Plugins sind ein wesentlicher Grund dafür, dass WordPress so erfolgreich geworden ist. Auch für andere Content Management Systeme gibt es solche Erweiterungen, aber nicht in der gleichen Vielfalt. Egal, welche Funktion wir uns für eine WordPress-Website wünschen: Es ist ziemlich sicher, dass es bereits ein Plugin gibt, mit dem wir sie realisieren können. Normalerweise werden die Plugins von ihren Entwicklern regelmäßig verbessert, erweitert und um Sicherheitslücken bereinigt. Wer diese Updates dann zeitnah auf seiner Website anstößt, profitiert von besseren Funktionen und erhöht den Schutz vor Hackern.
Unzählige WordPress-Plugins sind verwaist
Was passiert aber, wenn ein Plugin-Autor sich nicht mehr um die Software kümmern will oder kann? Die Entwicklerin Isabel Castillo hat eine Liste mit mehr als 3.000 Plugins erstellt, die nicht mehr gepflegt werden. Viele von ihnen schon seit zehn oder fünfzehn Jahren nicht mehr. Das muss nicht immer Nachlässigkeit sein. Oft wird die Arbeit an Plugins eingestellt, weil ihre Funktionen in neuen Versionen des WordPress-Core integriert werden und kein Bedarf mehr für das Plugin besteht. So zum Beispiel das Plugin „Page Link Manager“, das bereits seit 2009 nicht mehr aktualisiert wurde, und den Zweck hatte, individuelle Navigationsmenüs zu erstellen. Dafür braucht es tatsächlich schon lange kein Plugin mehr, weil diese Aufgabe leicht mit WordPress selbst und auch mit vielen Themes erledigt werden kann. Bemerkenswert ist deshalb, dass dieses Plugin immer noch auf über 4.000 Websites aktiv ist. Entsprechend listet Castillo zahlreiche andere verwaiste WordPress-Plugins auf, die noch tausendfach auf produktiven Websites installiert sind. Warum ist das ein Problem?
Verwaiste Plugins gefährden die Sicherheit einer Website
Plugins sind, wie fast jeder Programmcode, nicht perfekt. Wenn Entwicklerinnen Updates für ihre Plugins veröffentlichen, dann nicht nur, um verbesserte Features bereit zu stellen, sondern häufig auch um Sicherheitslücken zu schließen oder Fehlfunktionen zu korrigieren. Das ist ein völlig normaler, alltäglicher Vorgang. Häufig fallen solche Fehler in der Software erst nach langer Zeit auf. Oft werden sie den Entwicklern von Nutzerinnen aus der WordPress-Community gemeldet. Wenn aber der ursprüngliche Entwickler des Plugins nicht mehr erreichbar ist, wird das Problem nicht schnell genug oder gar nicht repariert. Im Falle von Sicherheitslücken ist das dramatisch, denn dann sind alle WordPress-Websites, die dieses Plugin installiert haben, für Hacker angreifbar, ohne überhaupt von der Gefahr zu wissen. Hohe wirtschaftlich Schäden können die Folge sein.
Kompatibilitätsprobleme mit PHP 8
Ärgerlich können Konflikte des verwaisten Plugins mit anderen Plugins, Themes und neuen WordPress- oder PHP-Versionen sein. Aktuell stellen Server-Administratoren auf die Version 8 der Programmiersprache PHP um, in der Content Management Systeme und ihre Plugins geschrieben werden. Verwendet ein verwaistes WordPress-Plugin noch Elemente völlig veralteter PHP-Versionen, kann es die gesamte Website zum Absturz bringen, wenn auf dem Server eine neuere PHP-Version ausgeführt wird, die die alten Elemente nicht mehr unterstützt. Um die Website dann wieder zum Laufen zu bringen, muss das verwaiste Plugin deaktiviert und seine Aufgabe von einem ersatzweise installierten Plugin übernommen werden. Der Konfigurationsaufwand kann je nach Funktionsumfang viel Zeit in Anspruch nehmen und die Website für Stunden oder Tage unbrauchbar machen.
Zur Sicherheit: verwaiste Plugins aufspüren
Wer sich vor solchen Risiken und Unterbrechungen schützen möchte, sollte gelegentlich ein Plugin-Audit seiner Website vornehmen und sie auf verwaiste Plugins untersuchen. Allerdings ist ein Plugin nicht unbedingt schlecht gepflegt, wenn es lange kein Update mehr dafür gegeben hat. Aber wenn man im Plugin-Repository von WordPress feststellt, dass ein Plugin von seinen Entwicklern schon länger nicht mehr auf Kompatibilität zu neuen WordPress-Versionen getestet wurde, dann sollte man misstrauisch werden und sich schon mal nach Ersatz umsehen. Dank der großen Auswahl findet sich immer eine Alternative für ein verwaistes WordPress-Plugin.
Beitragsbild: © reshoot / stock.adobe.com
Michael ist der Inhaber von Bambule®. Er hat über 15 Jahre Erfahrung im eCommerce und realisiert Websites, SEO-Maßnahmen und Google-Ad-Kampagnen. Als Fotograf produziert er die benötigten Visuals für Marketing und PR. Seine publizistischen Erfahrungen hat er beim Privatradio, als Verleger einer Lokalzeitung und als Gag-Schreiber für das Satiremagazin Eulenspiegel gesammelt. Er hat mehrere Kurzgeschichten in Literaturzeitschriften veröffentlicht.