sondern ein bestehendes nehmen und verbessern.

Technologie-Experte John Gruber wiederum erklärt, dass er nicht grundsätzlich etwas gegen WordPress habe. Man müsse sich nur klar darüber sein, dass man sein Blog immer auf dem aktuellsten Stand halten muss. Bei Movable Type mache er da andere Erfahrungen, schreibt er in seinem Posting:

I don’t religiously keep my installation of Movable Type up to date, and I know many other MT users don’t either, and yet our sites don’t get hacked. I’m not arguing that Movable Type is perfect. Clearly, it is not. No software is. I’m just saying the situation with WordPress is different, and clearly more dangerous, than it is on other platforms.

WordPress-Chef Matt Mullenweg ruft unterdessen dazu auf, Updates zu nutzen. Zudem wirbt er um Vertrauen in die WordPress-Community, die rund um die Uhr bestrebt ist, das System sicher zu halten:

WordPress is a community of hundreds of people that read the code every day, audit it, update it, and care enough about keeping your blog safe that we do things like release updates weeks apart from each other even though it makes us look bad, because updating is going to keep your blog safe from the bad guys. I’m not clairvoyant and I can’t predict what schemes spammers, hackers, crackers, and tricksters will come up with with in the future to harm your blog, but I do know for certain that as long as WordPress is around we’ll do everything in our power to make sure the software is safe. We’ve already made upgrading core and plugins a one-click procedure. If we find something broken, we’ll release a fix. Please upgrade, it’s the only way we can help each other.

Alles in allem muss man wohl festhalten: Wer ein umfangreiches und flexibles System haben will, um Inhalte zu veröffentlichen, wird an WordPress kaum vorbeikommen. Derjenige muss seine Installation dann aber auch entsprechend aktiv pflegen. Die Frage ist, ob manches Projekt nicht besser mit einer Alternative wie beispielsweise Serendipity beraten wäre. Hier ist alles eine Nummer kleiner - auch in Sachen Sicherheitslücken und Gefahren.