WordPress und die Sicherheit

Wir bieten derzeit ein paar WordPress Plugins an und freuen uns über die positive Resonanz und aktive Nutzung durch unsere Kunden. Aber neuerdings versucht das WordPress Team, neue Plugins nach individuellen Richtlinien zu prüfen. An sich ist eine solche Prüfung eine gute Sache und längst überfällig. Wenn jedoch jeder freiwillige WordPress Helfer (also "Mitarbeiter") seinen eigenen und dann noch flexiblen Wunsch-Maßstab ansetzt - dann wird eine effektive Prüfung Glückssache.

Genau in diesem Dilemma befinden wir uns derzeit mit unsererm neuesten Plugin "Abuse Protector" für WordPress.

Es schützt WordPress Systeme vor den steigenden, nervigen und teils riskanten Bot-Angriffen. Dabei gibt es diverse Angriffsmuster. Bemerkt unser Plugin einen solchen Angriff, meldet es diesen sofort an unsere Datenbank ... nicht mit dem Namen der Webseite sondern zum Schutz mit einem Schlüssel (API Key) kodiert. Dadurch können alle anderen Seiten mit unserem Plugin beim ersten Besuch einer solchen IP diesen Zugriff direkt blockieren - natürlich profitiert jeder davon. Denn ein Angriff in Kapstadt kann nach wenigen Sekunden auch Ihren Blog schützen.

Und WordPress ? Man hat uns untersagt, das Plugin mit dem folgenden Lizenzzusatz zu vertreiben:

"Die kommerzielle Nutzung und Verbreitung ist untersagt"

WordPress: "Das müsse man jedem erlauben."

Das sehen wir anders, denn wir haben das Plugin in unserer Freizeit erarbeitet und wir sehen es partout nicht ein, dass eine Firma damit Geld macht und Sie als unseren Kunden ggf. dafür zahlen sollen. Zudem soll das Plugin den API-Key nicht automatisch bei der Installation erzeugen. Man fordert, dass unserere Kunden sich bei uns extra registrieren und sich einen API-Key manuell abholen oder zuschicken lassen. Dann soll der Key in dem Plugin manuell eingetragen werden. Der Weg sei besser (sagt das WordPress Team).

Das finden wir garnicht, denn (neben dem Zusatzaufwand für unsere Kunden):

  • Was passiert denn bei einem Fehler beim Aptippen des API-Keys ?
  • Oder beim fehlerhaften Kopieren des Keys (z.Bsp. Vergessen des letzten Zeichens) ?

Wir müssten dann sofort jeden Key mit unserem Server verifizieren und unsere Kunden um Korrektur bitten ... viel zu viel Aufwand für ein einfaches Plugin, oder ? Wer soll denn diesen Aufwand (zusätzliche bereiche auf unserer Webseite) programmieren, pflegen und schützen ? Wir ? Klar. Aber das System ist kostenlos und wir haben auch nicht alle zeit der Welt für kostenlose Plugins und Arbeiten.

Fazit: Wir werden das Plugin nur auf unserer Seite anbieten und nicht auf WordPress.

Zudem bauen wir das Plugin um für andere CMS Systeme ... denn dort hat man Interessen an unserem System.