Wer Plugins in seiner WordPress-Installation nutzt, sollte diese stets aktualisieren und dafür sorgen, dass sie auf dem neuesten Stand sind. Aber was, wenn ein WordPress Plugin aufgekauft wurde und nun einen anderen Eigentümer besitzt? Kann man dem Plugin wirklich noch vertrauen oder sollte man die Sache vielleicht etwas skeptischer betrachten, wenn es zu so einer Übernahme gekommen ist?
Mittlerweile passiert es immer häufiger, dass mittelgroße, oft nicht kommerzielle Plugins von anderen Unternehmen aufgekauft werden und man in der Aktualisierungsinformation auf einmal „Dieses Plugin wird jetzt verwaltet von XY“ lesen kann. Nicht selten handelt es sich dabei auch um Plugins, die seit einigen Monaten nicht mehr aktualisiert worden sind – oder bei denen eine so regelmäßige Aktualisierung auch gar nicht notwendig ist.
Entwickler bekommt Geldbetrag und gibt Plugin ab
Natürlich mag es auch vorkommen, dass der Entwickler sein Plugin abgibt, weil er selbst keine Zeit mehr hat, sich darum zu kümmern und es regelmäßig zu aktualisieren ist. Gerade in einer Open Source-Community mag dieses Beispiel gar nicht so selten vorkommen, denn nicht hinter allem stecken immer kommerzielle Interessen.
Wie aber auch bei einigen anderen Software-Übernahmen, oder GitHub-Repositorys, stecken hier aber durchaus finanzielle Interessen dahinter. Der Entwickler bekommt einen Geldbetrag und das Unternehmen kümmert sich fortan darum, baut eventuell ein Geschäftsmodell auf, um zukünftig Geld mit dem Plugin verdienen zu können und aktualisiert es ab diesem Moment auch. Im besten Fall kennt sich das Unternehmen auch so gut aus, dass diese Aktualisierungen tatsächlich die Probleme beheben.
Aber ist das sicher? Oder kann hier Schadsoftware/Malware eingebaut werden im WordPress Plugin?
In den meisten Fällen mag dieser Prozess sicher sein und gerade, um so erfolgreicher das Plugin bei den Downloadzahlen ist, lohnt sich auch eine sichere Übernahme mehr. Schließlich lässt sich mehr Geld mit guter Software und etwaigen Add-ons machen. Ein Scam oder Schadsoftware würde früher oder später nämlich sicher auffallen und ab da wäre die Geschichte des Plugins erst einmal vorbei.
Das Problem liegt jedoch auch genau hier: Die Plugins werden vor dem ersten Release geprüft, danach grundsätzlich aber nicht mehr bei jedem Update. Das bedeutet im Worst Case, dass eine solche Schadsoftware-Übernahme nicht direkt auffallen muss. Gerade bei kleineren Plugins, natürlich selten auch bei größeren, kann so etwas also durchaus vorkommen. Wirkliche Zahlen, wie oft das schon passiert ist, gibt es jedoch kaum. Denn nicht selten bauen auch die originalen Entwickler selbst irgendwann Schadsoftware ein.
Im Regelfall fällt sowas der WordPress Community sehr schnell auf und das entsprechende Plugin fliegt aus dem Verzeichnis. Doch bis dahin können es durchaus schon Nutzer installiert haben.
Was kann man gegen dieses Risiko tun?
Grundsätzlich gilt: Updates sind wichtig und helfen dabei, Sicherheitsrisiken zu minimieren. Doch falls einem etwas sehr spanisch vorkommt, kann man im Zweifelsfall auch mal etwas an Zeit warten mit einer Aktualisierung, oder ein Supportticket im WordPress Forum eröffnen und diese Sache direkt ansprechen.
Updates, die als wichtige Sicherheitsaktualisierungen gekennzeichnet sind, sollte man selbstverständlich möglichst schnell installieren – ansonsten kann das Warten mit derartigem für neue Probleme sorgen.
Der beste Tipp ist bei so etwas aber immer: Backups von WordPress. Wer seine Seite regelmäßig sichert, am besten eben vor solchen Updates, ist erst einmal auf der sicheren Seite. Später muss man das Backup nur laden und ist wieder auf dem alten Stand, ohne Malware oder ähnliches. Und auch, wenn man dabei einige Beiträge verliert, ist das allemal besser als eine gehackte und am Ende sogar unbrauchbare Installation zu besitzen.
