Warum du verlassene Plugins vermeiden solltest

In letzter Zeit ist das Problem der nicht mehr genutzten WordPress-Plugins und -themes immer wieder aufgetaucht. Da etwa 30 % der gemeldeten Sicherheitslücken in Plugins nicht gepatcht werden, haben sich die viele Menschen an Patchstack gewandt und um Hilfe gebeten.

Dabei gibt es viele Plugins, die lange Zeit nicht mehr aktualisiert wurden. Das ist eine durchaus komplexe und schwierige Situation. Die Möglichkeiten sind in diesem Fall für externe Dienste oder Sicherheistösungen stark begrenzt – du kannst entweder selbst einen Fix codieren, das Plugin von der Website löschen oder die Sicherheit deiner Website riskieren und hoffen, dass der Entwickler wieder aktiv wird. Manchmal ist es auch besser, im Zweifelsfall eventuell auf ein anderes Plugin umzusteigen.

Und tatsächlich – die beste Herangehensweise an dieses Problem ist, zu versuchen, solche Situationen zu vermeiden, bevor sie eintreten. Zum Glück ist das etwas, das ganz einfach zu vermeiden ist und nur ein paar Minuten Sorgfalt erfordert, die jeder vor der Installation eines neuen Plugins auf seiner Website aufbringen sollte.

• brauche ich das Plugin wirklich?
• hast du bereist viele Plugins aktiv?
• ist es noch aktuell?
• wann wurde das letzte Update veröffentlicht?
• wie sind die Bewertungen von anderen Nutzern?
• kann ich das, was das Plugin machen soll, eventuell auch anders lösen? Zum Beispiel mit custom code?

Warum sind vernachlässigte Plugins gefährlich?

Mit der Anzahl der Plugins steigt auch die Gefahr einer Sicherheitslücke in einem nicht mehr aktualisierten Tool. Verlassene Projekte sind im Grunde eine tickende Zeitbombe. Sie funktionieren vielleicht noch wie vorgesehen, aber die Kompatibilitäts- und Sicherheitsprobleme schleichen sich hinter jeder Ecke ein. Sobald ein Sicherheits- oder Kompatibilitätsproblem gefunden wurde, bist du im Grunde allein gelassen und hast niemanden, der sich darum kümmert. Es sei denn, du hast vielleicht einen entsprechenden Wartungsplan.

Erschwerend kommt hinzu, dass Hacker dafür bekannt sind, Projekte ins Visier zu nehmen, die kurz davor sind, aufgegeben zu werden – oder bereits aufgegeben wurden. Weitere Infos dazu findest du zum Beispiel hier.

Die jüngste Hintertür in den XZ-Utilities ist ein weiteres gutes Beispiel dafür. Der ursprüngliche Entwickler hatte Mühe, das Projekt auf dem neuesten Stand zu halten, und jemand mit bösartigen Absichten bot ihm Hilfe an. Nachdem der Hacker die Kontrolle über das Projekt erlangt hatte, schleuste er eine versteckte Backdoor in das Projekt ein.

Dies ist ein gutes Beispiel dafür, warum es wichtig ist, die Arbeit des Entwicklers im Auge zu behalten. Man könnte sogar sagen, dass die Unterstützung der Entwickler von Open-Source-Projekten, die du nutzt, direkt zur Sicherheit deiner Anwendung beiträgt.

Sicherheitshinweis

Plugins sind kein notwendiges Übel – sie erweitern die Funktionalität von WordPress enorm. Sie sind also in den meisten fällen sehr sinnvoll. Ein Sicherheitsrisiko, das du aber immer bedenken solltest: Steigt die Anzahl der eingesetzten Plugins, steigt auch die Mögliche Anzahl der imkompatiblen Plugins, und außerdem gibt es einen erhöhten Zugriff auf die Datenbank.

Es gibt zwar keine allgmein gültige Aussage für eine Obergrenze an Plugins, dennoch kannst du dir vorstellen, dass es schwerer wird, die Stabilität und Sicherheit deiner Installation zu gewährleisten, je mehr Plugins du hast. Deswegen sollten nur Plugins genutzt werden, die du wirklich brauchst.

Es kommt auch immer auf die Art der verwendeten Plugins an – manche Plugins erweitern ihre Kernfunktionalität durch zusätzlche Erweiterungen mit einer einzelnen modularen Funktion, anstatt alles in ein Hauptplugin zu setzen. Insofern mag die Anzahl der Plugins zwar steigen, aber tatsächlich sind es manchmal auch nur Erweiterungen.

Trotzdem schau auch immer die Qualität der Plugins an – wenn du zum Beispiel siehst, dass ein Plugin diverse Sicherheitslücken hat in einem gewissen Zeitraum, dann würde ich eher die Finger davon lassen. Ein Vergleich hier: Ein Plugin mit 37 CVEs (Stand 15.05.2024)

Vergewissere dich, dass der Entwickler bekannt und aktiv ist

Sieh dir an, wer hinter dem Plugin oder dem Theme steht, das du installieren möchtest. Wird das Unternehmen/die Person hinter dem Plugin auf transparente Weise offengelegt? Gibt es eine einfache Möglichkeit, sie zu erreichen?

Wenn das Plugin im WordPress Plugin Repository gehostet wird, wirf einen kurzen Blick auf die Details und schau nach, wann das Projekt zuletzt aktualisiert wurde. Das gibt einen guten Hinweis darauf, ob es sich in aktiver Entwicklung befindet.

In der Regel werden WordPress Plugins auch nach einiger Zeit aus dem Verzeichnis gelöscht, dennoch findest du manche Tools, die wirklich schon Jahre alt sind – solltest du diese noch bedenkenlos nutzen? Ich glaube eher nicht!

Für eine weitere Analyse öffnest du dann die Seite “Support” und siehst nach, ob der Entwickler mit den Nutzern in Kontakt steht und Fragen beantwortet. Bitte bedenke, dass manche Projekte ihren wichtigsten Support-Kanal woanders haben (z. B. im Live-Chat auf der Website). Wenn die Support-Seite im WordPress-Plugin-Repository also leer ist, kannst du überprüfen, ob der Support woanders existiert (und ob er ansprechbar ist).

Schau dir die Häufigkeit vergangener Updates an

Sieh dir die Häufigkeit früherer Aktualisierungen an. Navigiere im WordPress-Plugin-Repository zur Seite “Entwicklung” und klicke auf das “Entwicklungsprotokoll”. Dort siehst du die Daten aller bisherigen Aktualisierungen.

Wenn ein Projekt erst kürzlich aktualisiert wurde, davor aber schon ein Jahr lang nicht mehr, könnte das ein Hinweis darauf sein, dass das Projekt für den Entwickler keine Priorität hatte oder sogar den Besitzer gewechselt hat. Letzteres solltest du unbedingt überprüfen, damit du weißt, wer der neue Eigentümer ist.

Es gibt auch Premium Plugins, die lange keine Uodates mehr erhalten haben – auch hier ist Vorsicht geboten.

Schau dir die Geschichte der bekannten Sicherheitsprobleme an

Der häufigste Grund, warum Menschen herausfinden, dass das Plugin, das sie benutzen, nicht mehr verwendet wird, ist eine Sicherheitslücke, die nicht geschlossen wurde. In vielen dieser Fälle schließt das WordPress-Plugin-Repository das Plugin auch, um zu verhindern, dass andere es herunterladen (leider werden die betroffenen Nutzer/innen nicht benachrichtigt).

Sicherheitskorrekturen sollten von den Entwicklern mit Priorität behandelt werden, da sie oft sofortige Aufmerksamkeit erfordern. Das ist der ultimative Test, um zu sehen, wie reaktionsschnell ein Entwickler ist. Wenn das Projekt also bekannte CVEs hat, schau dir an, wie lange es gedauert hat, bis sie eine korrigierte Version veröffentlicht haben.

Das beste Zeichen ist, wenn die Schwachstelle genau an dem Tag aufgedeckt wird, an dem eine gepatchte Version veröffentlicht wird. Das zeigt, dass der Entwickler

• a) reaktionsschnell ist und die Sicherheitsprobleme mit Priorität behandelt und
• b) dass der Entwickler die Veröffentlichung der Schwachstelle mit dem Berichterstatter koordiniert.

Bonustipp: Achte darauf, ob das Änderungsprotokoll des Projekts auch die Sicherheitsbehebung beschreibt und ob der Entwickler einen Blogbeitrag veröffentlicht oder eine öffentliche Mitteilung verschickt hat. Manche Entwickler versuchen leider, solche Informationen zu verbergen, was dazu führen kann, dass einige Nutzer nicht wissen, dass sie die Schwachstelle als Sicherheitsupdate einstufen sollen. Das wird in den kommenden Jahren sogar gesetzlich verboten.

Fazit

Der beste Weg, das Risiko, das von abgebrochenen Projekten ausgeht, zu verringern, ist, sie gar nicht erst zu nutzen. Du kannst auch deinen Teil dazu beitragen, indem du die Entwickler der Projekte, die du nutzt, unterstützt. Die Sicherheit des Open-Source-Ökosystems liegt wirklich in unseren Händen.

• mehr Plugins sind nicht unbedingt schlecht, aber sie erhöhen dein Risiko
• mehr Plugins sorgen wahrscheinlich für viele zusätzliche http-Anfragen
• viele zusätzliche Ressourcen wie CSS- und Javascript-Dateien haben einen direkten Einfluss auf die Ladegeschwindigkeit
• je mehr Plugins du hast, umso schwerer wird es für deine Sicherheit zu garantieren
• Sicherheitslücken sind nicht immer offensichtlich
• es gibt ein Risiko in Bezug auf Geschwindigkeit, wenn du zu viele Plugins hast

Andere Tools

Das Thema betrifft übrigens nicht nur Plugins, sondern auch andere Software, die du nutzt. Zum Beispiel habe ich mit Webhooks von WooCommerce meinen Autoresponder angebunden. Dieser ist selbstgehostet – und leider wurde dieser seit zwei Jahren (das letzte Update kam im August 2022) nicht mehr aktualisiert.

Das heißt für mich, dass wir nun nach einer anderen Lösung suchen mussten, und wir haben diese auch gefunden.

Grundsätzlich musst du bei jeder Software, die du nutzt, immer sicherstellen, dass du eine aktuelle und gewartete Version bekommst – ansonsten läufst du Gefahr, dass deine Seiten kompromittiert werden.

Der Nachteil bei einer kompromittierten Seite ist, dass du damit alle anderen Systeme in deinem Webhost ebenfalls der Gefahr aussetzt, dass diese angegriffen oder gehackt werden.

Hier ist