Matt, der Hauptentwickler von WordPress, der hier in diesem Blog eingesetzten Blog-Software schreibt über die in WordPress in letzter Zeit aufgetretenen Sicherheitsprobleme:
- das SQL-Injection Problem neulich in der Version 2.2, das jedoch nur angemeldete Benutzer betroffen hat
- die Hintertür in Version 2.1.1, die nach einem Einbruch in den WordPress-Server eingefügt worden ist
Nun ja. Ich fürchte, jede Software die auf PHP basiert wird zwangsläufig irgendwann Probleme bekommen. Entweder durch ein Sicherheitsproblem in PHP selbst oder durch einen Programmierfehler in der Webanwendung. Wenn man bei Securityfocus in der Vulnerability Datenbank nach PHP sucht bekommt man (Stand heute) 4499 Resultate geliefert.
Im Grunde ist es doch so: wer freiwillig eine PHP-Software auf seinen Servern einsetzt muss sich auch selbst um die Sicherheit kümmern. Bei größeren Lücken erfährt man meistens auch schnell über die typischen Medien wie Heise, SecurityFocus oder TheRegister, was los ist. Und wer sich gar nicht darum kümmern will ist vermutlich bei Blogger.de oder -.com sowieso besser aufgehoben.
Was könnte WordPress selbst besser machen? Mir fallen zwei Sachen ein:
- die Veröffentlichungspolitik von WordPress könnte ein wenig besser sein. Eine Mailingliste nur für Security Announcements wäre z.B. nett
- das Upgrade könnte etwas einfach sein. Jedes mal manuell Dateien löschen, andere Dateien hereinkopieren, das ist etwas fehleranfällig. Das könnte man auch skriptbasiert lösen
Aber wenigstens steckt noch Potential in der Software. Und hey, man bekommt fast immer, wofür man bezahlt … und manchmal auch weniger.
Kommentare gesperrt wegen Spam
Comment by Christian — 18. Februar 2009 @ 00:36