12. August 2009
Code
 
Tags: , , , ,  


Mehr Achtsamkeit bei der Entwicklung wünsche ich WordPress

Das war mal ein kleiner Ast

Das war mal ein kleiner Ast

Ein Browser reicht, um Administratoren kurzfristig aus dem System auszusperren. Die Ursache ist ein Fehler in der Funktion zum Zurücksetzen des Passworts. Ein Einbruch ist aber nicht möglich.

WordPress ist eine feine, sehr flexible Blogsoftware. Sie ist populär dank der unzähligen Plugins und Themes, die es gibt. Leicht modifiziert eignet sie sich als CMS für kleine Webauftritte. Kurzum, WordPress ist der Platzhirsch bei Blogs. Da ist es nachvollziehbar, dass Fehler im Quellcode Wellen schlagen. Vor allem wenn sie die Sicherheit betreffen.

Allerdings sind die Updatenzyklen mittlerweile so kurz, dass jeder die Augen verdreht, der mehrere WP-Blogs betreut oder betreibt. Es ist trotz des erleichternden Update-Mechanismus immer noch eine zeitraubende Angelegenheit. Immerhin muss man Datenbanken sichern, Plugins deaktivieren und dann erst sollte man das Update wagen. Danach kann man Plugins wieder aktivieren und hoffen, dass sie funktionieren. Denn nicht alle Plugins funktionieren gleich mit der neuesten WordPress-Version. 🙁

Dieses nervige Prozedere könnten sich Millionen Blogger weltweit sparen, wenn bei der Entwicklung mehr auf Sicherheit statt auf neue Features geachtet werden würde. Lieber ein stabiles und sicheres System anstatt Updates ohne Ende wegen neuen Schickimicki-Features. Denn nicht nur ich habe noch anderes zu tun, als WordPress-Blogs upzudaten. Wobei der aktuelle Hack noch schnell zu machen ist, aber trotzdem ist es überflüssige Arbeit millionenfach. Ich wünsche mir bei WordPress wirklich eine andere Entwicklung, eine der Achtsamkeit gegenüber Stabilität und Sicherheit des Codes. Lieber langsam, stetig, sicher und nachvollziehbar entwickeln als so ein Hickhack weiter. Es kann nicht schaden darüber nachzudenken, ob eine Zen-orientierte Herangehensweise sinniger wäre. Weniger ist durchaus mehr.

Die WordPress-Entwickler sind über das Problem informiert und haben den Fehler im Entwicklungszweig korrigiert, in dem sie die Übergabe von Arrays an die Variable Key blockieren. Dazu haben sie in wp-login.php die Zeile
if ( empty( $key ) )
durch
if ( empty( $key ) || is_array( $key ) )
ersetzt.
heise, Lücke in WordPress ermöglicht Aussperren des Admins, 11.08.2009

Schreiben Sie Ihre Meinung