WordPress: Wider dem Katastrophen-Gerede

Inhaltsverzeichnis

  1. Hintergrund
  2. Vorteile von WordPress
  3. Nachteile von WordPress
  4. Mein persönliches Fazit

1. Hintergrund

Auf praegnanz.de erschien am 6. September 2009 der Blogbeitrag „WordPress – wann kommt es zur Katastrophe?„.

Dazu habe ich auch bereits einen Kommentar geschrieben. Gleichwohl habe ich aufgrund der apokalyptischen Stimmung, die mit diesem Artikel und einigen der dortigen Kommentare verbreitet wird, das Bedürfnis noch selbst Position zu Vor- und Nachteilen (Pros und Cons) von WordPress zu beziehen.

Vorsorglich noch der Hinweis, dass die Auflistung von Vor- und Nachteilen natürlich subjektiv ist und nicht abschließend sein kann.

Vor diesem Hintergrund sind Aktualisierungen und Ergänzungen

  • aufgrund von Anmerkungen und Diskussionen in den Kommentaren sowie
  • Geistesblitzen

möglich. Sie werde ich dann selbstverständlich kenntlich machen.

2. Vorteile von WordPress

Die Vorteile (Pros) von WordPress im Einzelnen:

Es

  • lässt sich leicht und schnell installieren (sog. 5 Minuten Installation),
  • erzeugt validen Code,
  • verfügt über eine ausgesprochen intuitive Oberfläche im Administrationsbereich (Backend),
  • gibt eine sehr aktive und hilfreiche WordPress-Gemeinde (Community) unter WordPress.org (englisch) und WordPress-Deutschland.org (deutsch),
  • ist gut dokumentiert (Codex, Handbuch und deutsche Dokumentation),
  • gibt viel und gute bis hervorragende Literatur dazu,
  • ist Open-Source-Software (kostenlos und der Quelltext ist frei, sprich öffentlich zugänglich),
  • gibt Hunderte von (kostenlosen) CSSLayouts (sog. Themes) dafür,
  • gibt Tausende von (kostenlosen) Erweiterungen (sog. Plugins) dafür,
  • wächst mit meinen Bedürfnissen mit (von der reinen BlogSoftware zu einem Content-Management-System (CMS)),
  • gibt mehrere Themes auf YAML-Basis (Blitzblank, Simplex Theme, YAML Green, YAML Coffee)
  • viele Arbeiten lassen sich mit WordPress und Plugins automatisieren (insbesondere Navigation, Anlegen neuer Seiten, Schlagwortwolke (tag cloud), ähnliche Artikel, Sitemap, XMLSitemap für Suchmaschinen).

3. Nachteile von WordPress

Kommen wir zu den Nachteilen (Cons) von WordPress:

Es

4. Mein persönliches Fazit

  • Jeder muss selbst abwägen und entscheiden, ob sie oder er WordPress angesichts der oben genannten Vor- und Nachteile einsetzen will.
  • Sicherheitsmaßnahmen sind sehr wichtig. Wer nicht bereit ist dafür einschließlich zeitnahes Einspielen von Aktualisierungen (Updates) Zeit zu investieren, lebt mit einem höheren Risiko, dass seine WordPress-Installation gehackt wird. Alternativ kannst Du auch auf eine andere Software umsteigen und Du lässt gleich die Finger von eigenen Web-Anwendungen.
  • WordPress wird immer mehr als Content-Management-System (CMS) oder als CMS mit integriertem Blog nutzbar und auch genutzt.
  • Beliebte und stark verbreitete Open-Source-Software wie WordPress und der Browser Firefox werden verstärkt Ziele von Angriffen. Gefundene Sicherheitslücken werden dort aber regelmäßig schnell geschlossen. Diesbezüglich sei für den Firefox auf meinen Blogbeitrag „Sicherheitslücken: Internet Explorer besonders gefährdet“ hingewiesen.

Das musste ich jetzt einfach mal raus lassen und bloggen. ;-)

22 Kommentare und 1 Trackback/Pingback

  1. 1. Thomas Scholz

    Kommentar vom 8. September 2009 um 21:49

    Welche Sicherheitslücken hat denn die Standardinstallation? Hast du dazu einen Bug gemeldet? Welche Nummer hat er? Das würde ich schon gerne wissen.

  2. 2. Dieter

    Kommentar vom 9. September 2009 um 07:16

    @Thomas
    In der Standardinstallation ist
    – der Zugang zum Login ungeschützt aufrufbar,
    – wird automatisch der Nutzer Admin angelegt und
    – gibt es keine Begrenzung der Anzahl der Login-Versuche.

    Wenn man da nicht mittels
    – Passwortschutz über die .htacess-Datei,
    – Löschen des Nicks Admin,
    – Plugin die Anzahl der Login-Versuche begrenzt oder
    vergleichbare Maßnahmen ergreift,
    dann dürften das leider gute Rahmenbedingungen für eine Brute-Force-Attacke sein oder habe ich da als Laie einen Denkfehler?

    Wenn dann noch ein schwaches Passwort für den Administrator Admin gewählt wird, dann dürfte das m.E. kritisch sein. Zwar bekomme ich im Administrationsbereich (Backend) inzwischen angezeigt, ob ein Passwort schwach, mittel oder stark ist, aber ich glaube, schwache Passwörter werden von WordPress trotzdem zugelassen. Das habe ich allerdings allein schon aus Sicherheitsgründen nicht ausprobiert. ;-)

  3. 3. Thomas Scholz

    Kommentar vom 9. September 2009 um 07:42

    Das Paßwort, das WordPress bei der Installation erzeugt, ist schon recht stark. Es dürfte selbst mit Rainbow-Tables kaum in absehbarer Zeit zu knacken sein.

    Das Verstecken des Logins und das Umbenennen des Administrators fallen unter »Security by obscurity«. Kann man machen, bringt aber kaum echte Sicherheitsvorteile.
    Wer eine Brute-Force-Attacke wagt, der läßt sich davon nicht abschrecken.

    »Sicherheitslücken« sind weder der Login noch das Standardkonto, es sei denn, du führst den Beweis dafür.

  4. 4. Dieter

    Kommentar vom 9. September 2009 um 07:55

    @Thomas
    Das automatisch generierte Passwort dürften wohl die wenigsten WordPress-Administratoren belassen. Stattdessen wird dann ein eigenes Passwort gewählt, das auch schwach sein kann. Hier wäre meines Erachtens ein zusätzlicher Sicherheitsmechanismus, der den bequemen Nutzer schützt, weil er beispielsweise kein schwaches Passwort zulässt, hilfreich.

    Sicherheit durch Unklarheit (Security through obscurity) würde ich auch nur ergänzend einsetzen. Der zusätzliche Passwortschutz mit der .htaccess-Datei erscheint mir da wichtig.

    Du scheinst Dich an der Verwendung des Begriffs „Sicherheitslücken“ zu stören. Wäre Schwachstellen im Sicherheitskonzept treffender oder hast Du einen anderen passenden Begriff?

  5. 5. Thomas Scholz

    Kommentar vom 9. September 2009 um 08:41

    Ja genau, an dem Ausdruck reibe ich mich. »Sicherheitslücke« heißt: Es existiert ein bekanntes und nachvollziehbares Einbruchsszenario, dessen Ursache im WordPress-Code liegt.

    Aber das ist derzeit nicht der Fall. Wer seine Paßwörter vereinfacht, nimmt weniger Sicherheit bewußt in Kauf. Daran ist nicht WordPress schuld.

    Man kann bestimmt ein paar Details verbessern. Aber wenn WordPress die Benutzer zu sehr gängelt, wird auch wieder geschimpft.

    Im Moment regen sich all die Updateschlampen auf, zeigen mit dem Finger auf allen anderen und werfen mit halbgaren Vorschlägen um sich. Irgendwo habe ich sogar gelesen, WordPress solle doch einfach mal den Core neu schreiben. Hallo? Das wäre noch dämlicher als ein Jahr auf Updates zu verzichten.

    Wenn also so viele Leute ihren Verstand ausknipsen, dann sollte doch der Rest – und dazu möchte ich dich gerne zählen – auf harte Fakten pochen und wieder Sachlichkeit in die Debatte bringen.

    Übertreibungen nützen niemand. WordPress’ derzeitiges defensives Sicherheitskonzept ist keine »Lücke«, sondern schlicht der Weg, dem einzelnen Nutzer die Details zu überlassen. Ob das gut ist oder nicht, kann und sollte man diskutieren; aber bitte ohne Panikmache.

  6. 6. Dieter

    Kommentar vom 9. September 2009 um 10:15

    @Thomas
    Danke für Deine sachliche und konstruktive Kritik.
    Ich habe den Begriff „Sicherheitslücke“ im ersten Kugelpunkt (bullet point) unter „3. Nachteile von WordPress“ durch „defensives Sicherheitskonzept“ ersetzt und den Text angepasst. Ich hoffe, das berücksichtigt hinreichend Deine berechtigte Kritik an der Verwendung des Begriffs Sicherheitslücke.

    Ich suche auch nicht die Schuld bei WordPress, denn da gibt es viele andere wichtige Faktoren wie etwa die Konfiguration des Servers oder Webspaces sowie von PHP (Stichworte: safe_mode, open_basedir, register globals) sowie eben den WordPress-Betreiber selbst (Stichwort: Das Problem sitzt meistens 30cm vor dem Bildschirm ;-) ).

    Updateschlampen

    :lachtot: :lachtot: :lachtot:
    Damit hast Du den Nagel auf den Kopf getroffen. :!:

    Den Vorschlag den Core von WordPress neu zu schreiben habe ich im Blogbeitrag „WordPress – wann kommt es zur Katastrophe?“ von Gerrit van Aaken gelesen. Das war übrigens der Auslöser für meinen Blogbeitrag (siehe 1. Hintergrund). Ich gebe zu, dass ich die Sinnhaftigkeit den Core von WordPress neu zu programmieren nicht beurteilen kann. Deshalb hatte ich mich auch einer Aussage dazu enthalten.

    Ich teile Deine Auffassung, dass harte Fakten und Sachlichkeit die Grundlage der Debatte sein sollten. Sprachliche Genauigkeit ist da eine zwingende Voraussetzung. Hierzu gehört Dein Hinweis auf den nicht korrekten Gebrauch des Begriffs Sicherheitslücken. Er war für mich erhellend und äußerst hilfreich.

    Ich würde es begrüßen, wenn künftige WordPress-Versionen den Nutzer durch intelligente Lösungen bei Sicherheitsfragen unterstützen (beispielsweise indem nur starke Passwörter zugelassen werden). Werde mal auf meine ToDo-Liste die Beschäftigung mit dem Vorschlagswesen bei WordPress.org setzen.

  7. 7. Dieter

    Kommentar vom 5. Dezember 2009 um 21:31

    Das PHP-Speicherproblem habe ich für Webseiten-Infos.de durch einen Providerwechsel von one.com zu Alfahosting.de gelöst (siehe hierzu auch meine Blogbeiträge „In eigener Sache: Umzug zu Alfahosting“ und „Umzug zu einem anderen Webhoster„).

    Die Entwickler können nur bedingt etwas am Speicherbedarf verbessern. Meine persönliche Vermutung ist, dass der höhere Speicherbedarf zum einem aus dem Einsatz von objektorientierter PHP-Programmierung resultiert und zum anderen aus dem ständig steigenden Funktionsumfang neuer WordPress-Versionen.

    Im Übrigen empfehle ich Dir meinen Blogbeitrag „Kommentar-Spam bekämpfen“ zur Lektüre. ;-)

  8. 8. Trierer

    Kommentar vom 5. Dezember 2009 um 21:02

    Das Problem mit dem PHP-Speicher ist eigentlich ein ziemlich großes. Bei einem großen Provider, der gerade vom rosa Riesen mit dem T aufgekauft wurde, verursacht das regelmäßig Probleme, nicht nur bei WordPress, sondern auch bei Joomla. Ansonsten ist WordPress eigentlich sehr zu empfehlen, lässt sich intuitiv und schnell bedienen. Dass aber die Entwickler dieses PHP-Speicherproblem nicht anders lösen, ist mir schleierhaft.

  9. 9. Thomas Scholz

    Kommentar vom 5. Dezember 2009 um 21:40

    @Trierer: Das Problem des Arbeitsspeichers liegt nicht beim PHP-Code, sondern beim Hoster. RAM ist so billig – 6 GB kosten nicht einmal 100 € – daß eine Begrenzung auf 32 MB oder weniger nur noch als Totalversagen des Anbieters bezeichnet werden kann.
    Der erhöhte Speicherbedarf moderner Webanwendungen ist unausweichlich, und er hilft den Kunden, die Versager leichter zu erkennen. Deshalb finde ich ihn nützlich.

  10. 10. Dieter

    Kommentar vom 5. Dezember 2009 um 21:51

    @Thomas
    Du hast in der Sache Recht, auch wenn ich Deine Formulierungen wie Totalversagen und Versager für zu kraftvoll halte. ;-)

  11. 11. Dirk

    Kommentar vom 30. Juni 2010 um 22:52

    Auch wenn es etwas spät für diese Diskussion ist aber evtl. hat Thomas diesen Thread ja abonniert.

    Was mich an WP stört ist das es immer noch keine automatisierte Datenbank-Sicherung gibt, die dann auch gekoppelt an ein Autoupdate wäre. Dazu eine Automail (du wurdest im Blog xxx geupdatet ) und alle wären glücklich, denn was die meisten wohl nur stört ist das Sichern und das Updaten. Beides lässt sich aber automatisieren. Ich betreibe ca 280 Blogs; rate mal was ich mich über jedes Update freue.

  12. 12. Thomas Scholz

    Kommentar vom 30. Juni 2010 um 23:20

    Dirk, ich habe diesen Beitrag tatsächlich abonniert. Hatte ich ganz vergessen.

    Ich würde Backup-Funktionen nicht unter dem Schlagwort »Sicherheit« ablegen. Ein fehlendes Backup – so ärgerlich das manchmal sein mag – heißt ja noch nicht, daß jemand einbrechen könnte.

    Es gibt Plugins für Backups, die einigermaßen funktionieren, auch hier natürlich nicht immer und überall. Und genau so soll es auch sein: Systemspezifische Lösungen gehören nicht in den Core. WordPress wird in den unterschiedlichsten Umgebungen benutzt: Intranets, Communities, lokal …

    Da gibt es keine für alle gleichermaßen sinnvolle Methode. Manche Datenbanken sind viel zu groß, um per Mail verschickt zu werden, andere Installationen benutzen mehrere Server und wieder andere bloggen vielleicht fünfmal im Jahr. Oft bietet auch auch der Hoster schon ein automatisches Backup an.

    Die Menge der potentiell eingeführten Bugs steht in keinem Verhältnis zum Nutzen. Man kann sich ja einfach per SSH bei MySQL anmelden und automatisiert einen Dump ziehen. So ginge ich jedenfalls bei der Menge vor, die du zu verwalten hast.
    Auf diesem Weg läßt sich auch WordPress aktualisieren. dazu braucht man kein Plugin; ein Bash-Script genügt.

  13. 13. Dieter

    Kommentar vom 1. Juli 2010 um 07:49

    @Thomas
    Ich würde nicht Backup-Funktionen, aber eine gute Backup-Strategie auch, aber nicht nur unter dem Stichwort Sicherheitskonzept einsortieren.

    Dein Artikel „Website gehackt – und nun?“ war und ist für mich ein wichtiger Gedanken Schubser zu einem besseren Sicherheitskonzept. Nach meinem Verständnis gehört dazu auch eine Backup-Strategie mit regelmäßigen Backups.

    Mit Skripts und Shell arbeiten überfordert mich leider (noch?).

  14. 14. Thomas Scholz

    Kommentar vom 1. Juli 2010 um 11:21

    Ich meine Sicherheit vor Einbrüchen; die sind ja Thema deines Artikels. Sicherheit bei Ausfällen umfaßt selbstverständlich auch das Backup. Dabei spielt es ja keine Rolle, was den Ausfall verursacht hat.

  15. 15. Dirk

    Kommentar vom 1. Juli 2010 um 14:57

    Wie man sich täuschen kann; da habe ich doch wirklich nicht gewusst, dass es die Möglichkeit eines Plugins gibt. Wir haben zwar mittlerweile einen Extra Backup Server der wöchentlich alle Server abklappert, aber um das manuelle Updaten kommt man halt trotzdem nicht herum. Spätestens bei den großen Updates…

    Für mich ging es bei der Diskussion auch nicht um WP nieder zu machen, sondern eher um ein nice to have. Etwas was man sich wünscht und was einem (nicht nur mir) eine Menge Arbeit abnehmen könnte. Die Tatsache, dass ich meine Blogs alle mit WP betreibe, spricht eigentlich dafür, dass ich mit WP zufrieden bin.

  16. 16. Dieter

    Kommentar vom 2. Juli 2010 um 01:17

    @Thomas
    Die verschiedenen Sicherheitsaspekte im Kontext mit WordPress sind ein interessantes Thema. Wäre doch mal was für einen Blogbeitrag. ;-)

    @Dirk
    Vielleicht hilft eines der Backup-Plugins für WordPress beim automatisierten Sichern. ;-)

    Ca. 280 Blogs und alle mit WP betrieben ist jedenfalls definitiv ein eindeutiges Bekenntnis für WP. :-)
    Willkommen im Club der WordPress-Anhänger. Auch beim WordCamp in Berlin am 3.7. dabei?

  17. 17. Dirk

    Kommentar vom 2. Juli 2010 um 11:21

    Ne du. ich lebe schon lange in den Philippinen und viel zu träge um mich noch mal nach Europa zu bewegen. Wenn mein Link nicht gelöscht werden würde. könntest du dir einen Blog von mir anschauen. Obwohl ich nicht verstehe warum. dürfte doch eh nofollow sein.

  18. 18. Dieter

    Kommentar vom 2. Juli 2010 um 16:50

    @Dirk
    Ich habe mir den Link angeschaut und dann gelöscht.
    Meine Gründe:
    – Kein Impressum, d.h. es ist nicht offensichtlich, dass Du der Verantwortliche bist.
    – Hier müssten bei den Kommentaren alle Links ohne nofollow sein. Bei mir gibt es für Kommentare hier nur Link oder kein Link. Solltest Du bei den Kommentaren einen Nofollow-Link finden (Ausnahme: Wikipedia), wäre ich für einen entsprechenden Hinweis dankbar.
    – Du hast kein Gravatar mit Deiner Mailadresse verknüpft.

  19. 19. Dirk

    Kommentar vom 3. Juli 2010 um 07:58

    Wie man ein Gravatar mit einer Mailadresse verknüpft weiß ich nicht, aber da werde ich mich gleich wohl mal schlau machen. Impressum brauchste nur als Deutscher Staatsbürger, egal wo du lebst, die Domains gehören aber meine Frau, also brauche ich keins. Die werden trotzdem sauber geführt, schleßlich sollen sie langfristig als Wissensdatenbank herhalten.

  20. 20. Dieter

    Kommentar vom 3. Juli 2010 um 11:45

    @Dirk
    Für Avatare siehe http://www.gravatar.com und hier habe ich dazu auch einen Blogbeitrag geschrieben.

  21. 21. Siggi

    Kommentar vom 21. September 2010 um 17:00

    Hey Dieter – auch mein Lieblingswort in diesem Beitrag/bzw. im Kommentarbereich ist *Updateschlampen*

    …sehr sehr cool!

  22. 22. Dieter

    Kommentar vom 22. September 2010 um 18:16

    @Siggi
    Ja, die plastische Formulierung Updateschlampen von toscho gefällt mir auch.

    Inzwischen ist allerdings WordPress 3.0 mit einem noch höheren Speicherbedarf erschienen, so dass ich für eine Website noch zu alfahosting.de wechseln muss, bevor ich auf WordPress 3.0 updaten kann.

  23. 23. Die 10 größten Web-Security-Mythen | Webseiten-Infos.de

    Pingback vom 26. Dezember 2011 um 10:02

    […] Zum vorherigen Beitrag […]

Kommentar schreiben (Datenschutzerklärung)

Kommentarformular





Erstkommentare und Kommentare mit Links werden moderiert.

Übersicht der Tastaturkürzel für Smilies

Abonnieren ohne einen Kommentar abzugeben

 

Durch die weitere Nutzung der Seite stimmst Du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen