Plugin aus dem WordPress Repository entfernt – ein Sicherheitsproblem?

Plugin aus dem WordPress Repository entfernt – was ist zu tun?

Wenn ein WordPress-Plugin aus dem Repository entfernt wurde, stellen sich mehrere Fragen. Gibt es eine Sicherheitslücke oder gibt es andere Gründe für die Entfernung aus dem Repository. Und wenn es sich um ein wichtiges Plugin handelt: Was ist jetzt zu tun, damit man kein Problem bekommt bzw. muss ein Ersatz für das Plugin gesucht werden. Diese Dinge möchte ich an einem Beispiel im Rahmen dieses Beitrags klären.

Auf dieses Problem wurde auch schon im Podcast von WP Sofa hingewiesen. Auf der Website ist dort eine interessante Übersicht unter dem Titel „Was macht eigentlich das Plugin Review Team?“ verlinkt. Bei Ausstrahlung des Podcasts hatte ich diesen Beitrag schon so gut wie fertig.

Vor einiger Zeit bekam ich rein zufällig über Twitter mit, dass das von mir auf mehreren WordPress-Instanzen verwendete Plugin „mail-on-update“ aus dem Repository entfernt wurde. Das Plugin war für mich interessant, weil ich durch entsprechende Mails informiert wurde, wenn für Plugins aus dem Repository Updates vorlagen.

Das Plugin Mail on Update wurde aus dem WordPress Repository entfernt.
Das Plugin Mail on Update wurde aus dem Repository entfernt

Der Grund für die Entfernung aus dem Repository wird auf der Seite mit dem Plugin leider nicht ersichtlich.

Gründe für die Entfernung aus dem WordPress-Repository

Bekannt sind mir die folgenden Gründe für die Entfernung aus dem WordPress-Repository:

  1. Das Plugin hat gegen eine oder mehrere der WordPress-Plugin-Richtlinien verstoßen
  2. Der Plugin-Autor hat die Löschung des Plugins angefordert.
  3. Das Plugin weist eine Sicherheitslücke auf, die die Verwendung unsicher macht.
  4. Lizenzprobleme: Alle Plugins sollten mit der GNU General Public License v2 oder höher kompatibel sein.

Während im WordPress-Dashboard leicht zu erkennen ist, dass für ein Plugin ein Update vorliegt, gibt es keinen ähnlichen Mechanismus für ein entferntes Plugin. Schön wäre natürlich, wenn in der Plugin-Liste auf der eigenen Website eine entsprechende Information (vielleicht besser ohne Angabe von Gründen) erfolgen würde. Die Information über die Gründe sollte natürlich im Repository nicht erfolgen. Wenn z. B. ein Plugin wegen einer Sicherheitslücke entfernt wurde, dann wäre es natürlich fatal, wenn eine entsprechende Meldung im Repository zu sehen wäre.

Man könnte natürlich die Links im Abschnitt „Plugins“ des WordPress-Adminbereichs prüfen. Leider muss aber in dem Fall jedes Plugin der Reihe nach manuell überprüft werden. Über den Link „Details ansehen“ kann man sich weitere Informationen zu jedem Plugin einzeln ansehen.

Der Link "Details ansehen" in der Plugin-Liste mit der Information, wenn ein Update vorliegt
Der Link „Details ansehen“ in der Plugin-Liste

Dort ist u. a. auch ersichtlich, wie viele Installationen ein Plugin hat, bis zu welcher WordPress-Version das Plugin getestet wurde und wann das letzte Update erfolgt ist. Dies gilt allerdings nur für kostenfrei angebotene Plugins im Repository. Auf die Art kann man sehen, welche Plugins schon etwas länger nicht mehr upgedatet oder sogar stillgelegt wurden.

Ein seit einiger Zeit nicht upgedatetes Plugin (WP Updates Notifier) im WordPress Repository
Ein etwas „angestaubtes“ Plugin

Man muss allerdings auch dazu sagen, dass es durchaus Plugins gibt, die ihre Aufgabe seit Jahren wunderbar erfüllen. Bei diesen Plugins gibt es möglicherweise auch keine denkbaren Verbesserungen. Wer dann schon mal ein Plugin im Repository untergebracht hat, der weiß, dass es relativ aufwendig ist, wenn man lediglich die Zeile mit der WordPress-Version ändern möchte, um zu zeigen, dass das Plugin auch mit der aktuellen Version von WordPress funktioniert. Insofern kann es durchaus sein, dass solch ein Plugin auch weiterhin sauber arbeitet.

Wie erhalte ich als Anwender eine Info? – ein Sicherheitsproblem

In meinem Fall habe ich die Info wie oben beschrieben zufällig erhalten. Aber was ist, wenn ich diese Info nicht bekommen hätte? – Tja, das ist das Problem.
Über das Plugin NinjaFirewall erhalte ich bei WordPress-Instanzen die Meldung, wenn ein Update bei einer gefixten Sicherheitslücke vorliegt. Wenn allerdings das Plugin aus dem Repository z. B. wegen einer nicht geschlossenen Sicherheitslücke entfernt wurde, dann bekommt man davon erst mal nichts mit. Und das ist meines Erachtens ein sehr großes Sicherheitsproblem und könnte durch eine entsprechende Information in der Plugin-Liste unter Plugins > Installierte Plugins auf der eigenen Website etwas verbessert werden. Diese Information kann man z. Zt. nur über ein weiteres Plugin erhalten. Darauf gehe ich später noch ein.

In dem o. g. Fall mit dem Plugin „Mail-on-update“ heißt es ja auf der Seite im Repository: „Diese Stilllegung ist permanent“. Das hört sich nicht so gut an. Die Frage ist für mich als Nutzer des Plugins: Muss ich jetzt ziemlich schnell aktiv werden und das Plugin entfernen? – Wie komme ich an einen Ersatz für dieses Plugin? – Und was ist der Grund für die Entfernung?

Ich habe mich also auf die Suche gemacht und kann es kurz machen: Ich habe keinen Hinweis gefunden:

  • Auf der Seite von Wpscan.com habe ich keinen aktuellen Eintrag gefunden, der auf eine Sicherheitslücke hinweist. Allerdings ist auch da „Plugin closed“ vermerkt.
  • hostpress.de hatte bis zum Mai 2021 immer eine Liste mit betroffenen Plugins und Themes veröffentlicht. Das wurde aber offensichtlich warum auch immer eingestellt. Diese Liste basierte allerdings auch auf den Informationen von Wpscan.
  • Schließlich habe ich eine Suche über Google gestartet. Ergebnis negativ.
  • Nach meiner Anfrage über Slack habe ich auch den Autor angeschrieben. Bis jetzt leider nach mehreren Wochen ohne Reaktion.

Insofern würde ich – wenn auch mit etwas Bauchgrummeln – davon ausgehen, dass in diesem Fall keine Sicherheitslücke bei dem Plugin Mail-on-update vorliegt. Daher handelt es sich wohl im vorliegenden Fall (hoffentlich) um andere Gründe.

Solltest du allerdings eine Quelle kennen, über die man an entsprechende Informationen bezogen auf die Entfernung von Plugins aus dem Repository kommt, würde ich mich über einen Kommentar auf dieser Seite sehr freuen.

Ersatz für das Plugin „mail-on-update“ im WordPress-Repository

Trotz allem habe ich mich natürlich auf die Suche gemacht und habe letztendlich zwei Plugins gefunden, die ich als Ersatz einsetzen kann:

WP Updates Notifier

WP Updates Notifier bietet ähnliche Features wie das Plugin Mail-On-Update, ist allerdings schon länger nicht mehr upgedatet worden. Das ist – wie bereits oben beschrieben – nicht unbedingt tragisch. Über dieses Plugin kann man sich automatisch über anstehende Updates informieren lassen. In den Einstellungen kann festgelegt werden, wie oft man über Updates informiert werden möchte. Letztendlich habe ich mich für dieses Plugin entschieden, obwohl es schon länger nicht mehr upgedatet wurde.

Companion Auto Update

Auch wenn das Plugin relativ leichtgewichtig ist, bietet es neben der Information per Mail über upgedatete Plugins einige Optionen, die ich nicht benötige bzw. auch gar nicht haben möchte. Den Auto-Updater für Plugins, Themes und Core, habe ich beim Test komplett deaktiviert. Aber ok: Man kann nicht alles haben und man sollte auch immer dabei bedenken, dass der Entwickler das Plugin kostenfrei zur Verfügung stellt.

Outdated Plugin Notifier: Letztes Update bei einem Plugin

Das Plugin Outdated Plugin Notifier ist ein außerordentlich leichtgewichtiges Plugin. Mit diesem Plugin kann man feststellen, wann welche Plugins zuletzt upgedatet wurden. Dazu wird in der letzten Spalte unter Plugins > Installierte Plugins das jeweilige Datum des letzten Updates gezeigt. Das betrifft allerdings nur Plugins, die im Repository verfügbar sind. Das Plugin kann an sich nach der Prüfung auch direkt wieder deinstalliert werden.

Plugin Report – alle verfügbaren Infos zu den installierten Plugins

Plugin Report ist ein sehr schönes WordPress-Plugin, das detaillierte Informationen über aktuell installierte Plugins bereitstellt.

Folgende Informationen erhält man auf einer Seite unter Plugins > Plugins-Report:

  • wird das Plugin im Repository gelistet
  • welche Version des Plugins ist installiert
  • wird das Plugin automatisch aktualisiert
  • wann ist das Plugin zuletzt aktualisiert worden (evtl. wurde aber auch nur ein Hinweis in der readme.txt geändert)
  • bis zu welcher Version von WordPress wurde das Plugin getestet
  • Bewertung des Plugins

Übrigens wird im Report auch gezeigt, wenn ein Plugin stillgelegt wurde. Nachdem man das geprüft hat und sinnvollerweise auch entsprechend auf die Ergebnisse reagiert hat, kann man das Plugin erst mal wieder deaktivieren.

Sicherheitslücken

Im Rahmen meiner Recherche habe ich unter dem Stichwort Security Vulnerabilities folgende Seiten gefunden. Hier zwei Beispiele anhand Sicherheitslücken bei YOAST (das soll absolut keine Wertung darstellen):
https://www.cvedetails.com/vulnerability-list/vendor_id-14987/Yoast.html
https://www.acunetix.com/vulnerabilities/web/wordpress-plugin-yoast-seo-sql-injection-1-7-3-3/

Bezogen auf das Ursprungsproblem bei dem Plugin Mail on Update konnte ich allerdings auch auf diesen Portalen keine Informationen zu dem genannten Plugin finden.

Quellen und Lesetipps:

Fazit

Ich wollte mit diesem Beispiel deutlich machen, wie schwierig es ist, überhaupt eine Information zu einem (tiefgreifenden) Problem bei einem Plugin zu erhalten. Es ist durchaus möglich, dass viele Anwender auf ihren WordPress-Instanzen Plugins nutzen, die völlig veraltet sind und/oder schwerwiegende Sicherheitslücken enthalten, von denen sie – trotz aller Fürsorge – gar nichts wissen (können). Hier besteht nach meiner Meinung dringend Handlungsbedarf. Zum Beispiel könnte ja im Rahmen der installierten Plugins genau wie die Information über ein vorliegendes Update bei einem Plugin eine ähnliche Information bezogen auf stillgelegte Plugins erfolgen. Noch nicht genannt habe ich Plugins, die zum Verkauf angeboten werden und die dann stillschweigend wegen Sicherheitslücken vom Markt genommen werden.
Das Plugin Outdated Plugin Notifier ist eine große Hilfe um festzustellen, wann welches Plugin zuletzt upgedatet wurde. Plugin Report ist ein sehr schönes WordPress-Plugin, das detaillierte Informationen über aktuell installierte Plugins bereitstellt.

Weitere Beiträge zum Thema


Mehr erfahren auf dieser Webseite

Bild von Gerd Altmann auf Pixabay


Zum Blog

Mehr erfahren auf unserer Webseite

Wir freuen uns über deine Kontaktaufnahme

Was hältst du davon?

Wir hoffen, dieser Beitrag hat dir gefallen und wir würden uns über einen Kommentar freuen. Auch über Erweiterungen, Korrekturen, Hinweise oder sonstige Anmerkungen freuen wir uns sehr.

Weitere interessante Beiträge rund um WordPress findest du hier

Neu: Jetzt immer direkt informiert werden, wenn ein neuer Beitrag veröffentlicht wird.
Zur Anmeldung beim Newsletter

Schreibe einen Kommentar