Wordpress Flaw und Gratiswerbung für Publii
Wordpress ist wieder einmal verwundbar und bedroht potentiell 1 Millionen Installationen. Dieses Mal ist das WordPress-Plug-in W3 Total Cache der Übeltäter. Gerade unbedarfte User sind regelmäßig überfordert, wenn es um die Absicherung von Cache, Datenbank und Plugins geht. Mit Publii haben sie weder Cache noch Datenbank, sondern nur statische Seiten, um die sich Anfänger nicht groß kümmern müssen.
Wordpress, Klappe die 357.635igste. Wieder einmal ein verwundbares Plugin, das für Stress sorgt. "Sind Attacken erfolgreich, können Angreifer auf eigentlich abgeschottete Informationen zugreifen. Admins sollten die dagegen abgesicherte Version installieren", schreibt Heise.de. Die 🇬🇧 Sicherheitslücke (CVE-2024-12365) trägt den Bedrohungsgrad "hoch" und liegt in der Funktion is_w3tc_admin_page, der dummerweise eine Überprüfung fehle, wie Heise schreibt:
Vor der Schwachstelle warnen Sicherheitsforscher von Wordfence in einem Beitrag. Die Lücke (CVE-2024-12365) ist mit dem Bedrohungsgrad "hoch" eingestuft. Weil in der
is_w3tc_admin_page-Funktioneine Überprüfung fehlt, können Angreifer dort auf einem nicht näher beschriebenen Weg ansetzen.
Die Sicherheitslücke ist aber nur unter gewissen Voraussetzungen ausnutzbar:
Das klappt aber nur, wenn sie bereits Zugriff auf Subscriber-Ebene haben. Ist das gegeben, können sie unter anderem unberechtigt Informationen einsehen. Das Plug-in soll bis einschließlich der Version 2.8.1 verwundbar sein. Nun ist die gegen die geschilderte Attacke geschützte Ausgabe 2.8.2 erschienen.
☕ Pause machen mit Publii
Publii hingegen ist ein statisches CMS, das keine Datenbank braucht, um die Seite Adhoc bei Aufruf eigens zusammenzubasteln. Einen Cache braucht es auch nicht, weil es wegen der fertig auf dem Server liegenden, statischen Seiten nichts zu puffern gibt. Alle Seiten werden stets gleich schnell ausgeliefert - und das ist verdammt schnell. Unerreichbar schnell für ein dynamisches System wie Wordpress & Co.: Die Seiten sind eben schon fertig und müssen nicht noch durchgewürfelt und passend zum Kunden mit Werbung versehen werden und so weiter und so fort.
💪 Flexibel bleiben mit Publii
Darüber hinaus sind Sie nicht auf einen speziellen Anbieter wie Wordpress angewiesen: Sie können jederzeit umziehen und sogar Gratis Hosting-Angebote wahrnehmen wie etwa Netlify. Auch sind Sie nicht auf drölfzig kostenpflichtige Plugins angewiesen, um ein brauchbares Ergebnis zu erzielen, weil Wordpress selbst die lausigen Favicons zu monetarisieren gedenkt.
s3n🧩net jedenfalls benutzt kein einziges kostenpflichtiges Plugin!
Darüber hinaus können Sie offline arbeiten, weil es sich bei Publii um ein Desktop CMS handelt. Im Zweifel lassen sich die Arbeiten schnell hochladen, sobald sich das Funkloch verzogen hat.
Und was sie an Flexibilität durch das statische System einbüßen, können Sie durch das Einbinden von externen Diensten wettmachen wenn nötig: So haben wir mit Publii in Verbindung mit dem kostenlosen Gloriafood von Oracle eine veritable Restaurantseite mit Onlinebestellsystem gebastelt (mittlerweile offline, da Betrieb coronabedingt eingestellt).
🏁 Fazit
Wenn Sie nur einen einfachen Blog oder eine sogenannte Visitenkarte im Web umsetzen wollen, können Sie es gar nicht besser treffen als mit Publii. Je umfangreicher, komplexer und spezifischer Ihre Anforderungen an Ihre Webseite, desto eher schlägt das Pendel Richtung Wordpress & Co aus, was aber noch lang kein Hinderungsgrund sein muss.
Hinzu kommt, dass wir Publii als eines von zwei Main Topics (KDE & Publii) so gut wie möglich begleiten und auch für gelegentliche Fragen in den Kommentaren zu haben sind. Zusammenfassend lässt sich aber konstatieren, dass Publii in den letzten Jahren die gröbsten Kinderkrankheiten ausgehaucht hat, man bedenke die aktuelle Versionsnummer: 0.46.3
In diesen Sinne:
s3n🧩net wünscht viel Vergnügen beim Kreieren Ihrer schnellen & sicheren Webseite
Comments