Kommentar zum MailPoet-Sucuri-Dilemma

PabstWP Beitragsbild MailPoet

Worum geht’s?

Am 01. Juli 2014 veröffentlichte das MailPoet-Team die Version 2.6.7 ihres Newsletter-Plugins, welche eine schwere Sicherheitslücke schloss. Am gleichen Tag veröffentlichte das Web-Sicherheitsunternehmen Sucuri in einem Blogbeitrag umfangreiche, wenn auch nicht detaillierte Informationen über die Sicherheitslücke. Vorausgegangen waren die Entdeckung der Sicherheitslücke durch Sucuri am 16. Juni 2014 und die umgehende Mitteilung an MailPoet.

Was geschah dann?

Da nicht nur WordPress-User und Admins den Sucuri-Blog lesen sondern auch “böse Jungs”, die Sicherheitslücken für die Verbreitung von Spam und Malware nutzen, war es nur eine Frage der Zeit, bis die Sicherheitslücke ausgenutzt wurde. Innerhalb kürzester Zeit wurden Tausende WordPress-Websites über die Sicherheitslücke in den veralteten Plugin-Versionen (kleiner 2.6.7) verseucht. Erschwerend kam hinzu, dass das Plugin für die Ausnutzung der Sicherheitslücke nicht einmal aktiviert sein musste.

Was ist das Problem?

In den letzten Tagen wurde in verschiedenen Blogposts (MailPoet, Sucuri) intensiv diskutiert, wie hilfreich es ist, Sicherheitslücken so schnell bekannt zu machen. Auf der einen Seite steht das Sicherheitsunternehmen Sucuri, das es als seine Pflicht ansieht, Sicherheitslücken so schnell wie möglich aufzudecken und die Öffentlichkeit darüber umfassend und mit der erforderlichen Dringlichkeit zu informieren. Stichwort: Full Disclosure. Auf der anderen Seite stehen Plugin-Entwickler wie das MailPoet-Team, die zwar in Updates Sicherheitslücken schließen können, aber keinen Einfluss darauf haben, ob und wie schnell die WordPress-User das Update auf ihren selbstgehosteten WordPress-Websites installieren. Sie werfen Sucuri vor, Sicherheitslücken zu schnell bekannt und den Nutzern zu wenig Zeit zum Updaten zu geben.

Was bedeutet das für meine Arbeit?

Ich kann die Positionen beider Parteien verstehen und möchte im Moment gar nicht für eine Seite Partei ergreifen. Als Administrator von vielen WordPress-Websites ergibt sich aber aus dieser Praxis für mich das Problem, dass ich eigentlich immer sehr kurzfristig verfügbar sein muss, um Updates zu installieren. Und Updates zu installieren bedeutet in vielen Fällen eben nicht, nur mal eben schnell den “Aktualisieren”-Button zu drücken. Viele Plugin-Updates muss ich vorher mit einer Kopie der Kundenwebsite testen um sicher zu stellen, dass sie fehlerfrei funktionieren. Ironischerweise trat beim Fall von MailPoet genau dieses Problem auf: das Update auf Version 2.6.7 und auch die folgende Version 2.6.8 enthielten mehrere Bugs, die sich auf die Formatierung der E-Mails auswirkten. Das Resultat war, dass ich zwar das Update aus Sicherheitsgründen installieren musste, danach aber den automatischen Versand der täglichen Newsletter-E-Mails aufgrund der gravierenden Formatierungsfehler stoppte. Meine Kunden waren nicht sonderlich begeistert.

Für mich ergibt sich aus dem aktuellen Vorfall, dass ich zukünftig noch mehr Kapazitäten und Ressourcen für meinen WordPress Service (Updates, Sicherheitschecks, Pflege etc.) vorhalten muss. Mit der Konsequenz, dass ich weniger Zeit für die Erstellung neuer Websites haben werde und der Service für bestehende Websites mittelfristig dadurch eventuell teurer werden wird. Eine Entwicklung, die mir nicht gefällt.

***

Ironie Nr. 2: Einen Tag vor Bekanntwerden der Sicherheitslücke empfahl ich MailPoet (Premium) als eines der besten Newsletter-Plugins. Zu dieser Empfehlung stehe ich weiterhin uneingeschränkt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind mit * markiert.

Bitte benutze Pastie.org oder Pastebin.com, um Code in Deinem Kommentar zu veröffentlichen.

*

4 Kommentare

    1. Das wäre eine gute Alternative, wenn man sicher sein könnte, dass Plugins nach dem Update fehlerfrei weiterlaufen. Aber wie ich bereits erwähnte, gibt es immer wieder mal Plugins, die nach einem Update fehlerhaft sind oder gar nicht mehr laufen. In Summe über alle Websites nutze ich über 100 verschiedene Plugins und es gibt viele, bei denen ich mir zu 99,9% sicher bin, dass ich sie problemlos blind und automatisch updaten könnte (deine beispielsweise). Aber ich habe auch eine Handvoll Kandidaten, die ich zwingend vor dem Update auf der Produktivumgebung auf einer Testumgebung testen muss. Wobei ich mich dann natürlich trotzdem fragen muss: lieber eine kaputte, aber sichere Website oder lieber eine funktionierende Website mit Sicherheitslücke (die ich evtl. manuell patchen könnte)? Schwieriges Thema …

  1. Ich bin durch die Sicherheitslücke überhaupt erst auf MailPoet aufmerksam geworden und nutze es seitdem (also seitdem die Lücke geschlossen wurde).
    Bin sehr zufrieden damit. War also eine „gelungene“ negative Werbung 🙂