Vorsicht beim vorinstallierten Wordpress: Die Hacker warten schon

Ein Leistungsmerkmal, mit dem 1blue besonders wirbt: Zahlreiche bekannte Programme wie Joomla, Typo3, Wordpress und Gallery sind bereits vorinstalliert und können per Mausklick in Ihren Webauftritt integriert werden (Konkurrent 1und1 bietet diese bequeme Sofort-Installation übrigens ebenfalls an, dort heißt es Click-and-Build-Anwendung). Sie finden diese vorinstallierte Software in Ihrem Kundenaccount unter "Meine Produkte, Produktdetails, Programme". Die Liste ist beeindruckend lang und deckt viele unterschiedliche Anwendungsbereiche ab: Gästebuch, Abstimmungstool, Fotogalerien, Content-Managementsysteme (sowohl eher einfache wie Joomla als auch schwere Geschütze wie Typo3), Kalender und Weblog-Software. Bei letzterer Kategorie machten wir den Installationstest, weil sich diese Software ideal eignet, um binnen weniger Minuten einen Webauftritt zu publizieren: 1blu bietet nämlich unter anderem das hinlänglich bekannte Wordpress zur One-Click-Installation an.

Hier erlebten wir aber eine unangenehme Überraschung: 1blu bot nur eine völlig veralterte Version von WordPress zur Sofort-Installation an, nämlich Wordpress 2.5.1 (in deutscher Sprache). Aktuell ist jedoch Wordpress 2.8.4. Da Wordpress zu den beliebten Angriffszielen von Hackern gehört, sollte Wordpress inklusive eventuell installierter Plugins immer auf dem aktuellen Stand gehalten werden. Die von 1blu angebotene Wordpressversion stammt aber vom April 2008.

Die Installation des vorinstallierten Wordpress 2.5.1 ging reibungslos über die Bühne, binnen weniger Minuten stand das Weblog zur Verfügung. Sie finden Wordpress dann unter dem Reiter "Meine Applikationen". Dort können Sie das Verwaltungs-Backend sofort mit Inhalten füttern oder interessante Plugins installieren. Falls Sie Wordpress wieder los werden wollen, klicken Sie hier einfach auf den Button "Löschen". Schon entfernt 1blu das Weblog wieder. Wir machten den Löschen-Test, tatsächlich war das Weblog umgehend nicht mehr erreichbar. Auf dem FTP-Server fanden wir allerdings noch die alte Wordpressinstallation vor.

Zurück zum installierten Wordpress: Es handelte sich dabei wie gesagt um eine völlig veralterte Version, die Hacker-Herzen schneller schlagen lässt. Besonders ärgerlich: 1blu warnt nicht einmal davor, dass man eine veralterte Wordpressinstallation besitzt (nur unter den FAQs findet man an einer völlig anderen Stelle auf der 1blu-Website einen Hinweis auf diese Sicherheitslücke) und bietet auch keine direkte Update-Möglichkeit an.

Der Anwender muss also selbst seine Wordpressinstallation aktualisieren. Das setzt dreierlei voraus: Erstens muss der 1blu-Neukunde überhaupt wissen, dass er eine veralterte Version besitzt. Zweitens muss er sich bewusst sein, dass diese ältere Wordpressversion ein Sicherheitsrisiko darstellt (und sich nicht so komfortabel bedienen lässt wie die moderneren 2.8er-Versionen von Wordpress – so gibt es beispielsweise bei der von 1blu installierten Wordpressversion nicht die Möglichkeit, das Upgrade mit einem Mausklick zu starten). Und drittens muss der Kunde wissen, wie man Wordpress von Hand aktualisiert. Auf den einschlägigen Wordpressseiten gibt es zwar gute Anleitungen für das Upgrade, trotzdem dürften viele Wordpresseinsteiger mit dem Upgrade überfordert sein. Oder schlimmer noch: Sie benutzen einfach die veralterte Version und stellen damit ein Angriffsziel für Hacker dar.