WordPress Sicherheit ist mehr als ein PlugIn

Wie zum Beweis unseres Credos tauchen diese Woche gleich zwei PlugIns in der wpvulndb.com Datenbank auf, deren Sinn und Zweck es eigentlich ist für mehr Sicherheit zu sorgen:

  • Anti-Malware and Brute-Force Security by ELI
  • Encrypted Contact Form

Das wir uns nicht missverstehen: es geht nicht darum irgendeine Lösung als schlecht oder gar untauglich an den Pranger zu stellen. Oder dieses oder jenes PlugIn über ein anderes zu erheben. Es zeigt lediglich, dass auch noch so gute Ideen zur Absicherung bei aller Sorgfalt in der Erstellung dennoch irgendwann eine Lücke zu Tage treten lassen können. Kein inhaltlich und technisch noch so gutes Produkt wird davor je gefeit sein!

PlugIns beurteilen
Indizien für ein gutes, funktionierendes PlugIn

An der Stelle hilft nur:

  1. Augen auf bei der PlugIn Wahl! Der erste Schritt ist ein Blick auf die Angaben im WordPress Repository. Gibt es Aussagen zur Kompatibilität zwischen PlugIn- und WordPress-Version? Auch als Rückmeldung von den Anwendern? Mit wie vielen Sternen wird das PlugIn von den Anwendern bewertet? Wie gross ist die Installationsbasis? Von wann ist die letzte Aktualisierung? Wer ist der Autor? Wie gut sein Support? Das alles sind nur Indizien, keine Gewähr für Qualität und Sicherheit! Umso wertvoller ist daher auch eine entsprechende Rückmeldung zu verfassen. Fix eine Bewertung, ein kleiner Dreizeiler an Prosa dazu, die Angabe zur Kompatibilität ausgefüllt und schon hat der nächste wieder einen Mehrwert.
  2. Wie üblich: Update, Update, Update. Neben funktionalen Verbesserungen geht es bei Updates immer wieder und vermehrt um Bugfixes und das Schliessen von Sicherheitslücken!
  3. Ab hier wird’s zugegebenermassen etwas anstrengender und wir verlassen die Abteilung »Breitensport«. Alle PlugIns im WordPress Repo unterliegen der GPL. D.h. der Code ist frei einsehbar und modifizierbar. Ein Blick »unter die Haube« ist gestattet und erwünscht. Jeder (siehe oben unter »Breitensport« ;-)) kann selbst nachprüfen ob im Code z.B. Eingaben auf Plausibilität geprüft werden oder nur bestimmte Inhalte als Eingabe zu gelassen werden. Und jeder darf auch gerne dem Entwickler eine Rückmeldung geben oder eigene Änderungen und Verbesserungen am Code beisteuern, die ein PlugIn sicherer machen.

Sicherheit ist damit eine Daueraufgabe. Einfach mal ein PlugIn installieren, damit alles gut geht ist nicht viel mehr als nur das Prinzip Hoffnung. Und Hoffnung ist bekanntermassen der Tod der Kaufleute!