WordPress ist weltweit das beliebteste CMS, also Content Management System, mit dem man seine Website gestaltet und bestückt – rund ein Viertel aller Webseiten weltweit (Tendenz steigend…) laufen mit WordPress; und deswegen ist WordPress auch das vielleicht beliebteste Angriffsziel für Hacker. Wie bei jeder Software gibt’s darin natürlich Bugs, Fehler, also Sicherheitslücken, und deswegen sind halt regelmäßige Sicherheitsupdates Pflicht. Auch dieses Blog läuft mit WordPress – und deswegen habe ich letzte Woche auch einfach nur zur Kenntnis genommen, dass meine Seite auf die Version 4.7.2 upgedatet worden ist. Ich habe nämlich die automatische Updatefunktion aktiv und musste da also insofern nichts unternehmen.
Diese Standard-Konfiguration ist natürlich auch für die allermeisten WordPress-User, also eher Laien, empfehlenswert. Admins mit Ahnung oder mit Verantwortung für Firmenseiten sehen das aber etwas anders. Denn jedes Sicherheits-Update – egal ob beim Betriebssystem oder beim CMS – bringt natürlich ein Risiko mit sich: Dass da Inkompatibilitäten oder Fehler drinstecken und im Worst Case die Website oder die gesamte IT des Unternehmens nicht mehr funktioniert. Damit Admins diese Nutzen-Risiko-Abwägung treffen können, brauchen sie die Information, welche Lücken ein Update denn fixt.
Und genau dabei hat WordPress dieses Mal eine reichlich diskussionswürdige Entscheidung getroffen – in den Release-Notes der Version 4.7.2 waren zunächst nur drei Sicherheitslücken beschrieben. Und nun stellt sich heraus – es gab eine vierte, sehr viel gravierendere. Man habe die Extra-Woche abwarten wollen, bis möglichst viele User das Update eingespielt haben und die Provider Maßnahmen gegen Exploit-Versuche implementieren konnten – so das Argument des WordPress-Securityteams. Die selektive Informationspolitik bringt aber die Gefahr von Interessenskonflikten mit sich – und gefährdet vor allem ausgerechnet die WordPress-Nutzer/Admins mit Know-How, so die Kritik von vielen Usern.
Fazit: Die Strategie von WordPress ist einerseits nachvollziehbar – andererseits positioniert sich das CMS damit explizit als Tool “eher für den Laien” als für den Experten. Wie auch immer – Version 4.7.2 einspielen ist Pflicht. Sofort. Übrigens – wenn sie ein WordPress-Blog betreiben: Haben Sie eigentlich ein Backup?
DRadio Wissen – Hielscher oder Haase vom 02.02.2017 (Moderation: Till Haase)