Wütende Worte im Wordpress-DE-Forum

Seit Erscheinen der deutschen Version 2.3, mit der das beliebte Open-Source CMS Wordpress einige Veränderungen seiner Schnittstelle zur Anwendungsprogrammierung (API) erfahren hat, werden die kritischen Stimmen lauter, die Anwender/innen des PHP- und MySQL-basierten Blogsystems verunsichern.

Der Schutz von Daten ist für sich genommen ein Thema, das in Zeiten von Vorratsdatenspeicherung und Bundestrojaner seine Berechtigung hat; und das gilt im Übrigen für auf Protokollen basierende Daten-Kommunikation im Allgemeinen. Trotzdem rückt Wordpress Deutschland hierbei in den Fokus.

Der Grund für diese Paranoia besteht offensichtlich darin, dass Datenschutz und die Verwendung von Plugins in Verbindung mit der deutschen Distribution von Wordpress öffentlich zum Thema gemacht werden.

Mittlerweile sind Aufrufe zur Gründung einer alternativen WP-Community zu vermelden, die sich von Wordpress-DE abgrenzen möchte. Wieso so eine Aufregung um ein paar Zeilen Code, die im Zusammenhang mit LinkLift stehen und als mitgeliefertes Plugin in der neuen Wordpress Version aktiviert werden können?

Werfen wir mal einen Blick in den Code des umstrittenen Plugins von LinkLift. Das Markup, welches im WP-Adminpanel unter Plugins ausgegeben wird, enthält die Zeile:

Register at <a href=”http://www.linklift.de/?ref=2d2abc54341″ target=”_self”>http://www.linklift.de/</a>

Im Plugin selbst ist entsprechend folgendes notiert:

define(”LL_PLUGIN_REGISTER_LINK_URL”, “http://www.linklift.de/?ref=2d2abc54341″

Der Stein des Anstoßes besteht in der Art und Weise, wie das LinkLift-Plugin, welches durchaus mit kommerziellen Interessen behaftet ist, den arglosen Wordpress-Nutzern mit der neuen deutschen Version “untergejubelt” wird.

Wurde der Update-Monitor in der Version 2.3 ersetzt, so gingen damit auch Änderungen einher, mit denen nicht alle zufrieden sind. WP Deutschland informiert zwar über Neuerungen, allerdings ist anzunehmen, dass nicht jeder weiß, was er sich herunterlädt und installiert.

Dennoch: “Unwissenheit schützt vor Strafe nicht”, so die Worte meines Politiklehrers, die ich nach all den Jahren nicht vergessen konnte.

Updatebenachrichtigungen

Das gute Update-Monitor Plugin hat ausgedient, da WordPress nun selber über neue Versionen Auskunft gibt. Auch über neue Aktualisierungen von Plugins wird man nun informiert, sofern sie bei wordpress.org gelistet sind.

So sollen Daten, wie die Namen aller installierten Erweiterungen (Plugins) mit Versionsnummer und auch der Name der Domain übers Internet versendet werden. Kritiker sehen darin eine Verletzung ihrer Privatsphäre und ihres Bedürfnisses nach Selbstbestimmung und Datensicherheit und werfen in polemischer Weise den Betreibern von WP Deutschland die Kommerzialisierung eines OpenSource-Projektes vor, indem indirekt Nutzerdaten mithilfe des LinkIt-Plugins an LinkIt gesendet werden würden. Im offiziellen Forum von WordPress Deutschland wird auch der Vorwurf laut, dass hierbei Geld geflossen sei.

Neben der Spam-Problematik sei dies auch eine Security-Sache, denn wer über verwendete Versionsnummern, Plugins und Domaindaten verfügt, besitzt ein mächtiges Wissen angesichts der unzähligen deutschen Wordpress-Installationen.

Diese Bedenken bezüglich der Sicherheit wurden in der Newsgroup wp-hackers thematisiert, doch auch die hilflosen Erklärungsversuche gegenüber Anfragen zu diesem Thema konnten mir nicht wirklich weiterhelfen. Als Außenstehender bin ich auch vorsichtig, wenn es um gemeinschaftliche Versäumnisse geht und werde lieber pragmatisch das Beste aus allem machen, zum Beispiel Plugins löschen und Dateien anpassen, die ich für überflüssig halte.

Einige Vorschläge, wie das Problem mit der WordpressDE 2.3 - wenn es denn als solches wahrgenommen wird - umgangen werden kann:

  • Verzicht auf sämtliche Plugins, WP läuft auch ohne Erweiterungen sehr fein.
  • Englische Version verwenden, deutsche Version löschen.
  • Den Teufel mit dem Beelzebub austreiben: Die Core-Änderungen, die dafür sorgen, dass der Benutzer durch Hinweise und Anzeigen über Updates informiert wird, durch ein Plugin von John Blackbourn ausschalten. So wie es aussieht, schaltet das Plugin mehr ab, als es soll.
  • Lösungsvorschlag unter Verwendung der veralteten my-hacks.php, wobei die Update-Funktion erhalten bleibt. Weiteres dazu und Download bei Schnurpsel oder etwas anders bei Il Filosofo.
  • Manuelle Anpassung der Datei wp-admin/include/update.php durch Ersetzen des Funktionsaufrufs get_bloginfo(’url’), der den URI der WordPress-Installation preisgibt (siehe unten).

Trotz aller Unkenrufe sollte niemand vergessen, dass auch eine Google-Erweiterung für den Browser, Adwords im Blog und der Seitenaufruf von Yahoo-Groups Nutzderdaten übermitteln. Wer Windows verwendet, findet nach einer Neuinstallation auch den Alexa-Bot vor, da beschwert sich niemand öffentlich darüber.

Eine schnelle, aber dreckige Lösung, die ich oben als letzten Punkt in der Liste genannt habe, findet sich neben anderen Vorschlägen auch hier. Man ersetzt also in der Datei wp-admin/include/update.php die vorhandene Zeile:

$http_request .= 'User-Agent: WordPress/' . $wp_version . '; ' . get_bloginfo('url') . "\r\n";

durch etwas wie:

$http_request .= 'User-Agent: WordPress/' . $wp_version . '; http://www.example.com/' . "\r\n";

Dabei wird der Funktionsaufruf durch eine Domain ersetzt, die anstelle der Domain des Wordpress-Benutzers dann Verwendung findet. Man kann da im Prinzip eintragen, was erlaubt ist. Ich habe als ein mögliches Beispiel http://www.example.com/ eingesetzt, natürlich gibt es auch andere Lösungen. Wenn die Änderungen vorgenommen wurden, muss die Datei noch auf den Server übertragen werden und fertig.

Absolute Datensicherheit hat man vielleicht dann, wenn man sein System nicht mit dem Internet verbindet und nur selbst von seiner Existenz weiß. Doch genau das widerspricht der Idee des gemeinsamen Austauschs, des SocialNetwork, dem Bloggen mit Wordpress oder anderen Systemen und somit der Art und Weise, wie Kommunikation in unserer Zeit passiert.

Wer dabei an eine Verschwörung denkt, der sollte mal wieder an die frische Luft und konzentriert seinen Namen tanzen gehen. Vielleicht hilft das bei der Erdung. Mir hat das geholfen.

Sie können einen Kommentar hinzufügen, Kommentare zu diesem Beitrag als RSS-Feed abonnieren oder den Beitrag zurückverfolgen lassen.
Vielleicht möchten Sie jetzt auch viel lieber eine Tasse Kaffee, Tee oder Honigmilch genießen? Es ist allein Ihre Entscheidung, und Sie sollten das wissen.

2 Kommentare bis jetzt

  1. David So, 30.09.2007 21:46

    Hallo zusammen,

    ich finde Diskusionen über was und wie gesendet wird bei einem öffentlichen System mit offenem Code, der auch verändert werden darf hinfällig. Wenn es etwas an dem System gibt das einem nicht gefällt, rausnhemen, verändern oder was auch immer.

    Es wird dazu doch inzwischen ein Code von anderen angeboten, in dem Falle muss man noch nicht mal grossartig selber an die Programmierung.

    Persönlich verfolge ich Wordpress von der Entwicklung. Ich habe Wordpress ein einziges Mal in einer Testumgebung installiert und seither nicht mehr verwendet.

    Für alle die Wordpress weiterverwenden möchten, ein kleiner Tipp am Rande, wenn es bei Wordpress vernünftig gepflegt wird, in den “Release Notes” reingucken. Dort stehen in vernünftig geführten Systemen, die Änderungen zwischen den einzelenen Versionen und Subversionen.

    Happy Blogging

    David

  2. Eric So, 30.09.2007 21:49

    Wer dabei an eine Verschwörung denkt, der sollte mal wieder an die frische Luft und konzentriert seinen Namen tanzen gehen. Vielleicht hilft das bei der Erdung. Mir hat das geholfen.

    > Waldorf Schüler :D lol

Geben Sie Ihren Senf dazu

Bitte verhalten Sie sich ruhig und besonnen. Ihren Senf (in Form eines Kommmentars) dürfen Sie hier gerne hinterlassen, aber bitte keine bösen Worte verwenden. Ihre E-Mail-Adresse wird weder veröffentlicht noch weiterverkauft. Spam wird automatisiert entfernt, und alle Kommentare werden manuell freigeschaltet.

Sie müssen angemeldet sein, um einen Kommentar hinterlassen zu können.