Die gängige Praxis Plugins in Premium Themes zu integrieren, kann deine WordPress-Seite einem großen Sicherheitsrisiko aussetzen. Doch lässt sich das Problem derzeit kaum vermeiden – der Nutzer ist gefragt.

In den Jahren 2014 und 2015 wurden massive Sicherheitslücken in zwei der beliebtesten Plugins überhaupt entdeckt: Sowohl Slider Revolution [1] (fast 75.000 Mal auf Envato verkauft), als auch der Visual Composer [2] (fast 100.000 Mal auf Envato verkauft) waren betroffen. Die Sicherheitslücken an sich waren jedoch nicht das Hauptproblem. Denn die Entwickler reagierten schnell und lieferten entsprechende Updates nach. Doch für einige Kunden von Premium Themes, welche die beiden Plugins als Bestandteil sogenannter Plugin-Bundles, also standardmäßig in den Themes integrierter Pluginkonstellationen, nutzen war diese Maßnahme nutzlos. Sie dümpelten teils lange Zeit mit diesen Sicherheitslücken durch’s Netz. Denn nicht alle Themes erlauben in allen Fällen ein automatisches Update.

Doppelte Abhängigkeit der Nutzer

User von Premium Themes sind bei sicherheitsrelevanten Pluginupdates von zwei Parteien abhängig: den Plugin- und den Themeherstellern. So kann es passieren, dass zwar der Pluginhersteller schnell reagiert und die Sicherheitslücke schließt, das Theme diese Änderungen jedoch nicht automatisch umsetzt. Denn Pluginupdates sind nicht immer ohne Weiteres mit dem Rest eines Themes kompatibel. Das Zusammenspiel des Premium Themes mit der neuen Pluginversion muss meist erst getestet werden. Die Reaktionsgeschwindigkeit der Themehersteller ist somit die kritische Komponente im Updateprozess und bestimmt wie lange User mit Sicherheitslücken leben müssen [3].

Aber: Bundles sind auch problematisch für die Anbieter selbst

Diese Verantwortung ist in der Praxis auch eine Belastung für die Themehersteller. Zum einen müssen diese ihre Kunden über die Sicherheitslücke und deren Bedeutung informieren. Im Fall des Visual Composers haben der Marktplatzanbieter Envato und der Pluginhersteller wpbackery vorbildlich reagiert: Alle Kunden wurden via Mail angeschrieben und das Update auf eigene Gefahr empfohlen [4]. Zum anderen muss der Hersteller spontan die Kompatibilität des Premium Themes mit der neuen Pluginversion testen, diese unter Umständen erst herstellen oder sogar eine provisorische Lösung entwickeln und den Kunden zur Verfügung stellen.

Das Schnüren solcher Pluginbündel sorgt somit für Probleme für Anbieter und Kunden. Da das Bundle-Prinzip jedoch viele Vorteile hat, wie schnelle Integration komplizierter Zusatzfunktionen und komfortable Bedienung für den Kunden, wird das Problem wohl noch für längere Zeit bestehen. Daher ist es wichtig, dass Seitenbetreiber sich dieser Gefahr bewusst sind und mit ihr umzugehen wissen.

Trotz vorbildlicher Reaktion: Reaktives Vorgehen der Hersteller löst das Problem nicht

Auch wenn Envato und wpbakery im Fall des Visual Composers schnell reagiert haben, zeigt der Fall doch die Grenzen der reaktiven Strategie auf und macht deutlich, dass die bestehende Praxis Sicherheitslücken aktiv in Kauf nimmt. Reaktives Verhalten der Themehersteller und Marktplatzanbieter – und mag es noch so gut koordiniert sein – bietet also nicht zwingend einen hohen Sicherheits- und Funktionalitätsstandard. Denn E-Mails können im Spamfilter landen, Social Media Posts übersehen werden und In-App-Nachrichten verlorengehen. Somit besteht für Seitenbetreiber ein unnötiges Risiko längere Zeit ein unsicheres Plugin in Betrieb zu haben.

Das reaktive Vorgehen der Hersteller birgt jedoch noch eine zweite Gefahr. Dann nämlich, wenn der Seitenbetreiber nicht der Lizenzinhaber des Premium Themes ist. Eine recht gängige Konstellation, beispielsweise bei Auftragsarbeiten von Webdesignern. Stehen Webdesigner und Seiteninhaber nicht im Kontakt, kann es gar passieren, dass die Betroffenen nichts von der Sicherheitslücke erfahren. Diese Praxis produziert massenhaft Websites, deren Inhaber und Administratoren keinen Zugriff auf theme-interne Updates haben. Auch professionell betreute Seiten können somit veraltete und angreifbare Plugins verwenden.

Ein reaktives Vorgehen der Themehersteller und Marktplatzanbietern ignoriert also einen wichtigen Teil der Realität des Webdesigns.

Proaktives Vorgehen ist teuer

Nun stellt sich die Frage, weswegen die Plugin-Bundle nicht einfach immer automatisch aktualisiert werden. Die Antwort liegt in der Komplexität der Premium Themes. Die Entwickler entwerfen Themes mit umfassenden Zusatzfunktionen, wie visuellen Bearbeitungsoberflächen, Slidern, Formularfeldern und und und. Bis das Premium Theme zusammengestellt ist und reibungslos läuft müssen Dutzende Testreihen absolviert werden. Ähnlich verhält es sich auch bei Updates der verbauten Plugins: Jede neue Version kann die Gesamtfunktionalität des Themes gefährden und im schlimmsten Fall die ganze Website unbrauchbar machen. Besonders für E-Commerce Anbieter kann eine solche Downtime enorme monetäre Einbußen und einen nachhaltigen Imageschaden bedeuten.

Kompatibilitätstests verschlingen also viel Zeit und Geld, was den Themeentwicklern den Anreiz für proaktives Vorgehen nimmt und deren teils reaktives Verhalten erklärt. Wie der schottische Blogger Kevin Muldoon anmerkt, fördern auch die Marktplätze regelmäßige, anlasslose Updatetests nicht. So könnten Anbieter beispielsweise mit Trust-Programmen arbeiten, so Muldoon. Im Endeffekt bleibt es jedem Themehersteller selbst überlassen welche Updatestrategie er fährt. Und natürlich darf man auch nicht vergessen, dass Premium Themes existieren, deren Support vollständig eingestellt wurde.

Mögliche Lösungen: Premium Updates auch für Nutzer und neue Qualitätsstandards

Muldoon schlägt in seinem Blogartikel eine optionale Aktualisierungsmöglichkeit für theme-interne Plugins in WordPress selbst vor. Der User könnte dann direkt nach Erscheinen des Updates das jeweilige Plugin auf die aktuellste Version updaten, übernimmt jedoch auch die Haftung bei möglichen Inkompatibilitäten mit dem gewählten Theme. Das Eingeben des Lizenzschlüssels wäre nur bei der Aktivierung des Plugins nötig, Updates könnten auch ohne Lizenz gemacht werden. Über neue und besonders wichtige Updates würde der User zudem direkt in WordPress informiert. Der Zwischenschritt über Themehersteller oder Marktplätze, die ihre Kunden erst informieren müssen, fiele damit weg.

Auch die von Muldoon erwähnten Anreizprogramme könnten eine Lösung sein, wenn diese die proaktive Updatepolitik der Themehersteller als prominenten, neuen Sicherheitsaspekt etablieren. So könnten regelmäßige Kompatibilitätstests ein völlig neues Qualitätskriterium der kostenpflichtigen Themes werden.

Fazit: Der User ist gefragt

In jedem Fall ist bei diesem Problem jedoch der User gefragt: Man muss sich bewusst machen, dass Bundle-Plugins ein Sicherheitsproblem darstellen können und einen möglichen Workaround finden. So kann der Besitzer einer Website Lizenzen für entsprechende Themes selbst erwerben oder sich auf einen Hoster verlassen, der entsprechende Updates vornimmt [5].

Auch bei der Auswahl des Premium Themes selbst können schon einige wichtige Sicherheitsaspekte beachtet werden. Kennt man die Updatepolitik des Themeherstellers und die verwendeten Plugins, kann man meist schon eine solide Schätzung der Problemanfälligkeit des Themes abgeben.

Auch hier gilt: Eine 100%ige Sicherheit gibt es nicht. Das Risiko lässt sich jedoch bei bewusster Auswahl deutlich reduzieren.

Dieser Sachverhalt zeigt sehr schön, wie Vor- und Nachteile des modularen Aufbaus von WordPress zusammenhängen. Da dieses Problemfeld groß und vielfältig ist, freuen wir uns an dieser Stelle auf deinen Input: Hattest du schon einmal Probleme mit Premium Themes, Pluginupdates oder ähnlichem? Lass es uns wissen und hilf der Community dabei sich noch besser auf den Ernstfall vorzubereiten.

Links

[1]: Erläuterung zu den Sicherheitslücken beim Plugin Slider Revolution: https://blog.sucuri.net/2014/09/slider-revolution-plugin-critical-vulnerability-being-exploited.html

[2]: Erläuterung zu den Sicherheitslücken beim Plugin Visual Composer: https://forums.envato.com/t/visual-composer-security-vulnerability-fix/10494

[3]: Das betonen auch Anbieter wie Envato in ihren Kundenhinweisen zu entsprechenden Sicherheitslücken: https://forums.envato.com/t/visual-composer-security-vulnerability-fix/10494

[4]: Der schottische Blogger Kevin Muldoon hat einen ausführlichen Artikel zu dieser Problematik geschrieben und sowohl das Vorgehen von Envato kommentiert, als auch eine automatische Updatefunktion für Bundle-Plugins gefordert: http://www.kevinmuldoon.com/packaged-wordpress-plugins-automatic-updates/

[5]: Vor allem, wenn Webdesigner eng mit den jeweiligen Hostern zusammenarbeiten, also über die jeweils nötigen Informationen für Pluginupdates verfügen, kann ein effektiver und schneller Updateprozess etabliert werden.