WordPress Wettlauf der x-te
[Apr 27, 2008; Nerd]

Da ich immer wieder belächelt werde, weil ich lieber auf meine eigene Blog-Software setze, anstatt WordPress zu verwenden, konnte ich mir eine gewisse Schadenfreude nicht verkneifen, als heute auf heise.de mal wieder eine neue WordPress-Lücke gemeldet wurde.

Entgegen der Behauptung von Heise, Details zu der Sicherheitslücke seien noch nicht veröffentlich worden, findet sich auf BugTraq bereits seit zwei Tagen eine genaue Beschreibung des Problems, die jedem einigermaßen technisch versierten Nutzer erlaubt, in verwundbaren Blogs Admin-Rechte zu erlangen. Oder in anderen Worten: The race is on.

Damit keiner behaupten kann, das wäre ein unglücklicher Einzelfall, hier noch eine Statistik für WordPress + Plugins aus meinem BugTraq-Archiv:

JahrSicherheitslücken
2008 (bis heute)15
200732
200613
20056
20046

Meldung bei heise.de
BugTraq: Wordpress 2.5 Cookie Integrity Protection Vulnerability (Englisch)

 
Comments
Sebastian (Sun, 27 Apr 2008):
Wow, es gibt jetzt eine Kommentarfuntkion hier ;-) Nagut, zum Thema: Nicht jeder Nutzer dieser Welt hat leider die Fähigkeit sich selbst einen Blog zu programmieren. Auch wäre es irgendwie ziemliche Verschwendung, wenn jeder immer das Rad wieder neu erfinden würde, oder?
Micha (Sun, 27 Apr 2008):
Ja, und nicht nur hier. Bis auf die Ãœbersichtsseiten kann man jetzt alles kommentieren. Mal schauen, wie lange das ohne explizite Freigabe gut geht.

Mein Eintrag bezieht sich nur auf mein Blog und die Kopfschüttler. Nichts läge mir ferner als irgendwem WordPress zu verbieten.

Nochmal mein Standpunkt: Es ist keineswegs absurd, eine eigene Lösung zu haben. Besonders wenn man nur wenige Funktionen braucht, kommt man mit bedeutend weniger Angriffsfläche aus. Aus meinem Bauchgefühl heraus würde ich schätzen, dass sich durch WordPress die Anfälligkeit meines Servers mindestens um Faktor 10 erhöhen würde. Um das zu vermeiden investiere ich gern mal 1-2 Tage.

Wer natürlich einen ganzen Haufen Funktionen braucht, muss eben in den sauren Apfel beißen, seinen Server als latent gehackt betrachten, regelmäßig updaten, backupen und hoffen.

Außerdem rate ich natürlich jedem Anfänger davon ab, ein eigene Blog-Software zu schreiben. Neben einem Gästebuch dürfte ein Blog die kleinstmögliche Anwendung sein, um alle webtypischen Sicherheitsfehler das 1000. mal zu machen und den Leuten in die Falle zu laufen, die genau darauf gewartet haben.
Sebastian (Sun, 27 Apr 2008):
Ja, es bringt ja auch nichts SAP einzuführen, wenn man nur ein kleines Buchführungsprogramm braucht. Ich persönlich nutze Wordpress, weil es eine breite Community hat und man deshalb nicht wegen jeder Änderung selbst coden muss, sondern die meisten Sachen über ein Plugin erledigen kann. Ich bin einfach zu faul ;-)
Micha (Sun, 27 Apr 2008):
Ich sehe das genau entgegengesetzt: Ich bin zu faul für Plugins und 3rd-Party-Programme. Wie oft schaust du denn auf den diversen Websites nach, ob deine ganzen Plugins noch aktiv entwickelt werden und ob es eine neue Version davon gibt?

Bei mir kommt nix drauf, was nicht zur Standarddistribution gehört. Da brauch ich nur genau ein Update-Tool zu starten. Das erledigt alles für mich. Das nenne ich bequem.

(Meinem eigenen Paranoia-Code vertraue ich ja. ;)
Sebastian (Thu, 1 May 2008):
Das mit den Updates ist bei Wordpress elegant gelöst. Du loggst dich ein und siehst sofort, ob es für irgendwelche Teile neue Versionen gibt. In der aktuellen Version von Wordpress kannst du sogar durch einen Mausklick die Plugins aktualisieren lassen. Mehr Komfort geht kaum.
Torsten (Thu, 1 May 2008):
Ich hätte nie gedacht, dass man ausgelacht wird, wenn man NICHT Wordpress nutzt. Wenn ich die Zeit und Muse hätte, mir ein eigenes Blog-System zu schreiben, würde ich das sofort tun und wäre sicherlich zufriedener. Dann entspricht nämlich alles meinen Anforderungen.

Wordpress kann vieles, was mich nicht im geringsten interessiert, und hat dafür Probleme und Einschränkungen, die mich immer wieder nerven. Wenn man dann mit den Plugins und Themes anfängt, sucht und frickelt man schon wieder so lange rum, dass man in der Zeit auch schon fast wieder ein eigenes kleines System, welches einem die Grundbedürfnisse erfüllt, erstellt hat - vor allem wenn man so fit ist wie Du, Micha. Mich wundert, dass Du Dich da so beeindrucken lässt :)

Ich hole mir Wordpress und passenden Kram aus dem SVN-Repository. Das macht die Updates schnell, und meistens einfach und schmerzlos. Der Umgang mit eventuellen Modifikationen, die leider manchmal nötig, wird dadurch auch vereinfacht. Wenn die Jungs noch Branches oder Tags anbieten würden, die die Datenbankstruktur garantiert nicht ändern, könnte man sogar alles automatisch aktuell halten.

Apropos Modifikationen, der Wordpress-Code ist in großen Bereichen grauenhaft, von daher sind die ganzen Sicherheitslücken und seltsamen Fehler, die ständig beseitigt werden müssen, wahrlich keine Überraschung. Wer es benutzt, sollte sich wirklich ständig auf dem laufenden halten und hätte dann sicherlich auch keine Nerven mehr, über Eigenbaulösungen zu lachen, solange die professionell wirken ;)
Rainer (Mon, 5 May 2008):
Da kann ich doch meinen Senf nicht halten ;-)
Erstens mut Du dann bei Deinem Anspruch schon die gesamte Kette betrachten. Apache 2.2.3 hat einige bekannte Lcken - jedenfalls wenn die fraglichen Module verwendet werden. Suse macht m.W. keine Backports.
Zweitens gibt es bei Wordpress mit Spamkarma eine Lsung, die das Kommentieren den Besucher nicht gngelt, so wie Du es tun mut (Textcaptcha)
Zweifellos - die Updatefrequenz bei Wordpress ist gruselig hoch; und jedes Update hnelt einer Operation am offenen Herzen. Das hat Grnde: zum Einen php, was es jedem Dilettanten leicht macht, Anfngerfehler einzubauen. Und zum Anderen Wordpress selbst: Dahinter steht die Firma Wordpress, die ihr Geld durch Hosting verdient - und das eben nicht mit dem gemeinen Wordpress, sondern mit Wordpress-, ind das zwar nderungen aus Wordpress einflieen, aber kaum umgekehrt. Schade.
Schlielich ist frden Normalo, der Bloggen aber nicht Programmieren will/kann, eine selbstgebaute Lsung schlicht unmglich.
UND: TATATAA: der validator mag meine Wordpress-Seite, Dein Blog hingegen nicht ;-P
Rainer (Mon, 5 May 2008):
Und an den Umlauts musst Du noch arbeiten.
Ich verwende gerade: Mozilla/5.0 (X11; U; Linux i686; de; rv:1.8.1.14) Gecko/20080410 SUSE/2.0.0.14-2.1 Firefox/2.0.0.14
Micha (Tue, 6 May 2008):
SuSE macht keine Backports? Aber Hallo. Erinnerst du dich nicht mehr, wie viele Leute
seinerzeit Blut gespuckt haben, weil Features des 2.6er Kernels bei SuSE schon
in der 2.4 drin waren?
Aber zurück zum Thema: Diese "2.2.3" hat natürlich die ganzen Fixes. SuSE Online Updates ändern eigentlich nie die Versionsnummer. Will man nicht nur wichtige Patches haben, sondern neue Versionen mit allen neuen Features (und Bugs), muss man gesonderte Repositories nutzen.

Abgesehen davon sage ich auch nicht, dass mein Computer völlig sicher ist, sondern nur (wie bereits oben geschrieben), dass sich das Risiko durch WordPress in meinen Augen mindestens um Faktor 10 erhöht.

Du findest Spam Karma toll, andere nicht (mehr):

http://www.darcynorman.net/2008/02/17/switching-from-spam-karma-2-to-akismet/

(Das alte Monokultur-Problem. Bei genug Verbreitung lohnt sich fast jeder Aufwand, ein System auszuhebeln - was wieder für mehr Diversity bei Blog-Software spricht.)

Was PHP angeht, stimme ich dir zu. Aber die armen PHP-Jungs können da auch nichts dran ändern, weil ja sonst tolle Programme wie WordPress nicht mehr laufen.

Die Validität habe ich dem lustigen Video unten geopfert, weil das Internet ja jetzt erwachsen ist, und sich nichts mehr vom W3C vorschreiben lassen muss.

Und nein, die Umlaute hat auch nicht das Blog auf dem Gewissen, sondern ein Editor, der unbedingt utf-8 machen wollte.

Schöne Grüße nach Jena
Rainer (Tue, 6 May 2008):
Backports: Da trügte mich offensichtlich meine Erinnerung. Generell finde ich das Konzept von Backports doof: wo Version x draufsteht, soll nicht x+n drin sein.
Spamkarma: Jedenfalls für mich hat es bisher absolut schmerzfrei funktioniert. Akismet muß man registrieren - sowas vermeide ich nach Möglichkeit.
PHP-(Programmierer): Ich hatte neulich das "Vergnügen", ein wenig Code Review zu treiben. Da kamen so Sachen wie (sorry für die Formatierung - magst Du ein Code-Tag einbauen? ;-)):

//create the awstats data dir what
mode is safe here??
mkdir ($this>
MCONF['awstatsdatadir'].t3libdiv::GPvar('config').'/', 0777);
} else {
chmod
($this>
MCONF['awstatsdatadir'].t3libdiv::GPvar('config').'/', 0777);
+ @chmod ($this>
MCONF['awstatsdatadir'].t3libdiv::GPvar('config').'/', 0777);
}
// I hope this works

Ich bin sicher, das hätte es bei Dir nicht gegeben. Die Welt ist schlecht und wird bald untergehen - und die Webagenturen sind schuld!
Würde ich heute eine Skriptsprache für Web verwenden, würde meine Wahl wohl auf Python fallen, Python ist schön konsequent im Gesamtaufbau - und (gezwungenermaßen) lesbar.
Validität: Ja, das sehe ich ähnlich. Im Browserkrieg haben sowohl Netscape als auch Microsoft Validität im Bewußtsein der Webdesigner zu einer Nebensache gemacht. Das muß man zwar nicht schön finden, kommt aber daran nicht vorbei. Insofern ist Validität ein nice to have - schön, wenn es da ist, und wenn nicht, geht die Welt auch nicht unter.
Micha (Wed, 7 May 2008):
Klar, Backports sind etwas unübersichtlich und eventuell kommen auch Fehler rein, die in der offiziellen Version nicht sind, aber dafür muss man keine Angst haben, nach einem kleinen Update plötzlich eine völlig andere Software vorzufinden. (Den Apachen möchte ich da mal ausklammern, die haben scheinbar ein gutes Release-Management)

Sehr hübsches Snippet. :)
Hatte erst nur die 0777 gesehen, weil ich Typo3 nicht kenne, aber nachdem Google mir verraten hat, was GPvar ist...

Vielleicht wäre es eine Lösung, Google für Exploit-Suchen noch effizienter zu machen. Wenn böse Bugs innerhalb eines Tages zum Defacing (oder tausenden seltsamen Verzeichnissen) führen, hätte die kaputte WebApp keine Chance mehr, sich zu verbreiten und würde dann (hoffentlich) nur noch den Entwickler selber treffen.