Nach der Lektüre der für WordPress 2.7 geplanten neuen Features stelle ich beim Blick Richtung untere Extremitäten fest: Die Fußbekleidung ist noch dran, es haut mich nicht aus den Socken.

Gut so – ich liebe stetige Verbesserungen anstatt revolutionärer Umbrüche. Aber im Detail werfen zwei Neuzugänge im Funktionsumfang von WordPress 2.7 Fragen auf.

Zuerst die einfache:

Kommentarverwaltung via Desktop Client – WTF?

Wer um alles in der Welt ist Zielgruppe für die Kommentarverwaltung vom Desktop aus? Warum wird der XML-RPC-Server wegen der schmalen Nutzerzahl in WordPress 2.6 gar nicht erst eingeschaltet, und in der Version 2.7 wird dort als obskure Verbesserung mit dem Comment API extra eine Funktion für die Kommentarbearbeitung eingebaut? Mein Tipp: Es gibt einen großen kommerziellen WordPress-Anwender, der dieses Feature hineinreklamiert hat.

Aber jetzt zur aus meiner Sicht wichtigen Frage:

Der “One-Click Plugin Installer” als Hintertür

Mit WordPress 2.7 kommt ein neuer Mechanismus zur Installation von Plugins. Der bisherige Ablauf aus Herunterladen einer ZIP-Datei auf den lokalen PC, Entpacken und Hinaufladen auf den Blog-Webspace wird zurückgestutzt auf einen einfachen Klick in der WP-Administrationsoberfläche.

WordPress 2.7 Plugin Installer

Damit folgt WordPress der Plattform-Strategie Matt Mullenwegs, nach der WordPress eine Basissoftware werden soll, deren Erweiterbarkeit sich an den Plattformfähigkeiten von Firefox als Browser orientiert. Die Nachrüstung von Funktionserweiterungen oder ein Versionsupdate müssen demnach ohne Schmerzen beim Anwender ablaufen.

Als Quelle für die angebotenen Plugins verwendet der Installer das zentrale Plugin-Verzeichnis und ermöglicht eine Recherche über Tags, Beschreibungen und Namen von Pluginautoren. So gefundene Plugins werden prompt nach einem weiteren Mausklick installiert – absolut einfach und intuitiv.

Ab hier wird’s haarig: Das WordPress-Plugin-Verzeichnis steht im Prinzip jedem Pluginautor offen, eine wie auch immer geartete Begutachtung der Plugins auf unerwünschte Funktionen oder Sicherheitslecks findet nicht statt. Von Automattic mit einem derzeitigen Personalstand von 15 Mitarbeitern kann man ein Screening aller Plugins auch kaum erwarten. Die Kapazitäten dafür sind limitiert, wie sich schon beim gemächlichen Aufbau des neuen Theme-Verzeichnisses zeigt.

Demzufolge nutzt jede Blogbetreiberin den Plugin-Installer auf eigenes Risiko und zieht Plugins auf ihren Webspace, deren Interna sie vorweg nicht einmal potentiell begutachten könnte. Die Hürde zur Plugin-Installation sinkt, selbst geringe technische Vorkenntnisse sind nicht mehr erforderlich: Das Zielgebiet für alle schwarzhütigen Suchmaschinenoptimierer, Backlink-Einschleuser und Passwortklauer verbreitert sich damit aus meiner Sicht um Zehnerpotenzen.

Reine Hypothese, oder?

Leider nein.

Plugins sind schon jetzt ein akzeptiertes Mittel, mit dem nichtsahnenden Bloggern Kuckuckseier untergeschoben werden. Erst jüngst hat Bluehat-SEO Eli unter dem (recht durchsichtigen) Deckmantel seines “PingCrawl”-Plugins einen Link auf eine Sponsorseite in jedes Blog integriert, das “PingCrawl” nutzt.

Nimm nichts von Fremden!

Ohne jetzt zum Verfolgungswahn animieren zu wollen, rate ich daher doch jedem verantwortungsvollen Webmaster: Was du auf deiner Website am Laufen hast, solltest du wirklich intensiv beurteilen. Wenn du die nötige technische Kompetenz nicht selbst besitzt, nutze möglichst viele Quellen zur Recherche: Das WordPress-Forum, Suchmaschinen und sachkundige Mitglieder der WordPress-Gruppe bei XING sind eine gute erste Anlaufstelle.

13. August 2008, 08:32 − Abgelegt in

Kommentare

Aber das ist es doch, was die Nutzer wollen – nicht nachdenken und nur nutzen. WP kommt diesem Ruf nach. Im Bezug auf die XMLRPC-Schnittstelle ist wohl viel im Gange und sie soll sicherer werden, so dass das aktuelle deaktivieren nur vorübergehend so ist. Die Anfrage der Desktopclients gibt es schon lange und wurde bisher vernachlsässigt, wurde aber auch schon mehrfach erwähnt. Auch hier kommt man also WÜnschen nach. Ob es Sponsoren für die Priorität gibt, das wird wohl ein Geheimnis von WP bleiben.

Die Warnung wollen die meisten Nutzer garnicht hören, auch von ambitionierten Nutzern wird überall erklärt, wie sehr sie den Update-Button bei Plugins lieben. Mit der Vorsicht stehen wir sicher ziemlich einsam dar, zumindest im Verhältnis zu den anderen Nutzern.

Frank · 13. August 2008, 16:00 · #

Aber das ist es doch, was die Nutzer wollen – nicht nachdenken und nur nutzen. WP kommt diesem Ruf nach.

Der Nutzer will das ja, doch ein WP-Admin ist (soll) nun mal kein Nutzer (sein), sondern eben Administrator.

— Realist · 14. August 2008, 09:14 · #

Von wegen Backlink-Einschleuser etc: Dein Argument ist nicht von der Hand zu weisen. Was man anrichten könnte, wenn man auch lokale WP-Installationen mit irgendwelchen PlugIns versorgt…

Mein Vorteil ist, dass ich nur wenige und erprobte Plugins einsetze und selten neue, aber auf was lassen sich da in Zukunft notorische Software- und Tool-Sauger ein?

Auf jeden Fall gut, dass hier und dort kritisch über WP berichtet wird, das hilft mir, für meine geplante Einsteiger-Anleitung namens “Mit Wordpress per Du” auf die Tücken ausdrücklich hinzuweisen.

ralphs · 16. August 2008, 19:57 · #

Da sollte man sich vielleicht an S9y orientieren. Dort gibt es dieses Feature bereits. Alle Plugins werden allerdings autorisiert und getestet. Was bei 140 Plugins auch nicht so umfangreich ist.
Aber da wären doch alpha (getestet) und beta (nicht getestet) Rubriken sinnvoll.

Markus Thies · 20. August 2008, 13:17 · #

Ich verwende bis jetzt Wordpress 2.7 und habe Probleme mit dem PlugIn Installer. Bei mir scheint es irgendwie (tippe selbst auf Rechte) nicht hinzuhauen. Wann immer ich ein Plugin installieren oder updaten möchte, bekomme ich einen Error. Deshalb lege ich immer Hand an und mache es über die Shell – mühselig, aber es funktioniert.

— Billi · 12. Oktober 2009, 03:54 · #



Textile-Hilfe