Ich mag WordPress, ich setze es selber gerne für verschiedene Dinge ein, aber manchmal frage ich mich in der Tat, ob es nicht „zu“ einfach ist. Ja, es lässt sich einfach installieren, das sollten im Endeffekt nahezu alle hinbekommen. Einrichtung ist einfach, Layout, wenn es nicht extrem individuell sein soll auch (oder man nutzt einen der Pagebuilder und knallt sich dabei wenn man die nicht zu benutzen weiß nicht selten die Homepage mit allerlei überflüssigen, Ladezeit hemmenden Dingen zu).
Dabei endet es dann aber oft – nur: auch WordPress, die Themes und Plugins sind keine „Fire and Forget“-Software. Updates und insbesondere Sicherheitsupdates sollten unverzüglich eingespielt werden. Sicher: die WordPress-Macher tun einiges, um einen das zu erleichtern – der WordPress-Core wird schon seit geraumer Zeit automatisch aktualisiert (wenn man das nicht abstellt) und auch Plugins lassen sich seit einiger Zeit automatisch updaten (dort ist es allerdings andersrum, man muss das aktiv einschalten)
Das lässt eine potenziell wichtige Lücke: wurde ein Theme / ein Plugin lange nicht mehr upgedatet erfahre ich da als Anwender erstmal… nichts. Und so schlummert in nicht wenigen WordPress-Installationen veraltete Software als tickende Zeitbombe.
Wie ich darauf komme: Ein neuer Webhosting-Kunde ist diese Woche von einem anderen Provider zu mir gewechselt. Er bat mich beim Wechsel mal auf die Webseite zu schauen, diese war beim alten Provider schon länger nicht mehr erreichbar, er vermutet, dass die Seite gehackt wurde. Er hat aber die Dateien wie auch einen Datenbank-Dump und hat diese erstmal in einem nicht öffentlich erreichbaren Webspace-Bereich hier bei mir hochgeladen. Ich habe mir das also mal angeschaut: ja, in der Tat, die Seite ist gehackt worden, ziemlich übel sogar (ich schaue mir sowas ja nun öfters mal an, aber soviel Schadcode auf einmal habe ich auch selten gesehen). Ursache ziemlich sicher (ganz genau konnte ich das wegen der vergangenen Zeit und fehlenden Logfiles nicht mehr feststellen) ein veraltetes Theme (die Installation war ansonsten nicht sehr umfangreich und für dieses Theme gab es wohl schon seit Jahren kein Update mehr).
Ich weiß, dass bei WordPress an diesem Thema gearbeitet wird – nur was will man dort machen, außer einen Hinweis zu geben (und darauf werden fürchte ich viele nicht reagieren). Zwangsweise veraltete Software deaktivieren kann man ja kaum.
Die WordPress-Installation des Kunden war jedenfalls so nicht mehr rettbar (jedenfalls nicht mit vertretbarem Aufwand). Ich habe die Bilder wie auch Downloads in eine neue Installation kopiert wie auch die Posts aus dem Datenbankdump – so hat der Kunde wenigstens seine Beiträge wieder 🙂