Hadmut Danisch
Ansichten eines Informatikers

Das WordPress-Drama

Hadmut
2.12.2024 17:26
Uncategorized

Es wird schmutzig in der Software.

Die Blog-Softare WordPress ist ein Krampf und der Code ein elendes Gewurschtel. Ich hatte vor einigen Jahren mal angefangen, den Code zu lesen, und mich gewundert, wie die das überhaupt noch auf die Reihe kriegen, weil ich mindestens drei verschiedene Programmierstile darin fand und das alles zusammengeflickt fand wie Frankensteins Monster. Noch läuft mein Blog auch auf WordPress – was mir zunehmend gegen den Strich geht, weil WordPress auch in seiner Arbeitsstruktur widersinnig und für hochfrequentierte Blogs eigentlich nicht geeignet ist – und ich habe schon seit Jahren vor, es durch eigene Software zu ersetzen. Neulich beschimpfte mich einer, warum ich das vor zwei Jahren schon versprochen und bisher nicht gehalten hätte. Weil mir seit der Causa Ricarda Lang etliche Belastungen in die Quere kamen – Wohnung auf Zypern kaufen und einrichten, Kontenkündigungen, Strafprozess, Zivilprozess, Herumschlagen mit zwei Datenschutzbeauftragten, Verwaltungsgerichtsprozess gegen einen davon, jede Menge Akten, jede Menge Blogartikel darüber schreiben. Und dann kommt so ein A… um die Ecke und beschimpft mich, warum ich eigene Blogsoftware angekündigt und das noch nicht gemacht habe. Und wie ich überhaupt dazu käme, PHP zu beschimpfen, ich sei Theoretiker und kein Praktiker, denn ich kenne wohl das Wunderframework Symfony noch nicht, was die PHP-Probleme löse. Ach.

Und dann

Niemand bei Verstand nutzt WordPress.

Komisch. Einerseits findet er PHP so wunderbar gut, andererseits jeden für einen Idioten, der WordPress (Marktanteil 40%) benutzt. Mit der wundersamen Begründung, dass nicht einmal Fefe WordPress benutze. Und wenn der es schon nicht benutze, muss man ein Idiot sein, wenn man es benutzt.

Immerhin scheinen praktisch alle Leser, so sie sich überhaupt äußern, mit mir einer Meinung zu sein, dass WordPress ein elender Haufen zusammengewürfelter Mist ist, aber das Problem besteht, dass es kaum gangbare Alternativen gibt und 2006, als ich das Blog aufgemacht habe, auch nicht gab. Immer wieder schreiben mir Leute „Warum nimmst Du nicht Hugo?“. Weil Hugo einfach nicht geeignet ist, um 25.000 Blogartikel zu verwalten und viele Funktionen schlicht nicht bietet. Außerdem bin ich schon auf dem Konkurrenzprodukt Jekyll, mit dem ich die statischen Webseiten des Blogs schon seit Jahren erzeuge. Es gibt derzeit kein Tool, was meinen Vorstellungen entspricht, nämlich

  • Trennung Redaktion und Nutzeroberfläche
  • Hintenraus, also auf dem Redaktionssystem, Datenbanksystem
  • Vorneraus statische Webseiten, soweit möglich, möglichst wenig dynamischer Content, um die Angriffsfläche zu verringern. Im Prinzip sollte da ein Webserver wie nginx und sonst gar nichts laufen. Wird man nicht ganz hinkriegen, weil man ja eine Such- und bei Bedarf auch eine Kommentarfunktion braucht, aber die kann man entsprechend kapseln oder auf einen getrennten Server auslagern, damit der Hauptserver damit nicht angegriffen werden kann. Insbesondere weder PHP noch Datenbank auf dem Publikationssystem.
  • Kein Backup-Erfordernis für das Publikationssystem, es sollte jederzeit automatisiert neu aufsetzbar und aus dem Redaktionssystem neu zu befüllen sein, um – technischen wie juristischen – Angriffen zu widerstehen, also der Totalverlust des Publikationssystems jederzeit voll verkraftbar und das System in definierter Zeit reproduzierbar sein. Außerdem sollte das Publikationssystem mit möglichst wenig Blogabhängiger Konfiguration auskommen, die Konfiguration möglichst auf dem Redaktionssystem gespeichert sein.
  • Unterstützung für/Kompatibilität zu Content Delivery Network
  • Programmierschnittstelle für alle die Filter und Funktionen, die ich mir vorstelle
  • Programmierbares System für die Bearbeitungsstufen eines Blogartikels

Also bleibt nur Selbstschreiben, und ich habe seit Jahren eine Struktur im Kopf, aber mir fehlt einfach die Zeit. Ich bin jetzt schon 7 Tage die Woche eingespannt, und dann kommen ständig noch weitere A… um die Ecke und beschweren sich, warum ich nicht auch noch über Klima und Corona-Impfungen schreibe. Weil ich keine Zeitmaschine wie Hermine Granger in Harry Potter habe, mit der man verschiedene Sachen gleichzeitig machen und an verschiedenen Orten gleichzeitig sein kann.

Nun schreibt mir einer, dass die da bei WordPress gerade ordentlich Krach haben: About the Recent WordPress Drama

Ich kann das nicht leiden, wenn an Artikeln kein Datum dran steht. Zumindest kann man aus dem Inhalt schließen, dass der Artikel nicht allzu alt sein kann, weil er in rückblickendem Ton über das Jahr 2024 schreibt. Und weil im Inhalt auf andere Artikel vom November 2024 verlinkt und auf neuere Vorgänge Bezug genommen wird, muss das recht frisch sein. Es gibt Krach zwischen WordPress und WordPress.

Nun muss man wissen, dass „Wordpress“ (mindestens) zwei verschiedene Dinge bezeichnet: Die Software und den angebotenen Webdienst. (Ich benutze nur die Software, hoste das aber selbst.) Bei Wikipedia hat man das etwas besser gelöst, da heißt die Firma Wikimedia, die Software Mediawiki und die Webseite Wikipedia, das verwechselt man nicht so leicht. Zu allem Überfluss gibt es aber auch noch einen Hoster namens WP Engine, von dem ich jetzt nicht weiß, ob das ein weiterer oder derselben unter mehrdeutig eindeutigem Namen ist.

Da geht es wohl ums Geld, weil der eine die Arbeit macht und die Software schreibt, und die anderen mit dem Hosting das Geld verdienen, ohne ersteren daran zu beteiligen.

Without going into a lot of unnecessary detail, a feud broke out a few weeks ago between the co-founder of WordPress, Matt Mullenweg, and WP Engine, a large hosting platform (note: we do not use WP Engine, although we do use some products that they own and maintain). Mullenweg said he would take a “scorched earth nuclear approach” against WP Engine unless it agreed to pay “a significant percentage of its revenues for a license to the WordPress trademark.” Since then, WordPress has blocked WP Engine customers from being able to update the WordPress platform and the hundreds of thousands of plugins hosted in the repository, and they have blocked anyone affiliated with WP Engine from accessing WordPress.org.

In an engineered move, WordPress then irresponsibly disclosed a bug in the Advanced Custom Fields (ACF) plugin, one of the most widely used plugins for WordPress, which is owned and maintained by WP Engine. Since WP Engine was locked out of the repository and unable to patch the bug, WordPress changed the name of the ACF Plugin to “Secure Custom Fields,” modified code to remove some functionality, fixed the bug they found, and attributed this modified plugin to themselves. To make matters worse, WordPress did this in such a way that the 2+ million users of this plugin were automatically “updated” to this new hijacked plugin instead of the one written and maintained by the original authors.

Here is an article from TechCrunch that goes into more detail.

Da läuft gerade eine üble Schlammschlacht, wie dann TechCrunch da berichtet.

Ich habe zwar großes Verständnis dafür, wenn einer sauer ist, weil er die Arbeit macht und andere damit Geld verdienen. Aber die Methoden sind dreckig. TechCrunch dazu:

This act, by its very definition, can be considered a supply chain attack instigated by a single man controlling a platform that powers 40% of the internet against 2+ million websites. Needless to say, this has a lot of security professionals concerned—not just because of this incident, but because of the continued escalations and the apparent lack of governance and accountability with the WordPress platform and organization.

Ja. Das sehe ich genauso.

Wenn da ein Einzelner die Macht über die Software hat, und das dann für seinen Krieg ausnutzt, und dabei auch noch Sicherheitslücken dazu missbraucht, müssen eigentlich alle Warnlampen angehen. Diesen Effekt des Wahnsinns, dass die dann, wenn Einzelpersonen mit bekannten Softwareprodukten identifiziert werden und die Leitung haben, nach einigen Jahren durchdrehen, habe ich schon in anderem Zusammenhang beobachtet.

Und wenn dann noch irgendwo eine Woke-Scheiß dazukommt, dann ist es nicht mehr weit, bis der Inhalte im Blog per Software sperrt oder ändert, einem das Blog löscht oder Sicherheitslücken öffnet, damit man gehackt wird.

Ganz üble Sache.

Man sollte davon weg. Ich halte WordPress sowieso für irreparabel, weil von der ganzen Struktur her verfehlt. Es vermischt die Benutzer- mit der Redaktionsschnittstelle, weil das wie Wikipedia aus dem „Web-2.0“-Hype entstanden ist und man damals den user-created-content so toll fand. Historisch betrachtet war das aber eine Scheiß-Idee, weil der user-created-content meist schlecht war, und das Angriffstore für politische und technische Attacken lieferte. Davon abgesehen zeigt die Geschichte, dass Software nie richtig gut und stabil läuft, wenn es dafür tausende Comunity-Plugins gibt, von denen man nie weiß, wie aktuell sie sind, ob sie überhaupt gewartet werden, und ob der Autor nicht irgendein inkompetenter Hobby-Honk oder gar selbst Angreifer war.

Es wird also – aus verschiedenen Gründen – nun wirklich Zeit, sich von WordPress zu verabschieden und es zu ersetzen. Zu den softwarespezifischen Problemen kommt noch die politische Komponente. Es gibt ja immer mehr Angriffe gegen Regierungskritik, und je mehr Software man dafür einsetzt, desto angreifbarer wird man über irgendwelche Codes of Conducts, spezifische Verbote, AGB (diese Software darf nicht für „rechte Blogs“ verwendet werden…), systematische Sicherheitslücken, die einem untergejubelt werden. Je umstrittener man politisch ist, desto weniger (fremde) Software sollte man einsetzen, vor allem dann, wenn da Hinz und Kunz drin rumrühren.

Wenn ich nur mehr Zeit hätte …