Analysiert man die Schwächen eines Systems, kommt man nicht darum herum, auch die Stärken etwas zu beleuchten. Paradoxerweise stehen die Schwächen unmittelbar mit den Stärken in Verbindung. Anders ausgedrückt: Je größer die Stärke, umso größer die daraus resultierende Schwä- che. Oder konkreter: Was auf der einen Seite für die Ein- fachheit und die Popularität von WordPress sorgt, schafft auf der anderen Seite Raum für einige Problemzonen.

Es ist nicht von der Hand zu weisen, dass eine sehr hohe Verbreitung automatisch eine höhere Zahl von Angriffen nach sich zieht – immerhin basieren laut W3Techs 29.4% der Websites weltweit auf WordPress (Stand Februar 2018). Da sind keine gezielten Angriffe notwendig, um genügend Websites ausfindig zu machen, die nicht einmal den Grundanforderungen an Sicherheit entsprechen.

WordPress spricht mit seiner Einfachheit besonders tech- nisch unversiertere Nutzer an, die möglichst mit wenig Aufwand und geringen technischen Kenntnissen des Unterbaus zu vielversprechenden Ergebnissen gelangen wollen. Das ist per se nicht verwerflich und sogar als eine der zahlreichen Stärken des Systems zu bezeichnen. Wichtige Themen wie Sicherheit bleiben jedoch oftmals auf der Strecke. Aktualisierungen werden viel zu selten eingespielt, Kennwörter viel zu lasch gewählt und wenn die Website einmal gehackt wurde, fehlen entsprechende Backups. Und selbst wenn Sicherungen existieren, ist nicht gesagt, dass diese ausreichend weit genug zurückreichen, um perfide platzierte Hintertürchen fachgerecht eliminieren zu können.

WordPress ist unter anderem wegen seiner Einfachheit so populär und rühmt sich stets seiner beliebten „5 Minuten Installation“. Allerdings hat diese Einfachheit seinen Preis. Während andere Systeme strikt starke Kennwörter einfordern, gibt sich WordPress mit viel zu schwachen Kennwörtern zufrieden. Mittlerweile – und das hat lange gedauert – schlägt WordPress zumindest starke Kennwörter vor und fordert ein Häkchen zusätzlich ein, wenn Administratoren wirklich mit einem schwachen Kennwort fortfahren möchten (Abb. 1). Verhindert wird es in der Standard-Installation allerdings nicht.

Was die Systemanforderungen anbelangt ist WordPress ebenfalls sehr kulant und nimmt bewusst Sicherheitsrisiken in Kauf sowie sinnlose Performance-Einbußen. Bis heute gibt WordPress als Mindestanforderung PHP in der Version 5.2.4 an. Diese Version wurde im August 2007 veröffentlicht – vor nahezu zehn Jahren! Eine Warnmeldung im Administrationsbereich wäre das Mindeste, um die oftmals ahnungslosen Nutzer des Systems zu warnen, dass der Unterbau hoffnungslos veraltet ist und sie dringend die PHP-Version aktualisieren sollten. Die meisten Hoster lassen ihren Kunden die Wahl, welche PHP-Version zum Einsatz kommen soll. Aus Ahnungslosigkeit wird aber immer noch zu häufig eine viel zu alte PHP-Version eingesetzt. Dabei ist ein PHP-Update für viele Hosting-Kunden mit wenigen Klicks erledigt. Als Ergebnis erhalten Sie eine sicherere Website, die deutlich besser performt. Eine Warnmeldung würde sicher viele Nutzer dazu verleiten, zumindest beim jeweiligen Hoster nachzufragen, ob sie nicht eine aktuellere PHP-Version nutzen können.

Eigentlich klingt es fast unglaublich: Bis heute ist es ohne weiteres möglich, eine Standard-Installation nach Belieben im Sekundentakt mit Login-Versuchen zu bombardieren. Ab Werk bietet Word- Press keinerlei Schutz gegen solche „Brute-Force-Attacken“, bei denen nach Herzenslust Passwort-Kombinationen ausprobiert werden. Ohne passende Security-Plug-ins oder entsprechende serverseitige Block-Maßnahmen (z.B. „Fail2Ban“), kann eine solche Attacke eine Website bzw. einen Webserver binnen weniger Minuten in die Knie zwingen. Wenn sich die Angreifer bis dahin nicht sogar bereits Zugang verschafft haben.

Themes und Plug-ins gibt es für WordPress wie Sand am Meer. Sehr unterschiedlich ist allerdings auch die zugrunde- liegende Code-Qualität vieler Erweiterungen. Eine Erweiterung ist zügig erstellt, und selbst PHP-Neulinge feiern schnell Erfolge, die Lernkurve ist entsprechend niedrig. Das hat einerseits dazu geführt, dass die WordPress-Community immens viele Erweiterungen veröffentlichen konnte – was der Reichweite des Systems sicherlich dienlich und ein wichtiger Grundpfeiler für den Erfolg des Systems ist. Andererseits ist die Qualität des zugrundeliegenden Quellcodes oft entsprechend gering. Für den Laien – so schließt sich der Kreis der Zielgruppe von WordPress – ist es schwierig herauszufinden welches Plug-in taugt. Während Sie die Qualität eines Themes mit dem Plug-in „Theme Check“ noch etwas unter die Lupe nehmen können, wird es im Falle der Plug-ins deutlich schwieriger.

Im Gegensatz zu Themes, die lediglich das Aussehen der Website steuern, stellen Plug-ins wichtige neue, teils hochkomplexe Funktionen zur Verfügung. Entsprechend ist das Thema Sicherheit bei Plug-ins noch deutlich wichtiger als bei Themes. Übrigens werden alle Themes und Plug-ins, die im offiziellen Verzeichnis von WordPress gelistet werden, einem manuellen Check unterzogen. Bevor ein Theme oder Plug-in im Verzeichnis gelistet wird, muss es im Rahmen eines Review-Prozesses erstmal freigegeben werden. Auch wenn sich über die Richtlinien im Einzelnen streiten lässt: Dass Themes und Plug- ins – zumindest wenn sie dem offiziellen Verzeichnis entspringen – überhaupt geprüft werden ist eine gute Sache.

Im Zusammenhang mit Plug- ins gibt es leider einen weiteren Makel: Wird ein Plug- in aus dem Verzeichnis von WordPress entfernt (weil es zum Beispiel nicht fortgeführt wird oder gar gegen wichtige Richtlinien verstößt), erhält der Nutzer dieser Erweiterung im Administrationsbereich keine Warnmeldung. Anders ausgedrückt: Der ahnungslose Webworker wiegt sich in Sicherheit und ist überzeugt, alle seine Plug-ins seien „up to date“. Stattdessen könnte seine Website durchaus von gefährlichen Sicherheitslücken bedroht sein. Abhilfe schafft das Plug-in „No Longer in Directory“. Einmal installiert, prüft das Plug-in auf Wunsch, ob alle Plug-ins weiterhin im WordPress-Verzeichnis vermerkt sind und entsprechend Updates erfahren können. Ist dies nicht der Fall, schlägt das Plug-in Alarm.

Die WordPress-Mediathek ist an Schlichtheit kaum zu überbieten. Und genau diese Einfachheit lässt die Mediathek schnell an ihre Grenzen stoßen, wenn Unmengen an Dateien verwaltet werden müssen. Bis heute ist es ohne zusätzliche Plug-ins nicht möglich, Dateien in Ordner und Unterordner einzuteilen. Selbst eine Zuweisung von Kategorien und Tags – eigentlich Word-Press’ Paradedisziplin – ist „out of the box“ nicht vorgesehen. Bis zur aktuellen Version 4.9. von WordPress erlaubt die Mediathek nicht einmal die Suche nach Dateinamen. Auch wenn dieses Feature bereits für zukünftige Versionen angekündigt wurde, offenbart das Fehlen solch banaler Funktionen eiskalt die Schwächen der Mediathek. Auch das Hochladen etwas exotischerer Datei-Formate ist mitunter nicht möglich bzw. nur mit entsprechenden Erweiterungen oder einer Prise Know- How zu bewerkstelligen. Eine vollständige Liste der ab Werk zur Verfügung stehenden Dateiformate finden Sie im Netz.

Wer sich mit der Standard- Mediathek nicht zufrieden gibt und diese etwas „pimpen“ möchte, sollte sich das Plug-in „Enhanced Media Library“ anschauen. Das Plug-in erweitert die spartanische Mediathek um wichtige Zusatz-Funktionen.

So ist es nach Installation des Plug-ins möglich, Medien-Dateien zu „taggen“ und zu kategorisieren. Anschließend können Sie deutlich besser filltern und einschränken. Wer sich für den Kauf der Pro-Version entscheidet, erhält zudem die Möglichkeit, via Batch mehrere Dateien auf einmal zu bearbeiten.

Während viele andere Systeme bereits ab Werk mit teilweise hervorragenden Möglichkeiten aufwarten, um Websites in mehreren Sprachen zu realisieren, glänzt der Platzhirsch WordPress erneut mit Bescheidenheit. Während WordPress als System in jeder nur erdenklichen Sprache runtergeladen und eingesetzt werden kann, wird es für die Erstellung einer mehrsprachigen Website deutlich kniffliger. Sie können WordPress aber als Multisite betreiben. Das bedeutet, dass gleich mehrere Blogs bzw. Websites unter einem WordPress-Dach vereint sind. Das ist standardmäßig mit jeder WordPress-Installation möglich. Für eine mehrsprachige Website können Sie sich dieses Feature zunutze machen und pro Sprachversion eine eigene WordPress-Website aufbauen. Die Inhalte werden entsprechend in den einzelnen Unter- Websites der Multisite-Installation gefüttert und gepflegt. Einziger Wermutstropfen: Auch die Mediathek muss pro Sprache gepflegt werden. Was bei Alternativtexten zu Bildern oder Datei-Beschreibungen noch sinnvoll erscheinen mag, wird jedoch absurd, wenn Sie berücksichtigen, dass jede Datei gleich mehrfach hochgeladen werden muss.

Was die Theme-Entwicklung angeht, fehlt es im Falle von WordPress an einer einfachen, aber dennoch mächtigen Template-Engine. So ist ein Theme meist ein undurchsichtiges Sammelsurium an HTML- und PHP-Schnippseln, die ohne entsprechende Disziplin wahllos und chaotisch zusammengewürfelt werden können. Gerade hier könnten Template Engines wie Twig ihre Stärken ausspielen und Webworker zu mehr Disziplin und saubererem Coding zwingen. Gleichzeitig steht natürlich erneut Einfachheit bei WordPress an erster Stelle: Eine Umstellung hin zu einer komplexeren Template-Engine würde nicht nur eine weitere Abhängigkeit mit sich führen, sondern auch die Lernkurve für die Theme-Entwicklung steiler verlaufen lassen.

Beiträge und Seiten in Word-Press können um so genannte „Custom Fields“ angereichert werden. Damit erweitern Sie sich Beiträge um individuelle Schlüssel-Wert-Paare. Ab Werk sind diese Meta-Daten aber nicht sonderlich intuitiv implementiert. Wenn Sie diese Felder benutzerfreundlich und richtig sinnvoll einsetzen möchten, kommen Sie um die Erweiterung „Advanced Custom Fields“ nicht herum. Das Plug-in erlaubt die Erstellung vollkommen individueller Bearbeitungsmasken. Somit sind Sie nicht auf die klassischen Felder wie zum Beispiel Titel, Auszug, Beitragsbild oder Text beschränkt. Das Plug-in setzt rigoros auf Word-Press-Standards und hat sich in der Praxis bereits mehrfach bewährt. Viele fragen sich sogar, warum diese Funktionalitäten nicht gleich durch den WordPress-Core abgedeckt werden. Dies ist bei anderen CMS durchaus der Fall.

WordPress ist in der Grundeinstellung nicht gerade für Schweigsamkeit bekannt und posaunt gerne mehr heraus als nötig. So werden über Fehlermeldungen – beispielsweise bei fehlgeschlagenen Login- Versuchen – viel zu viele Informationen preisgegeben, die Hackern dienlich sein könnten. Mittels entsprechender Scan-Tools wie WPScan ist es ein Leichtes, weitere Informationen zu sammeln. Selbst wer zum Beispiel versucht, seine WordPress-Version zu verschleiern, wird zügig entlarvt. Mittels verschiedener Funktions-Checks lässt sich die WordPress-Version relativ einfach feststellen – und wer einmal die Version kennt, kennt auch die Sicherheitslücken der entsprechenden Version. Doch damit nicht genug. Ein Scan listet auch die einge- setzten Plug-ins und Themes. Auch hier gilt: Wer einmal deren Version kennt, kennt auch deren spezifischen Lücken. Ein weiterer Grund, Updates zügig einzuspielen.

Obschon WordPress in sehr vielen Fällen als handelsübliches CMS zum Beispiel für Business-Websites eingesetzt wird, verhält es sich weiterhin so wie eine Blog-Only-Plattform. Entsprechend sind ab Werk Diskussionen erlaubt, und ein Deaktivieren der entsprechenden Diskussions-Einstellungen verhindert nicht, dass dennoch Spam eingeschleust werden kann. In WordPress haben sogar Medien-Dateien ein eigenes Template und sind entsprechend als so genannte Attachments im Frontend aufrufbar – je nach Theme mitsamt entsprechender Kommentar-Funktion. Wirklich auf Nummer sicher gehen Sie, indem Sie erneut ein Plug-in installieren: die Erweiterung „Disable Comments“.

Wer auf Kommentare angewiesen ist, hat natürlich ebenfalls mit Spam zu kämpfen. WordPress hat ab Werk nur extrem wenig Möglichkeiten Spam einzudämmen – und das obschon es seine Stärken ja hauptsächlich im Blog-Bereich hat. Auch hier muss wieder ein Plug-in die hausgemachten Schwächen ausbügeln. Wer Wert auf Datenschutz legt, sollte das ab Werk mitgelieferte Plug-In „Akismet“ aus- mustern und stattdessen Alternativen wie das Plug-in „Antispam Bee“ einsetzen. Akismet steht zurecht in der Kritik wegen mangelndem Datenschutz und fehlender Transparenz.

Wer an den entsprechenden Stellschrauben zu drehen weiß, kann die Schwächen von WordPress kompensieren. Allerdings ist hierzu die Installation einiger Plug-ins notwendig. Während Sie die Schwäche der Mediathek noch als annehmbaren Makel hinnehmen könnten, müssen beim Thema Sicherheit durchaus höhere Maßstäbe gelten. WordPress rühmt sich mit intuitiver und einsteigerfreundlicher Bedienung und Installation. Das ist durchaus lobenswert und Teil der Erfolgsstrategie des Systems. Dennoch sollte ein System, das sich eher an Einsteiger und Laien richtet, das Thema Sicherheit ernst nehmen und ab Werk ein Maximum an Prävention anbieten. Sicherheit ist gerade heutzutage kein Luxusgut, das Zusatz-Plug-ins erfordern darf.