Immer wenn ich Schulungen oder Webinare gebe (#hust schleichwerbung von mir) und dann auf die WordPress Plugins zu sprechen komme, dann sage ich einen Satz – nämlich dass jedes WordPress Plugin welches man in sein WordPress einbaut eine Sicherheitslücke ist die man sich da gleich auch einbaut. Viele verstehen dann die Welt nicht mehr. Es gibt nämlich ein kleines Vorurteil, dass alle Plugins die verkauft werden 100% sicher und gut sind – aber sind wir ehrlich bei einer halben Million Plugins sind wohl 30% Schrott und gefährlich.
Es ist doch immer wieder schön, wenn das was ich sage gleich bewiesen wird.
Und zwar eine Firma die ein Plugin entwickelt hat – es hiess „Display Widget“ – das Plugin dann verkauft und der neue Besitzer hat dann das Plugin angepasst und zwar mit folgendem Zusatz:
inserting content into sites from external servers and also collecting visitor data without permission
Übersetzt hat das Plugin angefangen, externe Daten / Content aus einem externen Server einzubauen und Daten zu sammeln von den anderen WordPress Seiten. Dies hat WordFence herausgefunden. WordFence hat daraufhin mehrere Monate lang die Leute vor diesem Plugin gewarnt – ebenfalls hat man versucht die neuen Pluginbesitzer zu kontaktieren.
Ebenfalls konnten die ursprünglichen Entwickler / Erfinder des Plugins nichts mehr machen – sie hatten zb keine Möglichkeit die User die das Plugin einsetzen zu warnen – also haben sie öffentlich eine Warnung herausgegeben
We don't have a way of contacting users of our old Display Widgets plugin. But if you are using it you should uninstall immediately.
— Formidable Forms (@FormidableForms) September 12, 2017
Pagely (ein WordPress Cloud Hoster) hat nun zuerst reagiert und dieses Plugin von seinen Plattformen verbannt
For our customer’s safety, we have banned the plugin from our customer sites…The plugin will remained banned on our network until a time that we see someone has taken responsibility for the plugin and the future of patching its code.
Nun wurde das Plugin auch aus dem offiziellen WordPress Pluginverzeichnis entfernt.
Wie finde ich heraus welches Plugin gut ist?
Ich werde immer wieder gefragt wie man herausfinden kann, dass ein Plugin gut und sicher ist. Nun zuerst einmal gibt es keinen 100% Schutz, danach ist es am wichtigsten dass man eine gute Backupregelung hat. Denn mit guten Backupdaten könnt ihr im schlimmsten Fall, eure Webseite löschen und wieder hochladen und habt danach keinen Ärger mehr.
Die einzige und wohl beste Methode um herauszufinden ob ein Plugin was taugt – ist auf sein Gefühl zu achten. Hat man ein schlechtes Gefühl, dann sollte man das Plugin in Ruhe lassen und ein anderes Suchen. Es gibt ja ca eine halbe Million Plugins und darum gibts für jede Funktion garantiert ein paar andere Ersatzplugins.
Wenn man sich aber nicht auf sein Gefühl verlassen möchte, dann muss man die Funktionen mit der ein Plugin das WordPress erweitert, selbst in die functions.php eintragen oder das Theme direkt so erweitern. Denn dann ist man selbst der Schuldige wenn was in die Hose geht 🙂
Es ist nicht das erste Mal, dass ein verkauftes Plugin auf einmal komischen Code enthält – das gabs schon früher – darum ist es wichtig, dass man so ein Plugin genau beobachtet. Es kann nämlich gut gehen wie wpSEO zum Beispiel (Der Entwickler hat es auch verkauft und es wird jetzt trotzdem gut weitergeführt) oder es kann eben in die Hose gehen – wie mit dem Display Widget Plugin.
0 Kommentare