Thesis, ein Theme für WordPress, sorgt für heiße Köpfe in diesem auch sonst nicht gerade kühlen Sommer: Matt Mullenweg vertritt die Meinung, dass Thesis die Lizenzbedingungen von WordPress verletzt und korrekterweise unter der GPL lizenziert werden müsste, Chris Pearson hält dagegen. Dass Matt Mullenweg recht hat, steht für mich außer Frage, seit dem Kopien von WordPress-Code in Thesis nachgewiesen wurden.

Was Automattic zu diesem GPL-Kreuzzug treibt, ist mir nicht ganz klar – aber ich vermute handfeste kommerzielle Gründe dafür, etwa die kostengünstige Versorgung von WordPress.com mit einer breiten Auswahl hochwertiger Themes und Plugins.

Aber was von dieser esoterischen Debatte um Softwarelizenzen interessiert eigentlich den gewöhnlichen User? Ist die Lizenz nicht egal, solange das Theme funktioniert und auch nicht mehr kostet als GPL-lizenzierte Premium-Themes?

Ich meine: Nein, es ist nicht egal. Jeder einzelne User hat direkte Nachteile, wenn er/sie #thesiswp etwa an Stelle der GPL-lizenzierten Premium-Themes von WooThemes einsetzt.

Zum Beispiel:

Thesis schränkt die Gestaltungsfreiheit ein: Ein Footer-Backlink ist Pflicht. Nur die Entwicklerversion zum beinahe doppelten Preis hebt einige der Einschränkungen wieder auf.

Thesis ist ein Sicherheitsrisiko: So sagt Mark Jaquith, einer der Hauptentwickler von WordPress:

I’m saying that Thesis is highly insecure, per my own direct (and authoritative) observations and tests.

Durch die restriktive Lizenzierung werden existierende Sicherheitslücken in Thesis später oder gar nicht geschlossen, weil aussenstehende Programmierer wie etwa Mark Jaquith nicht mit ihrer Arbeit Theme-Anbieter unterstützen wollen, die sich aus ihrer Sicht gegen die Rechte der User stellen.

Dass Mark Jaquith mit diesen angedeuteten Sicherheitslücken in Thesis natürlich nicht gerade zur Beruhigung der Fronten zwischen Automattic und DIYThemes beigetragen hat, zeigt, wie emotional und dogmatisch die Durchsetzung der GPL von Matt Mullenweg und seinen Mitarbeitern betrieben wird.

Als Seiteneffekt hat Mark Jaquith mit einer einzigen kleinen Nebenbemerkung aber zigtausende Websites in Gefahr gebracht. Da kann WordPress seit der unglücklichen Version 2.8 noch so viel Aufwand in die Beseitigung von Sicherheitslücken stecken – ein einziger Fehler in einem populären Theme kann ein Scheunentor für Angreifer öffnen, und die Erfahrung mit den diversen WordPress-Hacks der letzten Jahre zeigt, dass sich die pöhsen Buben solche Möglichkeiten nicht entgehen lassen.

Thesis-Anwender erwartet ein heißer Herbst.

19. Juli 2010, 06:55 − Abgelegt in

Kommentare

Steile These! Fast fällt man drauf rein. ;-) Wenn Themes Sicherheitslücken haben, gilt das für alle Themes. Ganz besonders aber für die tausenden Feld-, Wald- und Wiesenthemes von Hobbybastlern. Das aber im letzten Satz auf ein ganz spezielles Problem für Thesisanwender zuzuspitzen, ist Polemik. Schade. Ich steh ja mehr auf sachliche Auseinandersetzungen. Aber ne flotte Schreibe hast du, das muss ich zugeben. ;-)

— gerd · 19. Juli 2010, 11:38 · #

Gerd, das ist keine Zuspitzung, sondern der logische Schluss daraus, dass Mark Jaquith große Sicherheitsprobleme in Thesis andeutet. Warum du daraus den Rückschluss ziehst, dass alle Themes Sicherheitslücken haben, kann ich nicht verstehen.

Damit taucht Thesis meiner Meinung nach auf dem Radar von Exploit-Programmierern auf und wird zu einem lohnenden Ziel.

Natürlich wären theoretisch auch andere Themes verdächtig, Lücken zu öffnen, und sowohl bei manchen kommerziellen als auch “Amateur”-Themes wird man Sicherheitsprobleme finden, wenn man genauer prüft.

Aber welches andere Theme außer Thesis ist von Automattic-Entwicklern als unsicher geoutet worden und gleichzeitig wegen der großen Verbreitung ein so lohnendes Angriffsziel?

Robert · 19. Juli 2010, 11:48 · #

Dass auch andere Themes Sicherheitslücken haben, drängt sich doch auf. Oder glaubst du etwa, die Massen von Feld-, Wald- und Wiesenthemes wären sicherheitsauditiert? Das trifft ja nicht mal auf die Premium-Themes zu. Egal, ob sie GPL sind oder nicht. Thesis spielt da keine Sonderrolle, nur weil es momentan in der Diskussion ist.

BTW: Wenn ich WordPress-Entwickler wäre, würde ich zum Thema Exploits nicht so auf dicke Hose machen. Von wegen Glashaus und so.

Diese ganze WordPress-Thesis-Kontroverse wird von beiden Seiten mit sehr unfairen Mitteln ausgetragen. Letzten Endes nehmen beide Seiten Schaden davon. Das ist die Sache eigentlich nicht wert.

— gerd · 19. Juli 2010, 12:53 · #

Glashaus ist gut! WP ist doch schon immer löschrig gewesen und wird es wohl auch immer sein, mit oder ohne “gefährliche” Themes. Bisher ist jede WP-Version irgendwie “unter die Räder” von Hackern gekommen.

— Rudi Rammler · 20. Juli 2010, 14:09 · #

Hallo,
na Gerd, als jemand der sein Geld u.a. mit reflinks für das thesis theme verdient, musst du ja die sache abschwächen… :-) aber nix für ungut.

aber davon abgesehen willst du doch nicht wirklich das thesis theme mit anderen Feld-, Wald- und Wiesenthemes vergleichen. weil dann muss ich ja kein geld mehr für premiumthemes ausgeben. aber genau da liegt das problem. optionpages, features tec wollen ja auch irgendwie programmiert werden. und wenn da sicherheitslücken auftauchen hat das nix “mit anderen themes mal so allgemein” zu tun!

— Thomas · 20. Juli 2010, 14:40 · #

Für mich ist es in erster Linie der Fakt, dass Themes und Plugins Funktionen von WordPress nutzen und damit sollten sie ebenso GPL sein. Ich lebe und liebe das Geben und Nehmen, es hat mehr Vorteile als Nachteile und GPL ist ein guter Weg um zu teilen.
Ich vertrete ebenso die Ansicht, dass Thesis den gleichen Umsatz hätte, wenn es GPL wäre.

Frank · 20. Juli 2010, 21:25 · #

@Thomas, du hast mich durchschaut. :) Genau deshalb habe ich die Sache mit dem Schadcode auch in meinem Blog und den Foren so lautstark unter den Teppich gekehrt. :)

@Frank, ich halte deine Begründung für nicht schlüssig. Ich denke aber auch, dass Themes GPL sein sollten, wenn auch aus anderen Gründen. Finanzielle Eimbußen wird man damit nicht haben, Brian Gardner bestätigt es ja. Aber hier gehts doch nicht ums Geld. Es geht doch nicht darum, dass Chris Pearson sein Theme nicht der GPL unterwerfen will. Es geht darum, dass er sich nicht Matt Mullenweg unterwerfen will, was ich bei Matts mehr als abstoßendem Verhalten in der Sache auch gut verstehen kann.

— gerd · 21. Juli 2010, 08:59 · #

Update: Die Sommerloch-Debatte ist beendet. Chris Pearson hat Thesis letzte Nacht unter eine Split-Lizenz gestellt. Die PHP-Dateien sind nun GPL, der Rest bleibt proprietär. Matty hat sein Förmchen wieder und alles ist wieder gut.

— Gerd · 23. Juli 2010, 10:07 · #

@Gerd: was gibt es dazu nicht zuverstehen: Plugins und Themes nutzen Funktionen von WordPress und damit müssen sie die gleiche Lizenz haben – GPL. Das ist der Grund, warum Chris Pearson nun die PHP-Dateien unter GPL stellt, er will den Prozess nicht riskieren. Ein erstes Urteil in die Richtung gab es ja bereits.

Frank · 23. Juli 2010, 20:33 · #

Ich bin erst Ende 2012 auf das Thesis Theme gestoßen bzw. hatte mich für den Kauf entschieden.
Es ist das erste Theme mit dem ich auch ohne große Programmierkenntnisse ein ansprechendes Layout erstellen kann. Zusammen mit den BYOB Thesis Plugins kann man sehr viel nur über Schaltflächen umsetzen.
Ich hoffe es gibt kein Sicherheitsrisiko mehr.

— Gunar · 22. Januar 2013, 13:01 · #



Textile-Hilfe