Der Umgang mit geschlossenen Plugins aus dem Plugin-Verzeichnis

Ich bin mir sicher, dass ihr alle Plugins aus dem offiziellen Plugin Directory verwendet. Alle diese Plugins werden bei der Einreichung geprüft, bevor sie online gehen. Sollten sie in den letzten zwei Jahren nicht aktualisiert worden sein, kann man sie über die Suche nicht mehr finden (man kann sie aber weiterhin downloaden, sofern man den Direktlink noch kennt). Aber habt ihr euch mal gefragt was passiert, wenn ein Plugin geschlossen und aus dem Plugin-Directory entfernt wurde, aus welchem Grund auch immer?

Ein potentielles Sicherheitsrisiko

Ein Plugin kann aus verschiedenen Gründen geschlossen und/oder entfernt werden. Aktuell sind folgende Gründe denkbar:

  • Security Issue
  • Author Request
  • Guideline Violation
  • Licensing/Trademark violations
  • Merged into Core

Zwei meiner eigenen Plugins werden wohl auch bald geschlossen werden, da ihre Funktionalität entweder bereits im Core gelandet ist oder dieses in naher Zukunft passieren wird. In diesen Fällen ist es also nicht unbedingt kritisch, wenn diese weiterhin installiert und aktiviert sind, sofern sie sich nicht mit den Core-Funktionen ins Gehege kommen. Aber was ist mit Plugins, die ein Sicherheitsrisiko darstellen können? Das ist ein echtes Problem.

Keine Benachrichtigung der Nutzer

Wenn ein Plugin geschlossen wird, werden die Nutzer, die es noch installiert (und vielleicht sogar aktiviert) haben darüber nicht informiert. Selbst wenn der Pluginautor also einen Weg gefunden hat, die Sicherheitslücke zu schließen, würde kein Nutzer davon profitieren, da der einzige Weg einer Aktualisierung, der über das Plugin-Directory, nicht mehr existiert. In der Zwischenzeit sind alle Websites mit der alten Version potentiell für Hacker angreifbar.

Ein Plugin als Rettung

Da dieses Problem schon eine ganz Weile besteht und das Plugin-Team bisher noch mit keiner schnellen Lösung dienen konnte, wurde das Plugin No Longer in Directory veröffentlicht. Wenn man es installiert und auf dessen Einstellungsseite geht, bekommt man eine Liste aller Plugins angezeigt, die seit mehr als zwei Jahren nicht mehr aktualisiert wurden sowie eine Liste aller Plugins, die nicht im Plugin-Directory gefunden werden konnten.

Diese zweite Liste würde aber auch Plugins auflisten, die niemals im Plugin-Directrory veröffentlicht waren. Das sind beispielsweise Premium-Plugin oder Plugins, die man speziell für ein Kundenprojekt entwickelt hat. Die Lösung ist also auch nicht optimal.

Ein neuer Weg geschlossene Plugins hervorzuheben

Über die “Ideas” Seite auf WordPress.org wurde daher eine ganze Weile zu diesem Thema diskutiert. Gestern hat das Meta/Plugin-Team auf dem Contributor Day des WordCamp US angekündigt, dass gerade hart an einer Lösung gearbeitet wird. Sie haben hierzu ein paar Mockups im entsprechenden Trac-Ticket veröffentlicht und auch ein erstes Beispiel für die Ansicht eines geschlossenen Plugins existiert bereits. Vorher wurde beim Aufruf eines geschlossenen Plugins eine 404 Fehlerseite angezeigt ohne einen Hinweis darauf, dass dieses Plugin mal existiert hat und warum es geschlossen/entfernt wurde.

Fazit

Der Umgang mit geschlossenen und entfernen Plugins ist sehr wichtig und sollte in einer transparenten Art und Weise passieren, damit die Nutzer dieses Plugins über mögliche Sicherheitsprobleme informiert sind, und das Plugin entfernen können, bevor ihre Website gehackt wird. Ich bin mir nicht sicher, ob es zusätzlich möglich sein sollte Plugins direkt zu löschen oder den Nutzern einen Hinweis im Dashboard anzuzeigen. Aber ich hoffe, dass dieses Thema nun etwas mehr Aufmerksamkeit bekommt.

Veröffentlicht von

Bernhard ist fest angestellter Webentwickler, entwickelt in seiner Freizeit Plugin, schreibt in seinem Blog über WordPress und andere Themen, treibt sich gerne bei den WP Meetups in Berlin und Potsdam herum und läuft nach Feierabend den ein oder anderen Halbmarathon.

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.