Inzwischen ist allerdings WordPress 3.0 mit einem noch höheren Speicherbedarf erschienen, so dass ich für eine Website noch zu alfahosting.de wechseln muss, bevor ich auf WordPress 3.0 updaten kann.

…sehr sehr cool!

@Dirk
Vielleicht hilft eines der Backup-Plugins für WordPress beim automatisierten Sichern.

Ca. 280 Blogs und alle mit WP betrieben ist jedenfalls definitiv ein eindeutiges Bekenntnis für WP.
Willkommen im Club der WordPress-Anhänger. Auch beim WordCamp in Berlin am 3.7. dabei?

Für mich ging es bei der Diskussion auch nicht um WP nieder zu machen, sondern eher um ein nice to have. Etwas was man sich wünscht und was einem (nicht nur mir) eine Menge Arbeit abnehmen könnte. Die Tatsache, dass ich meine Blogs alle mit WP betreibe, spricht eigentlich dafür, dass ich mit WP zufrieden bin.

Dein Artikel “Website gehackt – und nun?” war und ist für mich ein wichtiger Gedanken Schubser zu einem besseren Sicherheitskonzept. Nach meinem Verständnis gehört dazu auch eine Backup-Strategie mit regelmäßigen Backups.

Mit Skripts und Shell arbeiten überfordert mich leider (noch?).

Ich würde Backup-Funktionen nicht unter dem Schlagwort »Sicherheit« ablegen. Ein fehlendes Backup – so ärgerlich das manchmal sein mag – heißt ja noch nicht, daß jemand einbrechen könnte.

Es gibt Plugins für Backups, die einigermaßen funktionieren, auch hier natürlich nicht immer und überall. Und genau so soll es auch sein: Systemspezifische Lösungen gehören nicht in den Core. WordPress wird in den unterschiedlichsten Umgebungen benutzt: Intranets, Communities, lokal …

Da gibt es keine für alle gleichermaßen sinnvolle Methode. Manche Datenbanken sind viel zu groß, um per Mail verschickt zu werden, andere Installationen benutzen mehrere Server und wieder andere bloggen vielleicht fünfmal im Jahr. Oft bietet auch auch der Hoster schon ein automatisches Backup an.

Die Menge der potentiell eingeführten Bugs steht in keinem Verhältnis zum Nutzen. Man kann sich ja einfach per SSH bei MySQL anmelden und automatisiert einen Dump ziehen. So ginge ich jedenfalls bei der Menge vor, die du zu verwalten hast.
Auf diesem Weg läßt sich auch WordPress aktualisieren. dazu braucht man kein Plugin; ein Bash-Script genügt.

Was mich an WP stört ist das es immer noch keine automatisierte Datenbank-Sicherung gibt, die dann auch gekoppelt an ein Autoupdate wäre. Dazu eine Automail (du wurdest im Blog xxx geupdatet ) und alle wären glücklich, denn was die meisten wohl nur stört ist das Sichern und das Updaten. Beides lässt sich aber automatisieren. Ich betreibe ca 280 Blogs; rate mal was ich mich über jedes Update freue.

Die Entwickler können nur bedingt etwas am Speicherbedarf verbessern. Meine persönliche Vermutung ist, dass der höhere Speicherbedarf zum einem aus dem Einsatz von objektorientierter PHP-Programmierung resultiert und zum anderen aus dem ständig steigenden Funktionsumfang neuer WordPress-Versionen.

Im Übrigen empfehle ich Dir meinen Blogbeitrag “Kommentar-Spam bekämpfen” zur Lektüre.

Ich suche auch nicht die Schuld bei WordPress, denn da gibt es viele andere wichtige Faktoren wie etwa die Konfiguration des Servers oder Webspaces sowie von PHP (Stichworte: safe_mode, open_basedir, register globals) sowie eben den WordPress-Betreiber selbst (Stichwort: Das Problem sitzt meistens 30cm vor dem Bildschirm ).

Updateschlampen

Damit hast Du den Nagel auf den Kopf getroffen.

Den Vorschlag den Core von WordPress neu zu schreiben habe ich im Blogbeitrag “WordPress – wann kommt es zur Katastrophe?” von Gerrit van Aaken gelesen. Das war übrigens der Auslöser für meinen Blogbeitrag (siehe 1. Hintergrund). Ich gebe zu, dass ich die Sinnhaftigkeit den Core von WordPress neu zu programmieren nicht beurteilen kann. Deshalb hatte ich mich auch einer Aussage dazu enthalten.

Ich teile Deine Auffassung, dass harte Fakten und Sachlichkeit die Grundlage der Debatte sein sollten. Sprachliche Genauigkeit ist da eine zwingende Voraussetzung. Hierzu gehört Dein Hinweis auf den nicht korrekten Gebrauch des Begriffs Sicherheitslücken. Er war für mich erhellend und äußerst hilfreich.

Ich würde es begrüßen, wenn künftige WordPress-Versionen den Nutzer durch intelligente Lösungen bei Sicherheitsfragen unterstützen (beispielsweise indem nur starke Passwörter zugelassen werden). Werde mal auf meine ToDo-Liste die Beschäftigung mit dem Vorschlagswesen bei WordPress.org setzen.

Aber das ist derzeit nicht der Fall. Wer seine Paßwörter vereinfacht, nimmt weniger Sicherheit bewußt in Kauf. Daran ist nicht WordPress schuld.

Man kann bestimmt ein paar Details verbessern. Aber wenn WordPress die Benutzer zu sehr gängelt, wird auch wieder geschimpft.

Im Moment regen sich all die Updateschlampen auf, zeigen mit dem Finger auf allen anderen und werfen mit halbgaren Vorschlägen um sich. Irgendwo habe ich sogar gelesen, WordPress solle doch einfach mal den Core neu schreiben. Hallo? Das wäre noch dämlicher als ein Jahr auf Updates zu verzichten.

Wenn also so viele Leute ihren Verstand ausknipsen, dann sollte doch der Rest – und dazu möchte ich dich gerne zählen – auf harte Fakten pochen und wieder Sachlichkeit in die Debatte bringen.

Übertreibungen nützen niemand. WordPress’ derzeitiges defensives Sicherheitskonzept ist keine »Lücke«, sondern schlicht der Weg, dem einzelnen Nutzer die Details zu überlassen. Ob das gut ist oder nicht, kann und sollte man diskutieren; aber bitte ohne Panikmache.

Sicherheit durch Unklarheit (Security through obscurity) würde ich auch nur ergänzend einsetzen. Der zusätzliche Passwortschutz mit der .htaccess-Datei erscheint mir da wichtig.

Du scheinst Dich an der Verwendung des Begriffs “Sicherheitslücken” zu stören. Wäre Schwachstellen im Sicherheitskonzept treffender oder hast Du einen anderen passenden Begriff?