Heute mal wieder ein Post aus der Kategorie: “Müsste mal jemand machen”:

Im aktuellen Wordpress Newsletter wird auf ein Problem mit veralteten Plugins für Wordpress hingewiesen.

Ich zitiere das mal:

Aktueller (Zu)Stand: Wird eine (berechtigte) Sicherheitslücke in einem Plugin/Theme lokalisiert, werden in der Regel der Plugin-Autor und das WordPress-Sicherheitsteam darüber informiert. Der Entwickler der betroffenen Erweiterung bekommt Zeit eingeräumt, die Lücke zu schließen. Unternimmt der Autor keinerlei Schritte zur Beseitigung der Schwachstelle (weil Plugin aufgegeben, Zeitmangel, etc.), so deaktiviert das WordPress-Sicherheitsteam die betroffene Erweiterung im offiziellen WordPress-Verzeichnis.

Das dadurch entstandene Problem: Die Erweiterung kann zwar nicht länger heruntergeladen werden, bei WordPress-Endanwendern mit aktivem Plugin verbleibt die Version bis auf Weiteres installiert. Kein Update, keine Benachrichtigung.

Und weil die Schonfrist verstrichen ist, wird die Sicherheitslücke publik gemacht. Hacker fangen an, die Schwachstelle via Brute-Force Attacken auszunutzen.

Prüft daher manuell, ob installierte (vielleicht etwas ältere) Plugins im WordPress-Verzeichnis weiterhin existieren. Der Sicherheit zuliebe.

Ich finde das einen guten Punkt und wichtig. Es ist nur relativ nervig jeweils immer zu Prüfen ob die verwendeten Plugins noch aktualisiert werden. Ich fände es daher sehr cool wenn man ein Tool hätte mit dem das automatisch geprüft wird.

Man könnte das entweder als Wordpress-Plugin umsetzen oder, wie ich finde die elegantere Möglichkeit, als WP-CLI Command.

Im Codex findet man auch eine rudimentäre Dokumentation über die Plugin-Directory API. Die Daten sind also da.

Wenn jemand Zeit und Lust darauf hat wäre das sehr cool. Ich würde auf jeden Fall auch Helfen :-)