Verwaiste WordPress-Plugins sind problematisch
Plugins sind der Hauptgrund, warum WordPress so erfolgreich ist. Auch andere Content-Management-Systeme haben solche Erweiterungen, allerdings unterschiedlicher Art. Egal, welche Funktionalität wir auf unserer WordPress-Seite verwenden möchten, wir können sicher sein, dass bereits ein Plugin existiert, das dies möglich macht. Typischerweise werden Plugins von ihren Entwicklern in regelmäßigen Abständen ausgebessert, es werden neue Anteile hinzugefügt und darüber hinaus Sicherheitslücken geschlossen. Wer diese Updates rechtzeitig auf seiner Website aktiviert, profitiert von einer besseren Funktionalität und einem erhöhten Schutz vor Hackern.
Unzählige WordPress-Plugins sind verwaist
Doch was passiert, wenn der Plugin-Autor die Software nicht mehr benötigt oder nicht mehr verarbeiten kann? Isabel Castillo, selbst Entwicklerin, hat eine Auflistung mit über 3.000 Plug-Ins ausgearbeitet, deren Pflege nicht mehr fortgeführt wurde. Viele davon wurden seit mehr als einem Jahrzehnt nicht mehr gepflegt. Es ist nicht immer fahrlässig. Die Arbeit an Plugins hört normalerweise auf, wenn ihre Funktionalität in neuere Versionen des WordPress-Kerns integriert ist und Plugins nicht mehr benötigt werden. Beispielsweise wird das seit 2009 nicht aktualisierte Plugin „Page Link Manager“ verwendet, um benutzerdefinierte Navigationsmenüs zu erstellen. Tatsächlich sind Plugins schon lange nicht mehr nötig, da ihre Aufgabe sowohl mit WordPress und darüber hinaus mit vielen von seinen Themes problemlos erfüllt werden kann. Es ist also erwähnenswert, dass das entsprechende Plugin nach wie vor auf über 4.000 Webseiten installiert und aktiviert ist. Infolgedessen führt Castillo viele weitere verwaiste WordPress-Plugins auf, von denen Tausende noch auf Produktionsseiten installiert und aktiviert sind. Aus welchem Grund ist das ein Problem?
Verwaiste Plugins gefährden die Website-Sicherheit
Wie fast jeder Programmcode sind Plugins unperfekt. Wenn Entwickler Aktualisierungen für ihre Plugins herausbringen, geht es nicht nur darum, eine verbesserte Funktionalität bereitzustellen, sondern oft auch darum, Risikofaktoren für Lücken in der Sicherheit der Website zu erkennen, zu schließen oder Störungen zu beheben. Das ist völlig normal und passiert jeden Tag. Solche Fehler in Software machen sich meist erst viel später bemerkbar. Sie werden Entwicklern oft von Benutzern aus der WordPress-Community gemeldet. Falls es der Fall ist, dass der eigentliche Entwickler, welcher das Plugin gecodet jedoch nicht länger verfügbar ist, wird die Schwierigkeit nicht zügig genug oder überhaupt nicht behoben. Dies ist im Falle einer Sicherheitsverletzung dramatisch, da alle WordPress-Sites, auf denen dieses Plugin installiert ist, anfällig für Hacker sind, ohne die Gefahr überhaupt zu kennen. Die Folge können schwere finanzielle Verluste sein.
Kompatibilitätsprobleme mit PHP 8
Verwaiste Plugins, die mit weiteren Plugins, Themes und aktuellen WordPress- oder PHP-Versionen in Konflikt geraten, können ärgerlich sein. 2020 mussten Serveradministratoren auf die achte Version von PHP, einer Programmiersprache umsteigen. In dieser Programmiersprache wurden das Content-Management-System und seine Plugins geschrieben. Wenn ein verwaistes WordPress-Plugin immer noch Elemente aus einer absolut veralteten PHP-Version verwendet, kann das die komplette Website abstürzen lassen, wenn auf dem verwendeten Server eine neuere PHP-Version genutzt wird, die die nur noch die neuen Elemente unterstützt. Damit die Website wieder lauffähig ist, muss das verwaiste Plugin deaktiviert werden und das installierte Ersatz-Plugin seine Aufgaben übernehmen. Je nach Funktionsumfang können die Konfigurationsarbeiten zeitaufwändig sein und die Website für einige Stunden oder sogar Tage lahmlegen.
Verwaiste Plugins gefährden die Website-Sicherheit
Wie fast jeder Programmcode sind Plugins unperfekt. Wenn Entwickler Aktualisierungen für ihre Plugins herausbringen, geht es nicht nur darum, eine verbesserte Funktionalität bereitzustellen, sondern oft auch darum, Risikofaktoren für Lücken in der Sicherheit der Website zu erkennen, zu schließen oder Störungen zu beheben. Das ist völlig normal und passiert jeden Tag. Solche Fehler in Software machen sich meist erst viel später bemerkbar. Sie werden Entwicklern oft von Benutzern aus der WordPress-Community gemeldet. Falls es der Fall ist, dass der eigentliche Entwickler, welcher das Plugin gecodet jedoch nicht länger verfügbar ist, wird die Schwierigkeit nicht zügig genug oder überhaupt nicht behoben. Dies ist im Falle einer Sicherheitsverletzung dramatisch, da alle WordPress-Sites, auf denen dieses Plugin installiert ist, anfällig für Hacker sind, ohne die Gefahr überhaupt zu kennen. Die Folge können schwere finanzielle Verluste sein.
Kompatibilitätsprobleme mit PHP 8
Verwaiste Plugins, die mit weiteren Plugins, Themes und aktuellen WordPress- oder PHP-Versionen in Konflikt geraten, können ärgerlich sein. 2020 mussten Serveradministratoren auf die achte Version von PHP, einer Programmiersprache umsteigen. In dieser Programmiersprache wurden das Content-Management-System und seine Plugins geschrieben. Wenn ein verwaistes WordPress-Plugin immer noch Elemente aus einer absolut veralteten PHP-Version verwendet, kann das die komplette Website abstürzen lassen, wenn auf dem verwendeten Server eine neuere PHP-Version genutzt wird, die die nur noch die neuen Elemente unterstützt. Damit die Website wieder lauffähig ist, muss das verwaiste Plugin deaktiviert werden und das installierte Ersatz-Plugin seine Aufgaben übernehmen. Je nach Funktionsumfang können die Konfigurationsarbeiten zeitaufwändig sein und die Website für einige Stunden oder sogar Tage lahmlegen.
Sicherheitshalber: verwaiste Plugins aufspüren
Um sich vor solchen Risiken und Ablenkungen zu schützen, sollten Sie gelegentlich ein Plugin-Audit Ihrer Website durchführen und nach verwaisten Plugins suchen. Wenn ein Plugin jedoch längere Zeit nicht aktualisiert wird, bedeutet das nicht zwangsläufig, dass es nicht gut gewartet wird. Wenn Sie jedoch ein Plugin im WordPress-Plugin-Repository finden, das von seinen Entwicklern lange Zeit nicht auf Kompatibilität mit neuen WordPress-Versionen getestet wurde, sollten Sie langsam misstrauisch werden und sich nach einer Alternative umsehen. Bei so vielen Optionen gibt es immer eine Alternative zu einem isolierten WordPress-Plugin.
