praegnanz.de büro für intervernetzte medien

Gerrit, 06.09.2009

WordPress – wann kommt es zur Katastrophe?

Ich sehe mich nicht wirklich als Teil der weltweiten WordPress-Gemeinde. Zugegeben – in den letzten zwei Jahren habe ich etwa zehn Websites damit umgesetzt (auf expliziten Kundenwunsch), biete zwei Blog-Themes zum Download an (aus Promotion-Gründen) und habe auch das eine oder andere individuelle Plugin für spezielle Kundenwünsche verfasst. Doch stets empfand ich dabei ein unangenehmes Grummeln im Bauch. Der Grund dafür ist eine Überzeugung, die ich mich seit einigen Monaten immer deutlicher zu formulieren getraue: WordPress ist auf keinem guten Weg in die Zukunft. Das hat mehrere Gründe, und der aktuell grassierende Wurm ist nur der konkrete Anlass und ein weiteres Mosaiksteinchen.

Da wäre zum einen natürlich die Sicherheit. Jeder Webentwickler, der sich halbwegs auskennt, wird bestätigen, dass WordPress ein Sicherheitsrisiko darstellt und stets nur in der aktuellsten Version notdürftig mit ein paar Flicken die aktuell bekannten Exploits zu verhindern in der Lage ist. Neue Exploits und neue WordPress-Versionen erscheinen alle paar Wochen, Updates sind fast immer dringend angeraten und werden auch löblicherweise im WordPress-Backend propagiert. Doch wie man das so kennt: Unbedarfte Anwender scheren sich nicht um solche Warnhinweise, denn: Es geht ja alles! Und machen wir uns nichts vor: Viele der Kunden, für die man Websites einrichtet, haben nach der obligatorischen CMS-Schulung nie mehr das Backend von innen gesehen. Ich bin kein Security-Experte, aber die Probleme scheinen tief in der Architektur von WordPress verankert zu sein, denn nur aufgrund der hohen Popularität kann ich mir eine derartige Masse an verschiedenen Attacken einfach nicht vorstellen. Der gesamte WordPress-Core scheint durchtränkt von Sicherheits-Lücken, und das macht mir durchaus Angst.

Der zweite Grund, warum ich WordPress auf dem falschen Weg sehe, ist die schlechte Performance, und zwar insbesondere im Backend. Es kann nicht sein, dass beim Anlegen und Bearbeiten von Beiträgen und Artikeln die Seitenenaufrufe derart träge und instabil vonstatten gehen. Zum einen hat das mit der Überfrachtung des Backends zu tun: Tausende von teils redundanten Funktionen, die oft mit anspruchsvollen JavaScript-Spielereien angehübscht sind, führen zu einer schlechten Performance auf der Client-Seite. Doch auch was die Zahl und die Komplexität der SQL-Anfragen betrifft, wird offenbar aus dem vollen geschöpft. Nicht alle Anwender bekommen das mit, denn bestimmte Hosting-Provider bieten natürlich inzwischen entsprechende Server mit genügend Wums an. Doch guckt man sich andere CMSe an, erkennt man auch, dass die Situation nicht so sein müsste! Dass vergleichbar funktionale Backends auch pfeilschnell sein können und auf langsameren Servern funktionieren. Wieder einmal ist es vor allem schlampige Programmierung, die einen Großteil der Probleme verursacht.

Mein dritter Aspekt ist derjenige, der mich am meisten beschäftigt. Es ist die ungeheure Feature-Getriebenheit der gesamten WordPress-Bewegung. WordPress definiert sich fast ausschließlich über die Quantität an Möglichkeiten: Die meisten eingebauten Spezialfunktionen, die meisten Themes, die meisten Plugins, usw. Das hat natürlich auch Vorteile: Immer wenn es im Netz eine neue Technik gibt, einen kulturellen oder technischen Hype, ist WordPress das erste System, welches dies technisch implementiert – ob als Plugin oder auch als Core-Funktion. Beispiele: AtomPub, Canonical URLs, Structured Blogging, Podcasting … WordPress ist die de-facto-Referenz-Implementation! (Kleine Anekdote am Rande: Bei meinem Werbevermarkter Adnation gibt es im Admin-Bereich zwei Möglichkeiten, den Embed-Code für die Banner zu erhalten: Als nacktes JavaScript-Snippet oder … als WordPress-Plugin.)

Meine grundsätzliche Kritik lautet demnach wie folgt: Die WordPress-Gemeinde ist bestrebt, alle kulturellen und technischen Trends, Möglichkeiten und Ideen, die auch nur entfernt mit Blogging zu tun haben, mit ihrer Software erschöpfend abzudecken, ohne dabei allzuviel Rücksicht auf Bedienbarkeit, Performance oder Sicherheit des Systems zu nehmen. Was dabei passiert, ist völlig klar: Die Software wächst organisch und unlimitiert. Jede Version kommt mit mindestens zwei bis drei neuen Features, die sich bis tief in den Core verankern und den Code auf verschiedenen Ebenen immer komplizierter machen. Dadurch wird es zunehmend schwieriger, Optimierungen vorzunehmen und ordentlich aufzuräumen, da es zu viele Abhängigkeiten gibt.

Ich vergleiche es gerne mit einer Lawine, die immer mehr Schnee aufnimmt und mit immer mehr Gewicht und Tempo in eine bestimmte Richtung rollt. Sie ist irgendwann nicht mehr aufzuhalten, und ich sehe WordPress längst in einem Stadium, wo eine physische Konfrontation mit einem Bergdorf nicht mehr aufzuhalten ist. Sprich: Immer mehr Server werden immer häufiger schlapp machen. Blogs werden langsamer und verschwinden häufiger zeitweise vom Netz. Die Hosting Provider müssen Ressourcen nachrüsten und Preise anziehen, wie auch immer.

Wie sieht die Lösung aus? Alle auf Textpattern oder Serendipity umsteigen? Sicher nicht, denn natürlich ist WordPress mit seinen Funktionen und seinen Entwicklern einzigartig. Aber ich sehe inzwischen kaum eine andere Möglichkeit als einen kompletten Re-Write des Core-Systems, ähnlich wie es TYPO 3 derzeit unternimmt. Es muss ein harter Einschnitt gemacht werden, der sehr schmerzlich sein wird, da ein Großteil der Plugins und sicher auch viele Themes nicht mehr funktionieren wird. (Das liegt am unzureichenden Abstraktionzwang für Plugin- und Theme-Autoren. Hier wird für meinen Geschmack üblicherweise viel zu systemnah gecodet.)

Mit einer zukunftsgerichteten, sicheren und performanten Basis dürfte es möglich sein, die meisten der populären Eigenschaften von WordPress zu erhalten, ohne den Lawinen-Effekt zu sehr herauszufordern. Vielleicht ist es aber auch eine Chance, die uneingeschränkte Feature-Hörigkeit der WordPress-Gemeinde ein wenig zu bekämpfen und eine Kultur zu schaffen, die mehr auf Qualität als auf Quantität setzt. Vielleicht ist hier auch ein bisschen mehr Diktatur nötig. Leider sehe ich derzeit keine wirklich ernstgemeinten Bestrebungen, und Matt Mullenweg findet außer immer brav Updates aufspielen keine adäquaten Argumentationen zur fundamentaleren Bekämpfung der WordPress-Probleme.

46 Kommentare

  1. _nicolas am 6. September 2009 #

    „Vielleicht ist es aber auch eine Chance, die uneingeschränkte Feature-Hörigkeit der WordPress-Gemeinde ein wenig zu bekämpfen und eine Kultur zu schaffen, die mehr auf Qualität als auf Quantität setzt.”

    Damit wäre dem System ja der größte Vorteile geraubt ;-) Für mich liegt der Erfolg von WordPress (und auch TYPO3) nicht in der Qualität, sondern in der Massentauglichkeit. Oder anders gesagt: das Hauptinteresse der Masse ist generell weniger qualitativer Natur, sondern eher quantitativer. Im Falle WordPress oder TYPO3: Für jedes Anliegen eine Funktion. Möglichst alles abdecken, was verlangt wird. Würde man hingegen auf Qualität setzen, wäre das sicherlich nicht mehr in dem Maße möglich.

  2. Robert Wetzlmayr am 6. September 2009 #

    Interessantes Detail: In einer Diskussion über den weiteren Weg von Textpattern haben viele Regulars die Ansicht vertreten, dass die meisten Anwender ihr Blogsystem ein Mal installieren und dann kaum nocht updaten. Das ist – wenn man die im Auftrag erstellten Sites betrachtet – auch mein Eindruck. In der WordPress-Welt wird’s für Kundensites kaum anders sein.

    Es wird demnach über die Jahre immer mehr WordPress-Sites geben, deren Betreiber keine Ahnung haben, was sie mit der penetranten Upgradeanforderung anstellen sollen, weil sie etwa keine Administratorrechte besitzen oder schon gar nicht wissen, was sie damit an Kollateralschäden seitens Plugins oder Themes anrichten. Der Vergleich mit der Lawine ist absolut treffend.

    NB: Der Link zu Textpattern CMS im Text ist kaputt.

  3. Markus Tacker am 6. September 2009 #

    In der Tat sind wir inzwischen weit entfernt von der ehemals schlanken Blog-Software. Der Wunsch Wordpress als vollwertiges CMS zu verwenden hat dazu meiner Meinung nach geführt.

    Meine eignenen Instanzen werden täglich mittels SVN automatisch aktualisiert.

    Kunden mit eigenen Server weise ich explizit auf die Notwendigkeit regelmäßiger Updates hin und biete natürlich einen Support-Vertrag an.

    Grundsätzlich können man sich die Frage stellen, welche Kern-Funktionen des Wordpress-Backend das System für Benutzer so attraktiv machen und diese in eine neue, schlankere Variante pressen* – allerdings, Hardware ist billig, also einfach einen schneller Host mieten, der zudem noch mit einem Bytecode-Cache läuft und schon ist das Backend wieder angenehm flott zu bedienen.

    * vgl. hierzu auch Wordpress light auf wordpress-magazin.de

  4. Tscho am 6. September 2009 #

    Der Artikel spricht mir aus der Seele! Das was ich beim Benutzen jedes mal fühle drückst du sehr gut mit Worten aus.

  5. mds am 6. September 2009 #

    Was Du bei WordPress beobachtest, ist gewöhnliche Software-Entwicklung – mehr Funktionen, mehr Quelltext, mehr Fehler … bei Mac OS X beispielsweise ist es ähnlich, bloss liefert Apple die Aktualisierungen gegen all die Sicherheitslücken jeweils x Monate später …

    Für Personen, die mit der WordPress-Administration überfordert sind, empfehle ich ein Hosting bei WordPress.com (oder einem der vielen anderen WordPress-Hoster).

    Wer ein schlankes WordPress möchte, kann sich an einem entsprechenden Fork beteiligen – WordPress ist ja freie Open Source-Software.

  6. Dieter am 6. September 2009 #

    Der Titel und der Inhalt des Artikels sind mir etwas zu schwarz malend, aber zeigen die zentralen Probleme mit WordPress-Installationen auf.

    Im Einzelnen:
    1. Die Sicherheit
    Bei einer stark verbreiteten Open-Source-Software werden Sicherheitslücken, die jede etwas komplexere Web-Anwendung aufweist, nun mal von schlechten Menschen ausgenutzt. Davon ist nicht nur WordPress (WP) betroffen, sondern beispielsweise auch phpBB.

    Dagegen hilft nur regelmäßiges Updaten und zusätzliche Sicherheitsmaßnahmen (bei WP insbesondere Plugins und Ergänzungen der .htaccess-Datei).

    Die berühmte 5-Minuten-Installation macht WP besonders attraktiv, ist aber zugleich sicherheitstechnisch völlig unzureichend.

    Würde ich WP-Seiten für Kunden erstellen, dann wäre eine Betreuungs- sowie Haftungsbeschränkungsklausel Pflicht.

    2. Die Performance des Backends
    Die Performance des Backendshängt aufgrund des massiven JavaScript-Einsatzes maßgeblich auch vom Browser ab. Hier wäre in der Tat weniger mehr!

    Zwar kann der Einsatz von Google Gears (der sog. Turbo) das Backend erheblich beschleunigen, aber auch zu Problemen führen. Insbesondere deshalb setze ich Google Gears nicht ein (siehe auch meinen Blogbeitrag Darstellungsprobleme durch Google Gears?).

    3. Feature-Getriebenheit der WordPress-Gemeinde
    WordPress ist neben seiner einfachen Installation auch wegen seines Funktionsumfangs so beliebt und verbreitet, sprich erfolgreich. Die Entwicklung von der reinen Blogsoftware zum Content-Management-System (CMS) sind unverkennbar.

    Hier nur von Quantität statt Qualität zu reden, halte ich jedoch für übertrieben. In vielen Bereichen nimmt auch die Qualität von WordPress selbst als auch vieler Plugins zu. Aus meiner Sicht müsste die Frage lauten, ob es nicht ein WordPress-Light für reine Blogs geben sollte.

    Ob der Core-Code von WP neu geschrieben werden müsste, kann ich als Nicht-Programmierer nicht beurteilen. Überzeugende Belege dafür habe ich allerdings noch nicht gesehen bzw. gelesen.

    PS (OT): Die Schriftgröße im Kommentarfeld empfinde ich als zu klein in Relation zum Rest der Seite.

    PPS (OT?): Die Textile ist für mich ausgesprochen gewöhnungsbedürftig. Die eingeschränkte HTML-Verwendung ist da für mich und wahrscheinlich auch die Zielgruppe des Blogs bestimmt intuitiver.

  7. Dennis Morhardt am 6. September 2009 #

    Zwei Hinweise (auch an die Kommentar-Schreiber):

    1. WordPress nicht benutzen.
    2. WordPress verbessern (gerade du, Tscho!)

    Meckern hilft nicht, entweder man haltet das Maul oder man nimmt sich dem Problem an, entweder, dass man am Core hilft, oder Sicherheitsmaßen ergreift (Gibt viele gute Anleitungen, gerade vom Sergej Müller oder vom Frank Bültge).

  8. Don am 6. September 2009 #

    ja, ich glaub jetz les ich auch mal ab und zu diesen Blog von Herrn van Aaken, an dieser stelle dir/Ihnen einen guten Tag :).

    – okay zum Thema:
    Ich nehm auch WP als Backend und mir ist auch teilweise aufgefallen, das es ziemlich zippig läuft. Wenn man den Post oder die Seite updatet dauert das immer seine 1–2 Sek. was mir auch ein bisschen den Spass nimmt.
    Im Vergleich dazu hat das Bloggen bei Blogger.com immer Spass gemacht, dass ging so flott dahin!

    – bzgl. Rewirte des Cores würd ich sagen, nakla, warum nett, wenn die Kiste das irgendwann braucht? Man hat’s ja schon beim Sprung OS9 auf OSX gesehn, das es durchaus geht(sogar beim kopl. Betriebssystem) … denn ganzen Stall mal aufräumen und komplett neu machen, find ich immer gut solche Ansätze.

    – neue CMS mal ausprobieren find ich auch nicht schlecht, vielleicht hätte man da auch weniger Probleme mit Spawn ect.

    – grüsse aus Hamburg
    Don

  9. Dennis Morhardt am 6. September 2009 #

    Um bisschen meinen Ton zu entschärfen: Ein komplett Rewrite des Core mit Einführung von Core Plugins wäre trotzdem wünschenswert.

  10. Nils Pooker am 6. September 2009 #

    danke Gerrit, das passt perfekt zu meiner Stimmung angesichts eines versauten Samstagabend, an dem ich gestern (zum Glück nur vier) WP-Kunden-Sites mal schnell aktualisieren durfte.

    Ich fühle mich mittlerweile mehr als bei jedem anderen System nicht nur genötigt, sondern fast schon versklavt, ständig auf Lücken, Updates und wasweißichnoch zu achten. In Zukunft werde auch ich WP nur noch auf ausdrücklichen Wunsch einsetzen und in der Auftragsbestätigung mit deutlichen Hinweisen auf die Probleme jedwede Haftung bei Angriffen und auch jeglichen Update-Service ausschließen. Wer unbedingt WP will, darf sich dann gern auch selbst um solche Sachen kümmern.

    Vielleicht ist das ganze ja in zwei Jahren besser, vorher rühre ich es jedenfalls nicht mehr an.

  11. Roman am 6. September 2009 #

    Der Artikel spricht mir aus der Seele, wobei ich schon seit ca. zwei Jahren Wordpress aus dem Weg gehe und daher eigentlich nicht selbst betroffen bin. Ich finde, die Probleme wurden sehr präzise beobachtet und prägnant dargestellt.

    Dabei hilft es übrigens nicht weiter, die beschriebenen Zustände mit Nicht-Argumenten à la „das ist halt gewöhnliche Software-Entwicklung“ zu verharmlosen. Die Probleme bei Wordpress erhalten nicht dadurch eine Rechtfertigung, dass man sie mit anderen Software-Entwicklungen, bei denen es (angeblich) ähnliche Probleme gibt, gleichsetzt.

    Zwei Beispiele dafür, dass es auch anders geht:

    1. Bei der Entwicklung von Webkit z.B. gibt es ein Dogma: eine Änderung, die die Performance auch nur ein klein wenig verschlechtert, wird nicht übernommen. Basta, egal wie toll ein neues Feature angeblich ist. Was kommt dabei raus? Mit Safari z.B. ein Browser, der sowohl auf Mac OS als auch auf Windows bei Benchmarks die Konkurrenz in fast allen Disziplinen weit hinter sich lässt.

    2. Windows 7 wird von vielen wieder als ein gutes System bezeichnet, ganz im Gegensatz zum Vorgänger. Microsoft hatte, um die Qualität zu verbessern, die Zahl der Programmierer nicht erhöht, sondern drastisch reduziert. Zudem saßen immer zwei Programmierer vor einem Computer, wobei der zweite nichts anderes zu tun hatte, als zusehen und auf Fehler hinweisen – das war im Endeffekt billiger, als die Fehler im Nachhinein zu korrigieren, und vor allem wirksamer.

    Manch einer wird sagen wollen, die Beispiele passen nicht, das geht aber bei Wordpress nicht, weil […], oder, oder. Kann man alles diskutieren – nur bitte nicht schlechte Zustände damit rechtfertigen, dass es woanders auch schlecht ist. Schlimmer geht immer, obige Beispiele zeigen aber, dass es sich sehr wohl lohnen kann, wenn man Anstrengungen unternimmt, es besser zu machen.

  12. Gerrit am 6. September 2009 #

    Warum kann Matt Mullenweg nicht mal kurz aufhören, seine Millionen zu zählen und drei oder vier Entwickler einstellen, die sich ein Jahr im keller einschließen und ohne Kompromisse ein neues WordPress bauen? Es gibt Grenzen bei der rein Community-getriebenen entwicklung. Und das totschlargument »Bau halt einen fork und mach’s besser« lasse ich nicht gelten.

  13. Peter Müller am 6. September 2009 #

    Bingo.

    Vor fast zwei Jahren hattest du mal einen Beitrag mit dem schönen Titel »WordPress wird immer besser«, und ich fand das damals schon nicht.

    Als CMSystem fand ich WordPress schon immer eher Fehl am Platze, aber auch als einfaches Blog-System disqualifiziert es sich zunehmend selbst.

    Vielleicht kriegen die die Kurve ja noch, aber ich bin da ehrlich gesagt eher skeptisch.

  14. Frank am 6. September 2009 #

    Ohne lange Kommentare abzugeben, da es aus meiner Sicht das perfekte System nicht gibt und meine Wunschliste, denke nur an Core-Plugins, auch an WP zu lang wäre, trotzdem die folgende Auffassung:
    Vielleicht macht es aber auch gute Dienstleister aus, dass sie das System WordPress so aufsetzen, dass der Kunde keine Meldungen im Backend bekommt, dass das System abgeschottet ist und man nicht updaten muss als Kunde und das der Kunde nur das im Backend sieht, was er auch braucht – man kann viel mit WordPress machen, gerade darin liegt noch immer die Stärke aus meiner Sicht.

  15. Janek am 6. September 2009 #

    Ich bezweifle, dass ein Rewrite das Problem löst. So wie sich heute niemand um die Updates kümmert, wird es — fürchte ich — auch bei einem Rewrite ausgehen: Die wenigsten werden ihn einspielen.

  16. Patrick am 6. September 2009 #

    Ich teile diese Sicht nicht.

    WP ist auf Grund der äusserst starken Verbreitung ein lohnendes Ziel. Man muss in Kauf nehmen, dass man häufig updaten muss. Im Backend wird man auch AUFFÄLLIG darauf hingewiesen, wenn es ein Update gibt. Der Updateprozess muss sogar nicht mal mehr aufwändig mittels Download vollzogen werden.

    Featureitis sehe ich auch nicht. Eine frische WP-Installation ist schlank und äusserst schnell. Wenn man sich natürlich jeden erdenklichen »Mist« installieren muss… bitte schön, kann jeder so machen wie er mag.

    Und wenn man viele WP-Installationen hat, dann kann man sich WP MU installieren. Dann muss mal genau nur EINMAL updaten.

    Und Sicherheitslücken gibt es überall. Sie fallen nur schneller auf je verbreiteter ein Produkt ist. Es gibt keine(!) perfekte Software.

  17. Hypatext am 6. September 2009 #

    Holla, reißerischer Titel für einen Artikel der Probleme behandelt, die fast jedes bekanntere CMS hat. Wurde der Titel vom Adnation-Plugin generiert? ;-)

  18. Florian Fiegel am 6. September 2009 #

    Hm, etwas das mich schon lange stört. Da aber WP das Problem hat, dass Automattic hauptsächlich andere Interessen in den Vordergrund stellt, wird sich nichts ändern.

    Wer keine Ahnung hat nutzt WP und ist damit ganz gut bedient. Wer mehr Plan von Coding und Technik hat und sich nicht zu schade ist mal was anderes zu nehmen nutzt eben andere Plattformen.

    Ich nutze selbst Habari. Dessen begründende Entwickler sich vor inzwischen fast 3 Jahren genau deshalb von WP abgespalten haben. Um ein System zu bauen das auf neueste Erkenntnisse setzt und eben vornehmlich im Core entwickelt wird. Das bisherige Ergebnis ist extrem performant und schlank, wenn auch mit mancher kleinen Macke, wie das 0.x so an sich hat.

  19. tboley am 7. September 2009 #

    Ich denke, einige Kritikpunkte von Gerrit sind durchaus berechtigt und insbesondere Nutzer von WordPress tuen gut daran, sich damit in Ruhe und sachlich(!) auseinander zu setzten.

    Für mich haben sich schon vor einige Teit drei Fragen in Bezug auf WordPress gestellt:

    1. Welche Richtung soll es einschlagen?
    2. Sollte der Kern nicht mal neu geschrieben werden?
    3. Wäre es nicht gerade bei den Themes angebracht, Design und Code zu trennen?

    2. wurde bereits diskutiert und ich kann da auch nur ein deutliches ja anbringen.

    Zu 1.: kann ich nur sagen, dass sich WordPress auf seine Kernkompetenz konzentieren sollte: es ist ein gutes Blog-System. Im Bereich CMS tummeln sich ganz andere Kandidaten, die aus meiner Sicht besser geeignet sind. Nicht alles, was mit WordPress theoretisch geht, sollte man auch machen.

    Zu 3.: Auf dem WordCamp 2009 in Jena hat Matt die Entwicklung einer eigenen Templateengine für WordPress ausgeschlossen. Ich finde, dass ist nicht nur Schade, sondern der falsche Weg. Durch eine saubere Tennung von Code und Design ließe sich WordPress auch sicherer machen.

  20. macx am 7. September 2009 #

    Über WordPress und Sicherheitslücken zu sprechen und dabei Alternativen aufzuzählen ist wie über Windows und Sicherheitslücken zu sprechen (Viren und Trojaner) und Alternativen aufzuzählen, wie Mac OS X.

    Beispiel: Mac OS X ist nicht etwa sicherer als Windows, sondern Windows ist wesentlich populärer und deshalb für Scriptkids attraktiver, weil sie mehr anrichten können. Textpattern ist auch nicht sicherer als WordPress, sondern eben die unbedeutende Alternative neben dem Massenkompatiblen WordPress.

    Der Punkt ist doch der: Jedes System, welches einfach zu erweitern ist, wird erweitert und lahmt irgendwann (siehe Firefox). Finden sich mehr Leute, die es nutzen, finden sich auch mehr Leute, die es eher misbrauchen als nutzen wollen.

    Alle wollen das beste Blogsystem mit den besten Features, wollen im Gegenzug dazu aber am Besten nichts bezahlen. Die Alternative heißt also nicht ein Wechsel zu einen anderen System, sondern eher mal Geld in die Hand nehmen für Software, dann bilden sich (hoffentlich) auch Resourcen für die Sicherheit. Dann hoffentlich auch bei WordPress.

  21. Trixi am 7. September 2009 #

    Hat denn jemand schon Erfahrungen mit Habari gesammelt? Bei Dr.Web gab es auch mal einen interessanten Artikel darüber: Dr.Web

    Von WP hab ich bis jetzt auch die Finger gelassen, nachdem ich einen Blog aufgesetzt hatte, der innerhalb von 2 Tagen einen Wurm hatte. Habari klingt sehr interessant…

  22. Torsten am 7. September 2009 #

    Ist dies ein Wordpress-Problem oder würde schlichtweg jede Engine von Kundenwünschen so überfrachtet werden?

    Und: wie sieht es aus mit kompetenten Bloghostern, die Wordpress immer updaten und auch geläufige Plugins mit in ihren Support aufnehmen?

  23. martin am 7. September 2009 #

    seitdem ich das erste mal in den wordpress sourcen einen fehler finden musste, scheue ich WP wie der teufel das weihwasser. und das war 2004….

  24. Pascal am 7. September 2009 #

    Mit Wordpress 3.0 sollen Altlasten entfernt werden. Wordpress war im Backend bis Version 2.7 eigentlich recht schnell, aber das mit 2.7 eingeführte Admin Design ist echt sau langsam

  25. Sam am 7. September 2009 #

    Sehr guter Artikel. Ich habe etliche Blogs am Laufen und liebe WordPress eigentlich. Im Hinterkopf bleibt aber so ein komisches Gefühl – man kommt einfach nicht überall dazu, die Updates laufend einzuspielen. Warum kann nicht eine Version stabil genug sein (zB ein 2.7.20) dass man – sofern man nicht neue Features will – damit leben könnte?

    Ich müsste etliche Blog updaten und die automatischen Updates haben bei mir noch nie funktioniert.

  26. fwolf am 7. September 2009 #

    Nun, ich warte ab, wie sich das Pages-Plugin für Habari und die künftige Version 0.7 entwickelt. Themes für WordPress lassen sich da recht einfach konvertieren, und es gibt sogar Entwickler, die recht einfach Plugins sowohl für Habari als auch WP erstellen (vermutlich Klasse in Funktionen gewrappt für WP, in Reinkultur nur bei Habari).

    Danach klappt es hoffentlich mit einer komplett Habari-angetriebenen Website – d.h. eine meiner eigenen oder, noch besser, von einem Kunden ;)

    BTW: Usability Idealist wird ja bereits komplett mit Habari befeuert. Der Unterbau war das allereinfachste – nur das Design macht mir noch Sorgen :D

    cu, w0lf.

  27. Torsten am 8. September 2009 #

    Das Hauptproblem ist meiner Ansicht nach tatsächlich der Wordpress-Nutzer. Egal wie sicher eine (vielleicht von grundauf neu entwickelte) Blog-Software ist – ohne regelmäßige Updates bleibt diese Sicherheit irgendwann auf der Strecke. Man muss die Nutzer jeglicher Software dafür sensibilisieren, dass (Sicherheits-)Updates ein notwendiges Übel darstellen und ohne Aktualisierungen irgendwann ein Punkt erreicht ist, an dem man unweigerlich Opfer böswilliger Attakten wird. Hat man dann noch keine aktuellen Backups in der Hinterhand kann, die Arbeit von Jahren schnell verloren sein.

    Grüße,
    Torsten

  28. Ralf am 8. September 2009 #

    Ein Manko mit dem WordPress mit Sicherheit zu kämpfen hat, ist die Kompatibilität zu PHP4. Habari hat da gut lachen, es setzt zwangsweise PHP5 voraus, ist also schon vom Ansatz her im Code schwer mit WordPress vergleichbar. Zudem ist Habari noch recht »neu«, wie schon einige anmerkten gibt es dafür noch relativ wenige Plugins. Hätte Habari eine ähnliche Popularität wie WordPress, es könnte eine ähnliche Wendung mit Habari nehmen. Denn die Featurities kommt ja in erster Linie von den Benutzern die sich wirklich jeden Mist sofort in den Core wünschen (bis auf eine brauchbare Backup-Funktion die es selbst in 2.8 noch nicht gibt).

    Wer ein relativ sicheres WordPress benötigt, schnappt sich eine frühe Version (1.5 oder 2.0) und bringt den Code auf Vordermann. Sämtliche restliche Funktionalität lässt sich über Plugins erreichen.
    WordPress müsste also nicht neu erfunden, also neu geschrieben werden, sondern man müsste den Mut zu einem radikalen Downgrade haben. Den haben die WordPress-Macher aber nicht, werden ihn auch nie haben und werden einen Teufel tun sich Gedanken über eine simplifizierung von WordPress zu machen.
    Ein Grund könnte unter anderem der sein, dass je komplizierter das System ist, desto mehr Leute mit Support, Büchern und Schulungen daran verdienen können.
    Ein einfaches System kann jeder installieren und warten, dazu benötigt man weder Trainer noch Bücher. Viele WordPresser die sich des Themas auch beruflich widmen, würde so u.U. eine gute Einnahmequelle aus bleiben. Zumindest habe ich bei WordPress immer häufiger das Gefühl das es in erster Linie um Popularität und somit um Marktmacht anstatt um Sicherheit und Usability geht.

  29. Micha am 8. September 2009 #

    Der WP Killer ist schon im Anflug ;-)
    http://acquia.com/blog/drupal-gardens-pre-alpha-screencast

  30. GE am 9. September 2009 #

    Es ist immer das gleiche, Opera ist auch mal als Minimal-Browser angetreten.

    Ich würde mir wünschen, dass WP modularer aufgebaut wäre, ein minimaler Kern, mit dem man ein einfaches online-Tagebuch führen kann, alles andere als von WP programmierte Plugins.

    Es würde dann 2 Arten von Plugins geben: die WP-Plugins und die Community-Plugins.

  31. Gerrit am 9. September 2009 #

    @GE: Wobei Opera immer noch keine Bloatware ist, sondern schnell und schlank geblieben ist.

    Aber die Idee mit den zwei Plugin-Stufen finde ich sehr gut!

  32. Paul am 9. September 2009 #

    Der Artikel ist sehr informativ und ich kann viele Dinge bestätigen. Allerdings finde ich nicht das die Seiten im Backend träge sind.

    Ich kann mich nicht so zur WP Gemien zählen, ich bin lediglich Anwender und auch nicht als Entwickler bei WP tätig. Währe Open Source CMS eine alternative? Ich hab es geute in meinen Feedreader gehabt und fand zumindest den Ansatz ganz gut.

  33. Robert Hartl am 9. September 2009 #

    1. Es sind nicht die Weblogs der hier Kommentierenden, sondern die Webseiten, die man für Laien mit Wordpress umsetzt, welche ein Updateproblem haben. Die immer alle upzudaten und individuelle Plugins zu aktualisieren, lässt sich weder überschauen, noch abschätzen, allenfalls noch pauschal verkaufen.
    Am besten man lässt Google nach Wordpress und den typischen Links, die Hacker einschleusen, suchen – das sind jede Menge und Google wirft die bekanntlich schnell aus dem Index. Der sichtbare Eisberg…
    2. Als Lösung ist für mich eines klar: weniger Updates, weniger Versionssprünge, dafür robuster. Es hat sich die letzten Monate viel verbessert, teilweise in enormem Tempo, aber wirklich essentiell sind die wenigsten Neuerungen. Das meiste sind optische oder funktionale Spielereien.
    Wer viele Webseiten (zu pflegen) hat, der wird mit der Zeit sehr kritisch, wenn es um die Frage des CMS geht. Da bastelt man sich lieber noch ein eigenes für kleine Seiten, um nicht tagelang upzudaten.

  34. Dieter am 10. September 2009 #

    Aufgrund dieses Blogbeitrags und einiger Kommentare mit apokalyptischer Stimmung habe noch einmal selbst Position zu Vor- und Nachteilen (Pros und Cons) von WordPress bezogen. Nachzulesen unter WordPress: Wider dem Katastrophen-Gerede

  35. David am 13. September 2009 #

    Aus rein technischer Sicht betrachet:

    Es ist ein ziemlicher Mischmasch aus »objektorientierter« (innerhalb der Möglichkeiten von PHP 4) und prozeduraler Programmierung. Die Funktionen und Methoden sind teils riesige und damit völlig unübersichtliche Konstrukte. Dazu gibt es offenbar keine einheitlichen Code-Formatierungskonventionen, was es nur noch schlimmer macht. Teils sind auch noch mehrere Klassen in einer Datei verteilt und Variablen auf »global« gesetzt — sogar innerhalb von Klassen. Es ist teilweise wirklich furchtbar.

    Wordpress braucht einen neuen, schlanken Kern. Alles andere sollte über Plug-Ins bzw. Module geregelt werden können. Nur durch so eine konsequente Trennung wird man auf Dauer ein zuverlässiges und sicheres System haben.

    Fraglich ist da nur, ob da auch genug Plug-In-Schreiber mitziehen. In deren Mentalität herrscht wohl auch größtenteils der »Quick & Dirty«-Gedanke.

    Beispiel: ein Archiv-Plug-In für eine Auflistung aller Monate mit Einträgen jahresweise gruppiert. Ich habe mir mehrere angeschaut und alle handeln ähnlich: eine Abfrage holt sich alle Jahre mit einem Eintrag und pro Monat wird dann ein weiterer Query abgesetzt. Kurz gesagt: je länger ein Blog läuft, desto mehr Abfragen werden es. Bei meinem wären es glatte 76 SQL-Queries. Mit etwas Nachdenken und ein paar SQL-Kenntnissen, kann man aber schnell eine Lösung bauen, die insgesamt nur eine Abfrage erfordert.

    Sicher, solche »Konstruktionsfehler« werden ein Core-Rewrite und eine neue Plug-In-Schnittstelle nicht unterbinden, aber dieses Beispiel ist doch bezeichnend, wie für Wordpress oft schludrig entwickelt wird bzw. der Core selbst auch an solchen Krankheiten leidet.

    Da wird ein Rewrite wichtiger dennje, wenn man Sicherheit und Geschwindigkeit in den Griff kriegen will.

    Noch dazu würde ich die MySQL 4.0-Unterstützung komplett rausschmeißen, und min. 4.1 oder besser 5.0 verlangen. Die sind 1. schneller und bieten 2. einfach deutlich mehr Möglichkeiten mittles Sub-Selects und Sub-Queries, weitere SQL-Abfragen einzusparen und die Leistung zu optimieren. Außerdem könnte man so die Datenbanken konsequent in UTF-8 halten.

  36. Ralf am 13. September 2009 #

    @David: Das meist verwendete Wort im WP-Code ist »Deprecated«. Wer so an seinen Altlasten hängt, der wird sich neuem (und/oder besseren) nur widerwillig öffnen.

  37. fwolf am 13. September 2009 #

    @Ralf: Deswegen gibt’s Habari – dessen Entwickler hatten einfach keinen Bock mehr auf »Deprecated« und Wrapper-Funktionen für Klassen.

    cu, w0lf.

  38. Daniel am 14. September 2009 #

    @GE: Minimaler Kern aber über Module letztlich um Welten Wordpress vorraus ist Drupal. http://drupal.org
    Für die Sicherheit des Systems sorgt ein Team von Experten:
    http://drupal.org/security-team

    Ein anderes Team arbeitet aktuell an einer bisherigen Schwäche der Benutzbarkeit: http://www.d7ux.org/ Drupal wird von major Version zu Version wo sinnvoll radikal
    überarbeitet, lediglich das Inhalte übernommen werden können wird angestrebt. Das ist anstrengender, ermöglicht aber höhere Qualität

    Stabil, sicher, professionell und eine einigartige Community.
    Das sind die Gründe warum auch Global Player zunehmend auf Drupal setzen. http://buytaert.net/tag/drupal-sites

    Bastlern ohne Lust Zeit zum einlernen einzusetzen würde ich Drupal allerdings nicht empfehlen, alle anderen finden Antworten auf viele Fragen uA auf http://drupalcenter.de

  39. Ralf am 14. September 2009 #

    @w0lf: Ich glaube nicht das die WordPresser ohne Grund an ihren Altlasten hängen. Es dürfte doch wohl eher so sein, dass man sich seine lange gewachsene Community nicht verärgern will.
    Hier in den Kommentaren wurden ja schon einige Alternativen genannt. Wobei Habari nicht jedem hilfreich ist, da es PHP5 zwangsweise voraussetzt.
    Man darf nicht vergessen das mit, um und an WordPress auch eine Menge Geld hängt. Änderungen am System werden dann immer sehr vorsichtig vorgenommen um die »Kunden« (Benutzer) möglichst lange bei der Stange zu halten. Die große Community und ihre bisher vorhandene Bereitschaft gleich nach Veröffentlichung ein Update zu machen, konnte ja bislang auch über alle Sicherheitsmängel und den Code-Brei hinwegtäuschen. Jetzt stellt sich aber offensichtlich so langsam eine Update-Müdigkeit ein die ggf. das Geschäftsmodell von Automattic ins Wanken bringen könnte.
    Ich hatte mal an anderer Stelle die böse Vermutung geäußert das der letzte Wurm vielleicht ja auch von WordPress selber in Umlauf gebracht worden sein könnte um die Benutzer zu einem Update zu zwingen. Solche Vermutungen kommen bei mir sehr schnell auf wenn ich höre das außer einem Update auf die aktuelle Version keine andere Lösung für das Problem angeboten wird. Vor allem aber dann, wenn alle Versionen, ausgenommen die aktuelle, betroffen sein sollen. Die Version 2.7 ist nicht einmal ein halbes Jahr alt, da könnte man eigentlich schon erwarten dass das eine oder andere Sicherheitsloch noch gestopft wird.

    Man wird also noch viele Merkwürdigkeiten in der Politik von WordPress zu hören bzw. lesen bekommen. Es wäre z.B. durchaus möglich die Version 2.9 (oder 3.0) erst in 1-2 Jahren zu veröffentlichen und in der Zwischenzeit sich mal dem Code zu widmen um ihn zu pflegen. Aus technischer Sicht wäre das logisch und wünschenswert. Aus Sicht von WordPress und seiner Community-Verliebtheit sind neue Features und Abwärtskompatibilität jedoch wesentlich wichtiger.

    BTW: Angeblich ist der Codename von WP 3.0 ja »Deprecated« ;)

  40. Wordpress User am 17. September 2009 #

    Updaten ist ein Muss. Siehe Windows.

    Egal mit was und wie und warum.

    Nicht geupdate Software sollte gemieden werden.

    Externe Addons sind immer ein Risikofaktor.

    Macht euch nicht nur der drohende Quasistandart und
    damit die verbundene Einfachheit zu schaffen ?

    Der Wordpress Code ist übel. Insofern alles gut, wers ernst meint, kümmert sich darum das ihm das jemand einrichtet, der weiss was er tut.

    Sonst zusammentun und eine Firma gründen die das gegen Geld macht ?

  41. Dunkelangst am 16. November 2009 #

    Mich stört an diesem Artikel die offensichtlichen Mutmaßungen. Hier ein Beispiel:

    »Der gesamte WordPress-Core scheint durchtränkt von Sicherheits-Lücken, und das macht mir durchaus Angst.«

    Im ganzen Artikel sehe ich kein einziges Stück Code, mit dem du diese Aussage untermauerst. Du nagelst in meinen Augen derartige Sätze wie eine These auf deinen Blog und untermauerst diese eher Mangelhaft. Der Wortlaut »scheint« zeugt wohl auch von einer persönlichen Unsicherheit im Bezug auf diese Aussage.

    Auch der Vergleich mit einer Lawine ist für mich nicht wirklich Nachvollziehbar:

    »Jede Version kommt mit mindestens zwei bis drei neuen Features, die sich bis tief in den Core verankern und den Code auf verschiedenen Ebenen immer komplizierter machen. Dadurch wird es zunehmend schwieriger, Optimierungen vorzunehmen und ordentlich aufzuräumen, da es zu viele Abhängigkeiten gibt. Ich vergleiche es gerne mit einer Lawine, die immer mehr Schnee aufnimmt und mit immer mehr Gewicht und Tempo in eine bestimmte Richtung rollt. Sie ist irgendwann nicht mehr aufzuhalten, und ich sehe WordPress längst in einem Stadium, wo eine physische Konfrontation mit einem Bergdorf nicht mehr aufzuhalten ist.«

    Natürlich wird jedes Stück Software störanfälliger je mehr Code diese enthält. Auch kann ein großes Stück Software leichter kompromittiert werden als ein kleines Stück Ein-Zeilen-Code. Der Mittelweg kann daher nur lauten: So wenig wie möglich, so viel wie nötig. Ich finde, dass WordPress hier einen ganz guten Weg geht: Das Kernstück ist nicht so groß, kann aber durch viele Plugins erweitert werden…

    Genau den selben Weg geht der Linux-Kernel auch. Es gibt viele Kernfunktionen und viele weitere die man als Modul laden muss… Der heutige Linux-Kernel hat mehr als 50 MB Volumen angenommen. Vorbei die Zeiten, dass dieser nur auf eine Diskette passt. Die Linux Lawine rollt und rollt und rollt und ist nicht zu stoppen. Ist dies jetzt Negativ? Wie häufig wurde Linux in den letzten 20 Jahren wohl auch die sichere Katastrophe prophezeit?

    Ich kritisiere WordPress auch, denn WordPress ist mit Sicherheit nicht frei von Kritik. Den aktuellen sogenannten Feature Freeze von WordPress 2.9 kann ich beispielsweise nicht im Ansatz nachvollziehen. Doch im Gegensatz zu Ihren beiden Text-Passagen gebe ich mal Butter zu die Fische und nenne das Kind auch beim Namen [1].

    Hochachtungsvoll

    [1]: http://www.dunkelangst.org/2009/10/27/bauchschmerzen-beim-upgrade-auf-wordpress-2-9/ – Abschnitt: WordPress 2.9 – Welcher Feature Freeze?

  42. kaiser am 24. November 2009 #

    @GE:

    der Idee läuft mein Hirn auch schon ewig nach. Ich persönlich verwende WP max. in Verbindung mit Pods oder gänzlich ohne Plugins. Da ich nie! Blogs baue, sondern es nur als CMS mit einer leicht verständlichen Oberfläche verwende wäre mir ein abscchlanken echt willkommen. Funktionen wie zB Kommentare brauche ich niemals. Das wäre wirklich wünschenswert. Sollte es aber wirklich so sein, dass WPMU mit WP 3.0 verschmilzt, dann muss ich mir glaub ich auch einmal Drupal oder so anschauen.

  43. Matthias am 31. Januar 2010 #

    Dein Beitrag lässt mioch dann eher abwarten was den Umstieg auf Wordpress betrifft. Die Volagen von Blogger.com sind nicht so prickelnd, darum hatte ich nämlich überlegt etwas Professionelleres zu nehmen.

  44. Melanie am 16. November 2010 #

    Danke für diesen lesenswerten Beitrag.Hat mir sehr geholfen.

  45. Didi am 5. Dezember 2010 #

    Ich nutze auch mehrere Blogs, allerdings aus deiner Sicht habe ich das noch nicht gesehen, finde dies aber sehr interessant und es regt zum nachdenken an.

  46. Manuel am 30. Januar 2013 #

    Auch wenn dein Beitrag schon älter ist…. erstmal Kompliment, sehr gut geschrieben.
    Und auch endlich mal jemand der Thema Sicherheit angesprochen hat. Gibt es da irgendwelche neuen Möglichkeiten? Ständig kommen irgendwelche… in die Blogs und kurz drauf nimmt der Provider erstmal den Blog vom Netz…. Wie schützt ihr euch?

Kommentar schreiben

Nutzt Textile zum Strukturieren eures Textes.
SEO-Beiträge werden gelöscht, auch bei thematisch passendem Spam.