Sicherheitstechnisch bedingte Einschränkungen

Warum wir keine Plugins zulassen:

Jedes Plugin, und sei es zu Testzwecken auch nur noch so kurz aktiviert gewesen, hinterlässt Reste in der Datenbank und wirkt sich somit negativ auf die Performance aus. Eventuell unbekannte Wechselwirkungen könnten zudem die gesamte Webseite offline nehmen.

Sollten Sie Plugins suchen, können Sie uns gerne kontaktieren. Unter Umständen haben wir schon eine passende Erweiterung im System.

Alternativ, wenn Sie ein Plugin testen wollen, sollte dies in einer autarken Testumgebung stattfinden, in der auch keine Produktiv-Daten liegen. Dies, um im Falle eines Trojaner-Plugins ein Datenleck zu vermeiden.

Plugins werden von Dritten, in der Regel eher unbekannten Personen oder Firmen auf aller Welt entwickelt. Die meisten Plugins erreichen keine hohe Verbreitung (weniger als 50.000 Installationen) da sie entweder Nischen-Plugins oder offensichtlich fehlerhaft sind. Dennoch werden oft auch die fehlerhaften Plugins zum „testen“ installiert, bis man die Probleme selber bemerkt. Auch weicht der Kenntnisstand der Entwickler oftmals erheblich von geltenden Konventionen, Sicherheitsrichtlinien und Empfehlungen und den beispielsweise von den Entwicklern von WordPress definierten „Best-Practices“ ab.

Plugins können entweder bereits bei der Installation oder im Zuge späterer Updates erhebliche Sicherheitsmängel aufweisen, die es Angreifer ermöglichen können, Inhalte im Namen der Seitenbetreiber zu erstellen, bestehende Inhalte zu modifizieren, schadhafte Software hochzuladen, Datenbankinhalte mit Benutzerdaten, Daten von Kontaktformularen und weitere Dinge auszuspähen. Auch können Plugins von Entwicklern so gestaltet worden sein, dass sie absichtlich Hintertüren öffnen oder willkürlich und unkontrolliert Daten „nach Hause schicken“.

Eine zentrale Prüfung, wie man es beispielsweise bei den App-Stores kennt, gibt es großteils nicht. So fallen ungewöhnliche Verhalten insbesondere bei Nischen-Plugins kaum auf.

Sollten Sie ein eigenes Plugin in Ihrer produktiven Webseite nutzen wollen, so muss dieses Plugin aus diesem Grunde eine kostenpflichtige Code-Review durch uns durchlaufen. Ein kostenpflichtiger Code-Review fällt bei jedem Update des Plugins an.