Viele Hoster bieten die Möglichkeit, diverse Web-Anwendungen ganz einfach per „One-Click-Installation“ zu installieren. In der Liste der möglichen Anwendungen ist natürlich auch WordPress zu finden, aber auch andere CMS oder Shop-Systeme. Nun bin ich bei HostEurope mal wieder darüber gestolpert, warum das keine gute Idee ist…
Eigentlich ist es ja eine gute Sache, unerfahrenen Anwendern eine einfache Möglichkeit zu geben, Web-Software im eigenen Webspace zu installieren. Man muss keine Datenbank selbst anlegen, keine Installationsroutine durchklicken und was sonst noch so alles gefordert ist.
Leider überzeugen diese One-Click-Installationen meistens nicht. Ich habe schon von Problemen damit bei verschiedenen Hostern gehört. Aber diese Woche ist mir an einer Kundenwebsite wieder klar geworden, dass solche Installationen keine gute Idee sind.
Beispiel: HostEurope
Meine Kundin ist Kunde bei HostEurope und hat eine One-Click-Installation genutzt, um eine neue Website aufzusetzen. Es gab (weniger interessante) technische Probleme, die ich dann beseitigt habe. Allerdings habe ich mir in diesem Zuge zur Fehleranalyse die frische WordPress-Installation angeschaut und war doch sehr überrascht, was ich da gesehen habe.
Die vor wenigen Augenblicken installierte WordPress-Installation trug die Versionsnummer 4.1. Version 4.1 erschien im Dezember 2014, ist also schon fast zwei Jahre alt. Die Anzahl der mittlerweile bekannten Sicherheitslücken in Version 4.1 ist so lang, dass ich sie hier nur verlinke.
Aber es kam noch dicker: In der wp-config.php lachte mir ein
define( 'AUTOMATIC_UPDATER_DISABLED', true );
entgegen. Nicht nur, dass die Version uralt und voller Sicherheitslücken ist, nein, man hat auch sichergestellt, dass keinerlei automatische Updates rein kommen. Der Anwender muss alle Updates selbst machen. Absolut zu erwarten bei einem Anwender, der diese Art der Installation vermutlich nur gewählt hat, weil er sich technisch nicht versiert genug fühlt für eine manuelle Installation.
Die Installation enthielt dann noch ein Multibyte-Patch-Plugin, dass im europäischen Sprachraum, so gar keinen Sinn macht. Und zu guter Letzt enthielt das Installationspaket dann auch noch Lizenz- und Readme-Dateien in italienischer Sprache.
Ich konnte mir aus all diesen Vorkommnissen keinen Reim machen und habe bei HostEurope ins Backend geschaut. Und tatsächlich, dort wird ernsthaft Version 4.1 zur Installation angeboten:
Neben WordPress waren auch diverse andere Web-Anwendungen mit alten Versionen vertreten:
- Piwik 1.11.1 – aktuell 2.16.5
- Coppermine 1.5.20 – aktuell 1.5.44
- Drupal 7.33 – aktuell 8.2.1
- usw.
Und HostEurope ist sich dessen offensichtlich bewusst:
Gut, August 2016 ist mittlerweile auch schon etwas länger vorbei, aber sei es drum. Warum man mit voller Absicht lieber alte, unsicher Versionen von Web-Anwendungen an unerfahrene Anwender ausliefert als dieses Feature erstmal abzuschalten, wird mir vermutlich erstmal keiner erklären können.
Lustig übrigens auch, dass mit Hinweis auf die Auto-Update-Funktion von WordPress (ab Version 3.8) keine Updates von WordPress mehr von HostEurope (über APS, siehe unten) angeboten werden, gleichzeitig die Auto-Update-Funktion aber abgeschaltet ist. 🙂 Ich möchte den unerfahrenen Anwender sehen, der in der wp-config.php die entsprechende Zeile zielsicher entfernen kann…
Zur (halben) Ehrenrettung von HostEurope: die Pakete selbst stammen nicht von HostEurope. Es hat dort also keiner persönlich die Auto-Updates abgeschaltet oder die italienischen Lizenz-Dateien beigelegt. Die Installationen sind APS-Pakete, die HostEurope bezieht und nutzt.
Allerdings gibt es ein aktuelles APS-Paket für WordPress 4.6.1 (zum Zeitpunkt der Veröffentlichung dieses Beitrags die aktuelle Version): hier. Und auch die ältere Version von WordPress in der APS-Liste ist mit Version 4.1.1 aktueller als die von HostEurope angebotene.
Wie auch bei der Diskussion um PHP-Versionen (ein anderes Thema 😉 ), machen es sich die Hoster mal wieder sehr leicht und wundern sich dann, wenn die Systeme verwundbar sind, angegriffen werden oder infiziert sind. Der Anwender wird dann alleine gelassen und darf sich um seine gesperrte Website kümmern und reparieren (lassen).
Fazit und Handlungsempfehlung
So sehr ich den Wunsch nach einfach zu installierender Software verstehen kann, den Einsatz dieser One-Click-Installationen kann ich nicht empfehlen. Häufig bekommt man veraltete Versionen, veränderte Standard-Einstellungen und schräge Paketzusammenstellungen.
Ich freue mich über andere Erfahrungsberichte zu Installern, insbesondere auch bei anderen Hostern.
P.S.: Ich biete WordPress-Installationen an, falls jemand sich selbst die Installation nicht zutraut. Das mag zwar ein paar Euro mehr kosten. Dafür erhält man eine saubere WP-Installation, die schon generelle Absicherungsmaßnahmen enthält. Mehr Infos.