WordPress räumt das Plug-in-Verzeichnis auf
"Plugins suck", so das nüchterne Ergebnis einer Umfrage unter 18.284 Anwendern und Entwicklern des WordPress-CMS. Matt Mullenweg will das Problem jetzt angehen – und räumt auf im Plug-in-Verzeichnis.
- Robert Lippert
18.284 Anwender und Entwickler wurden in einer der größten Umfragen unter der WordPress-Community zu ihrem Befinden und einer aktuellen Einschätzung des WordPress-Ökosystems befragt. Größter Kritikpunkt unter den Ergebnissen (die als gepackte CSV-Datei zum Download zur Verfügung gestellt werden) seien laut Matt Mullenweg die Plug-ins. Diese stellen ein Sicherheitsrisiko dar, müssten regelmäßig aktualisiert werden (wobei nicht immer klar ist, ob sie denn überhaupt noch gepflegt würden) und generell sei das Plug-in-Verzeichnis mit seinen über 15.000 Plug-ins ein unübersichtlicher Wildwuchs.
Damit sprechen die Entwickler einen durchaus relevanten Punkt an. WordPress werde mittlerweile auf 22 von 100 in den USA neu registrierten aktiven Domains betrieben, das System hat sich unter anderem bei TechCrunch, Mashable oder auch dem Smashing Magazine bewährt. Eine Infografik auf hackertarget.com geht speziell auf ausgewählte sicherheitsrelevante Aspekte des Content-Management-Systems ein. Demnach würden die meisten Exploits bei Plug-ins angewendet werden – trotz der Tatsache, dass nur rund 41 Prozent der WordPress-Installationen auf der aktuellen Version der Software laufen würden (die Macher der Infografik haben sogar ein System mit installiertem WordPress 1.5 ausmachen können).
Soweit es die Plug-ins betrifft, sollen die Risiken künftig jedoch entschärft werden. In seiner Rede zum State of the Word 2011 erklärt Matt Mullenweg die Details. So sollen Plug-ins, die über einen Zeitraum von zwei Jahren nicht gepflegt werden, künftig nicht mehr im Plug-in-Verzeichnis gelistet werden. Allein in 2011 seien bisher nur rund 32 Prozent der gelisteten Erweiterungen aktualisiert worden. Die Plug-ins würden dabei nicht entfernt werden, sie seien lediglich über die Suche nicht mehr auffindbar. Langfristig will man so sicherstellen, dass die Anwender möglichst aktuelle Versionen ihrer WordPress-Erweiterungen installiert haben. Erste Früchte soll die Ankündigung bereits tragen, eines der ältesten verfügbaren Plug-ins (Subscribe to Comments von Mark Jaquith, einer der Lead Developer von WordPress) hat ein Update spendiert bekommen. ()