Die Sicherheit von WordPress-Installationen wird zum Einen über die Aktualität des sog. „Core“-Quellcodes, also des WordPress-Quellcodes selbst beeinflusst. Zum anderen aber auch durch die verwendeten Plugins und Themes, und deren Aktualität.

Die sicherste Methode für sichere Plugins und Themes ist, diese aus dem WordPress-Plugin-Directory oder dem Theme-Direcotry direkt über die WordPress-Funktionen herunterzuladen und zu installieren.

Die Plugins und Themes in diesen Directories unterliegen gewissen Bedingungen und sind geprüft. Eine 100%-ige Sicherheit gibt es hier natürlich auch nicht.  Aber man kann schon von dem Standard „ziemlich sicher“ ausgehen.

Dieser Stand „ziemlich sicher“ gilt allerdings nur für den Zeitpunkt der Installation des Plugins. Es passiert natürlich immer wieder, daß Plugins aus unterschiedlichen Gründen aus dem WordPress-Directory entfernt werden. Diese können z.B. sein:

• Das Plugin läuft nicht mehr unter GPL-Lizenz
• Das Plugin hält sich nicht (mehr) an die WordPress-Directory-Regeln
• Von anderen Plugins des gleichen Autors werden Probleme entdeckt und es wurden alle wg. laufender Überprüfung entfernt
• Der Autor wünschte die Entfernung des Plugins aus dem WordPress-Directory (Einstellung des Plugins)
• Der Autor wünschte die Entfernung des Plugins aus dem WordPress-Directory (Veröffentlichung des Plugins unter einem anderen Namen)
• Das Plugin wird aufgrund von Beschwerden näher untersucht
• Das Plugin hat Sicherheitslöcher

Alles in allem – teilweise wichtige Gründe, die Plugins aus dem Verzeichnis zu nehmen. Nur:

Das Problem ist, daß Sie das nicht erfahren!

Wenn ein Plugin ein Sicherheitsproblem hat, wird dies natürlich veröffentlicht.  Nur leider wird diese Veröffentlichung auch von Hackern gelesen, die nichts Gutes im Schilde führen. Es lässt sichleicht feststellen, ob in Ihrem WordPress-Blog das Plugin installiert ist, und so kann dann die Seite leicht angegriffen werden.

Bei Plugins, die aus Sicherheitsgründen entfernt wurden, ist nach Möglichkeit auch ein Link in der Ausgabe, der nähere Informationen zu dem Sicherheitsproblem enthält.

Aus diesem Grunde gibt es das Plugin „No longer in Directory„.  Nach der Installation können Sie jederzeit prüfen, ob alle Ihre Plugins noch im WordPress-Directory gelistet sind.

Anleitung zur Installation des WordPress-Plugins No longer in Directory

(Für lesbare Ansichten der Screenshots einfach auf die Vorschau klicken!)

• Auswahldes Plugins mit Eingabe von „no longer in directory“ in das Suchfeld

 

• Anklicken des Plugins „No longer in Directory“ und Installation
  
• WordPress-Plugin „No longer in Directory“ aktivieren
• 
• Nach der Aktivierung des Plugins ist im Submenü zu „Plugins“ ein neuer Eintrag „No longer in Directory“. Sobald Sie diesen Link anklicken, wird der Test auf das Vorhandensein all der Plugins, die in Ihrem Blog installiert sind, durchgeführt. (Auch die nicht-aktivierten Plugins). Damit Sie die Ausgabe im Fehlerfall sehen, hier ein Screenshot mit dem Ergebnis, daß mehrere Plugins nicht mehr im Directory gelistet sind:
  

In diesem Fall wird im oberen Berich das Plugin „Adsense Extreme“ angezeigt. Dieses Plugin wurde aus dem Verzeichnis entfernt, weil der Autor des Plugins die Google-Adsense-Einnahmen auf sein eigenes Konto geleitet hat… (vgl https://www.profi-blog.com/warnung-wordpress-plugin-adsense-extrem/)

Was dann im Einzelfall zu tun ist, hängt von der Ursache ab, warum das Plugin entfernt wurde. Hier dürfte Google und das WordPress-Forum evtl. weiter helfen.

Im Falle von Sicherheitsproblemen (Vulnerability) sollte das Plugin ggfls. schnellstmöglich gegen ein anderes, aktuelles getauscht werden.

Achtung: Sicherheitsprobleme bestehen in den meisten Fällen auch dann, wenn das Plugin nur deaktiviert wurde. Unsichere Plugins müssen zuerst deaktiviert, und dann auch gelöscht werden!

Mit den besten Grüßen

 

Rudolf Fiedler