WordPress: Veraltete Plugins als Sicherheitsrisiko

Das Content-Management-System „WordPress“ ist weltweit eines der beliebtesten – es lässt sich problemlos an die individuellen (Gestaltungs-)Wünsche anpassen und bietet, dank einer schier unendlichen Anzahl an Plugins („Erweiterungen), viele nützliche Features. WordPress und seine Erweiterungen verhalten sich grundsätzlich wie jede andere Software, die man sich auf dem PC oder einem mobilen Endgerät installiert. In regelmäßigen Zeitabständen veröffentlichen Entwickler Updates, die neue Features bieten oder softwareseitige Fehler beheben. Im Folgenden erklären wir Ihnen, warum diese Aktualisierungen so wichtig sind und wie sich diese manuell durchführen lassen.

Warum Plugins updaten?

Vielleicht denken Sie „Die Aktualisierungen brauche ich gar nicht – schließlich habe ich schon alle Features, die ich benötige“. Das ist ein typischer „Einsteigerfehler“. Nur weil man mit der aktuellen Situation bzw. dem aktuellen Stand zufrieden ist, heißt das nicht, dass man nun die Hände in den Schoß legen kann und sich um nichts mehr zu kümmern braucht. Schließlich werden mit den regelmäßigen Updates auch Sicherheitslücken geschlossen. Wurde WordPress einmal installiert und fertig aufgesetzt, sollte man sich also nicht in Sicherheit wiegen – wie man immer wieder in den Medien hört und liest, können veraltete WordPress Add-ons durchaus ein Einfallstor für Hacker sein, wenn nicht regelmäßig Aktualisierungen erfolgen.

veraltete Plugins

Screenshot aus einem WordPressblog mit vielen veralteten Plugins

Wann sind Aktualisierungen durchzuführen?

Nun, man könnte meinen: „Am besten immer direkt dann, wenn eine neue Version der jeweiligen Erweiterung zur Verfügung steht – Dann wird gewährleistet, dass aktuelle Sicherheitslücken geschlossen wurden“. Grundsätzlich klingt das Vorgehen absolut richtig, aber: Wer auf Nummer sicher gehen will, sollte nach dem Ausrollen eines Updates erst mal ein paar Tage warten, bevor er die aktuelle Version einspielt. Oftmals ist es so, dass im Nachhinein von der WordPress-Community noch kleinere Fehler entdeckt werden, welche die Entwickler dann entsprechend ausmerzen und das Plugin zeitnah noch einmal auf den neuesten Stand bringen. Wir zeigen Ihnen im Folgenden, wie Sie die WordPress Add-ons manuell über FTP aktualisieren können. Das ist gar nicht schwer und somit kein Hindernis, um die Sicherheit auf den neuesten Stand zu bringen.

WordPress-Erweiterungen manuell aktualisieren

Für das manuelle Aktualisieren benötigen Sie lediglich den vollständigen FTP-Zugriff auf das WordPress-Verzeichnis und ein FTP-Programm, z.B. FileZilla. Im ersten Schritt wird die aktualisierte Version des jeweiligen Plugins heruntergeladen. Dabei gilt: Add-ons sind nur von vertrauenswürdigen Seiten zu beziehen – also der WordPress-Hauptseite oder Seiten, wie „Codecanyon.net“. Anschließend loggen Sie sich bei WordPress ein, navigieren zu dem Reiter „Plugins“ und klicken bei der jeweiligen Erweiterung, deren Update bevorsteht, auf „deaktivieren“.

Achtung, an dieser Stelle sollte man unbedingt aufmerksam sein: Das Löschen der alten Add-on-Dateien ist nicht ratsam, weil die Möglichkeit besteht, dass Plugin-Einstellungen als statische Dateien im Plugin-Ordner abgelegt wurden und man diese damit entfernen würde. Der allgemeine Fall sieht allerdings vor, dass permanente Einstellungen in der WordPress-Datenbank gespeichert werden. Das aktuelle WordPress-Plugin liegt nun als ZIP-Datei zum Entpacken bereit. Nach dem Entpacken wird ein neuer Ordner mit der Bezeichnung der Erweiterung angezeigt.

Jetzt müssen die entsprechenden Dateien nur noch hochgeladen werden – dazu verbindet man sich zunächst mit dem FTP-Programm auf dem Webspace und navigiert in den Ordner „wp-content“. Mit einem Klick in den Ordner „Plugins“ lässt sich die neue und entpackte Add-on-Datei, einfach via „drag and drop“, in den Ordner ziehen – dabei überschreibt die neue Version automatisch die alte Version. Bereits getätigte Einstellungen bleiben bei diesem Vorgehen erhalten.

Was spricht gegen eine automatische Aktualisierung?

Natürlich könnte man sich das Leben auch einfach machen und einstellen, dass sich die Add-ons immer bei Vorliegen eines Updates automatisch aktualisieren. Dann weiß man allerdings nicht, was sich konkret am Code des Plugins ändert – und das kann zu Chaos führen. Zum Beispiel, wenn ein Update bereits zuvor definierte CSS-Regeln überschreibt. Das kann nicht nur das optische Erscheinungsbild der Website/des Blogs „zerstören“, sondern auch tatsächlich den Verlust von Funktionalität nach sich ziehen. Und die Wiederherstellung kostet dann einige Zeit und Nerven. Unser Tipp: Probieren Sie in einem unabhängigen Testsystem aus was passiert, wenn das jeweilige Add-on aktualisiert wird oder lesen Sie den sogenannten „Changelog“ vor der Durchführung des Updates aufmerksam durch.

Fazit

Immer auf dem neuesten Stand zu bleiben, das ist in den Bereichen Onlinemarketing und Web-Entwicklung von ganz entscheidender Bedeutung – schließlich sind diese Bereiche sehr schnelllebig und Änderungen quasi an der Tagesordnung. Dasselbe gilt für die Software WordPress und deren Erweiterungen, um Sicherheitsrisiken vorzubeugen und Hackern kein Einfallstor zu bieten!

Ähnliche Beiträge: