WordPress 2.3 telefoniert nach Hause

Höchstwahrscheinlich wird heute die neueste Version von WordPress zum Download freigegeben. Neben neuen Features wie der Kategorisierung durch Tags und einer leicht umgekrempelten Datenbankstruktur wird auch die Updatebenachrichtigung (“Update-Monitor”) durch eine interne Lösung ersetzt, die nicht nur bei WordPress, sondern auch bei allen Plugins auf neue Versionen hinweist.

Dies stößt im offiziellen deutschsprachigen WordPress-Forum auf Kritik. User Morty hat herausgefunden, welche Informationen an WordPress.org während des Update-Checks übermittelt werden:

• Versionsnummer von WP und Plugins
• Liste aller installierten Plugins
• Liste aller aktiven Plugins
• Die URL des Blogs

Wozu braucht WordPress.org solch detaillierte Informationen? Warum wird meine URL übermittelt? Und viel wichtiger: Warum geschieht das alles automatisch, ohne den User vorher über den Vorgang zu informieren?

Nicht nur datenschutzrechtliche, sondern auch Sicherheitsaspekte spielen hier eine Rolle. Was, wenn WordPress.org gehackt wird und die Daten in falsche Hände geraten? Stellen wir uns folgendes Szenario vor: Ihr habt ein älteres Plugin installiert, das – sagen wir – erst ab Version 1.3 wirklich sicher ist. Leute mit bösen Absichten könnten mit der Liste von WordPress.org genau die Blogs herausfiltern, die mit dem unsicheren Plugin unterwegs sind und allmöglichen Missbrauch damit treiben.

Immerin gibt es bereits jetzt Plugins / Hacks, die WordPress’ Nach-Hause-Telefoniererei einschränken, abschalten oder mit falschen Informationen füttern:

• Disable WordPress Core Update (Plugin)
  
• Disable WordPress Plugin Updates (Plugin)
  
• WordPress 2.3 – Anonym up-to-date bleiben (my-hacks.php)