Brauchen wir ein Gütesiegel für WordPress Plugins?

B

WordPress ist nicht zuletzt Dank der zahllosen kleinen Plugins (und natürlich auch Dank der vielen, teilweise sehr guten kostenlosen Themes) für die meisten Blogger das Tool der Wahl. Jeder kann schnell für ein spezifisches kleines Problem ein eigenes Plugin schreiben und zum Download bereitstellen. Heure früh habe ich bei Robert einen Link zu Comment Relish gefunden. Das Plugin sorgt dafür, dass Leser, die zum ersten Mal einen Kommentar hinterlassen eine automatisierte, aber dennoch mit vielen Parametern personalisierte Mail erhalten. Das ist grundsätzlich eine nette Funktion, jemand der aus der Passivität austritt sollte dafür gebührend gewürdigt werden. Ausserdem zeigen Studien, dass so angesprochene Leser auch gerne wiederkommen, vielleicht sogar zu regelmässigen Lesern werden. Egal – worum es mir eigentlich geht ist die Tatsache, dass eben dieses Plugin meine gesamte (und neulich erst so säuberlich bereinigte) WordPress Installation in die Knie gezwungen hat. Das Plugin verursacht bei vielen bereits in der DB gespeicherten Kommentatoren eine immense Last. Letztlich musste ich mich mithilfe meines Providers des Plugins entledigen.

Mittlerweile läuft wieder alles – aber die Frage die sich stellt ist: Hätte es nicht noch schlimmer kommen können? Hätte das Plugin nicht auch dauerhaft alles beschädigen können? Hätte es nicht sogar die Tabelle mit den E-Mail Adressen an irgendwelche Spammer/Unternehmen/Wen auch immer senden können?

Deswegen die Frage: Macht es nicht Sinn, eine Art Gütesiegel für Plugins zu vergeben? Anhand eines Kataloges von wichtige Kriterien könnten Fragen nach Performance, Sicherheit, Effizienz etc geprüft und bewertet werden. Erfüllt ein Plugin diese Ansprüche und wurde erfolgreich in einer Testumgebung geprüft erhält es das Siegel und dann von da an etwas risikofreier auch in echter Wildbahn eingesetzt werden.

Klingt so logisch, dass es das doch eigentlich schon geben müsste, oder?

27 Kommentare

  • Brauchen wir ein Gütesiegel für WordPress Plugins? Ja. Jemand müsste die Plugins/Widgets testen. Wäre gut. Wer? Wer immer sich berufen fühlt. It’s Open Source.

    PS: Open-Source-Lösungen und -Stacks werden beispielsweise schon von Anbietern wie SpikeSource oder anderen fortlaufend zertifiziert. Teilweise sogar im Crowdsourcing Verfahren. Diese Aktivitäten gibt es ja schon. WordPress Plugins/Widgets sind eigentlich nur noch in diese Programmatik und in die vorhandenen Testroutinen einzubinden. „Test & Zertifizierung“ ist beispielsweise auch ein dankbares klassisches Out/Nearsourcing Thema, Oliver ;-)… Lass uns darüber reden.

  • […] bitte die Kommentare lesen (siehe auch Olis Erfahrungsbericht), das Plugin scheint nich besonders performant zu sein und zieht den Server runter. Gibt aber […]

  • Als privater WordPressblogger kann ich da eigentlich gut drauf verzichten. Bisher war kein Plugin so schlimm, dass es mir was zersägt hätte.

    Aaaaber, ich setze ja im Job Drupal ein (und hatte Drupal ja auch mal für kurze Zeit als mein blogsystem) und da habe ich es sehr schmerzlich vermisst, dass selbst die auf Drupal.org veröffentlichten Module (so heißten Drupal Plugins) mitunter von deutlich verbesserungswürdiger Qualität waren. Das schlimmste aber war, dass man KEINEN Anhaltspunkt für die Qualität eines Moduls hatte.

    Und eigentlich ist das eigentlich gar kein großer Aufwand. Und die Drupal Association arbeitet an entsprechenden Auszeichnungen und wichtiger noch, an den entsprechenden Workflows in der Community. Ich glaube, das ist ein, wenn nicht der wichtigste Schritt von einem Open Source „Projekt“ zu einem echten Open Source „Produkt“.

  • Klar wäre ein Siegel eine super Sache und sehr hilfreich.

    Aber: Wer nimmt sich das Recht raus, Plugins in dieser Weise zu bewerten? Wer soll das überhaupt freiwillig und auf längerer Basis machen? Und warum sollte ich diesem jemand trauen, bzw. woher soll ich wissen, dass er das Plugin auch wirklich ausführlich getestet hat?

  • […] ein Plugin schreiben und wenn man das eh nur für’s eigene Blog macht, braucht man keine Qualitätssiegel. Auf 42 Zeilen hab ich eben das Plugin geschrieben, das mir zählt, wie oft ein Artikel schon […]

  • Hanebüchenes Zeug. Es gibts genügend Möglichkeiten sich im Vorfeld einer Plugin Installation über ein Plugin zu informieren (was man bei wichtiges Seiten auch durchaus machen sollte). Ich z.B. lese (oder überfliege wenigstens) alle Kommentare auf der Seite des dazugehörigen Plugins. Desweiteren gibt es ein Ratingssystem direkt bei WordPress, was auch schonmal ein Hinweis darauf gibt, wohin die Reise gehen kann. Und wenn man das alles rotzdem ignorieren will und noch nicht mal vorher eine kleine Google Abfrage starten will, dem sei empfohlen sich irgendwo eine WP Testumgebung zu schaffen und die entsprechenden Plugins dort mal schnell zu installieren.

    WordPress Plugins gibt es deshalb für (fast) jeden Anwendungsbereich, weil es gerade kein Gütesiegel gibt.

    Und wieso folgendes: „Letztlich musste ich mich mithilfe meines Providers des Plugins entledigen.“ ?? Hast du denn selbst keinen Zgriff auf deine Datenbank?

    P.S. Es gibt auch ein „Backup Plugin“ (One-Click), das dich ggfs. vor schlimmerem bewahrt: http://wordpress.org/extend... (ungetested :-) )

  • P.S. Nach dem absenden meines vorangegangenen Kommentars erhielt ich nach Captch Eingabe folgendes:

    Warning: Cannot modify header information – headers already sent by (output started at /home/web16/html/wp-content/plugins/SK2/sk2_second_chance.php:2) in /home/web16/html/wp-content/plugins/who_sees_ads/wp_ozh_whoseesads.php on line 430

    Warning: Cannot modify header information – headers already sent by (output started at /home/web16/html/wp-content/plugins/SK2/sk2_second_chance.php:2) in /home/web16/html/wp-content/plugins/who_sees_ads/wp_ozh_whoseesads.php on line 431

    Thank you. Your comment has been approved.

    Nur mal zu deiner Info. :-) Viel Erfolg

  • @Cem und _ben: Danke für das Feedback! Natürlich wäre eine eigene Association die sich wie bei Drupal darum kümmert ganz ideal und ja, Marcel, das müsste natürlich eine vollkommen unabhängige und freiwillige Instanz sein.

  • @Thomas: Nicht jeder Blogger hat eine parallele Testinstallation und die Lust/Zeit oder Kenntnisse ein Plugin darin zu testen. Insbesondere bei dem hier angesprochenen Comment Relish hätte das auch nicht so viel gebracht – es führt erst unter Last und mit voller DB zu Problemen.

    „Testsiegel“ stellen nur eine Option da – das schnelle Entwickeln und Verbreiten von Plugins will ich weder einschränken noch reglementieren. Es geht nur um eine zusätzliche Instanz die genutzt werden kann. Von Entwicklern wie auch von Nutzern.

    bzgl. des WordPress Fehlers: Das sieht aber ganz merkwürdig aus – habe ich so noch nie hier erlebt – sonst jemand? Captcha?

  • Hier auf der Seite geschrieben. Dann abgeschickt. Dann auf neuer Seite erschien die Meldung und drunter die Captcha Eingabe. Dann Catcha eingegeben und die Meldungen immernoch.

    Aber scheinbar „nur“ beim ersten Mal kommentieren. Oder?

  • Doch nicht. Eben war es doch wieder. Irgendwas stimmt da nicht. Eben erschien :
    Warning: Cannot modify header information – headers already sent by (output started at /home/web16/html/wp-content/plugins/SK2/sk2_second_chance.php:2) in /home/web16/html/wp-content/plugins/who_sees_ads/wp_ozh_whoseesads.php on line 430

    Warning: Cannot modify header information – headers already sent by (output started at /home/web16/html/wp-content/plugins/SK2/sk2_second_chance.php:2) in /home/web16/html/wp-content/plugins/who_sees_ads/wp_ozh_whoseesads.php on line 431

    Kind-a-Captcha

    Please type the code below in the input field and click on Submit (characters can only be letters from A to F and digits from 0 to 9).

  • Wer ein eigenes Blog auf einer eigenen Domain mit eigenem Webspace/Server betreibt, sollte in etwa wissen was er da macht.
    Ich meine jetzt nicht das jeder der bloggen will gleich PHP lernen muss. Aber das Bewusstsein, dass bei einem Blog mit PHP, MYSQL und der Serversoftware (Apache usw) mindestens drei verschiedene Produkte zusammenarbeiten, welche oft auch noch in den unterschiedlichsten Versionen Verwendung finden, dies sollte schon vorhanden sein.

    Ich vergleiche das mal mit Autofahren. Im Grunde genommen kann jeder Auto fahren. Wenn es ein Automatikwagen ist, ist es noch leichter. Aber am Straßenverkehr teilnehmen erfordert einiges an Wissen. Jemanden zu sagen „Hier haste die Schlüssel. Setz dich rein und fahr los. Ist ganz einfach…“ würde doch jeder halbwegs normal denkende als grob fahrlässig bezeichnen.

    Beim Bloggen hingegen wird oft der Eindruck suggeriert, dass man nur hier und da bisschen rumklicken muss und schon kann die Sause los gehen.
    Bei einem Bloghoster der sich um alles technische kümmert mag das stimmen. Auf dem eigenen Webspace sollte man zumindest grundlegende Kenntnisse haben.

    So ein Vorfall wie den von dir geschilderten, gehört für mich zum „Restriskio“ dazu wenn man eigenen Webspace/Server betreibt. Denn als Plugin-Autor kann man unmöglich alle Kombinationen von PHP-, MySQL- und Apache-Versionen mit seinem Plugin testen. Hinzu kommen noch etliche WP-Versionen und tausende von anderen Pugins die ggf. das eigene Plugin beeinflussen.

    Es gab schon einmal eine Diskussion um die Sicherheit bei WP-Plugins. Damals hatte man geraten nur Plugins von bekannten Autoren zu installieren bzw. von Autoren denen man vertraut.

    Ob ein „Gütesiegel“ einen einwandfreien Betrieb gewährleistet, wage ich zu bezweifeln. An WordPress arbeiten etliche wirklich gute Leute mit. Und ich gehe auch nicht davon aus das sie schlechte Arbeit abliefern wollen. Dennoch werden in regelmäßigen Abständen Sicherheitslücken und Fehler aufgedeckt.
    Wer garantiert das zwei geprüfte Plugins sich nicht gegenseitig behindern? Oder das trotz Gütesiegel unter bestimmten Umständen eine Sicherheitslücke geöffnet ist oder ein Fehler auftritt?

    Letzten Endes gibt es nur eine Qualitätssicherung: Solche Posts wie der von dir. Eine wirklich gute Qualitätssicherung bekommt man indem möglichst viele Blogger ein Plugin testen. Gibt es zu viele unzufriedene User, wird das Plugin kaum Verbreitung finden. Bei den guten Plugins wird es sich herumsprechen das sie problemlos laufen und sie werden sich dementsprechend weit und schnell verbreiten.

  • @Thomas: Interessant. Das scheint eine Funktion in Spam Karma 2 zu sein. Es hat Dir bei den entsprechend betroffenen Kommentaren einen sehr geringen Karma-Wert zugewiesen, in dem Fall muss (bevor der Kommentar ins Spam Nirvana wandert) ein Captcha ausgefüllt werden – das kollidierte scheinbar mit dem Whoseeads Plugin – ein durchaus ungewöhnlicher Fehler…. Danke für den Hinweis!

  • @Ralf: Du hast natürlich mit einer ganzen Reihe von Punkten recht – Blogs als kollektives Korrektiv können natürlich helfen, auch etwas Mühe und Sorgfalt bei der Recherche zu einem neuen Plugin vor dessen Verwendung ist sicherlich sinnvoll.

    Zwar denke ich auch mit meiner Konfiguration soweit alles im Griff zu haben (ausser heute, als der Server dermaßen blockiert war, dass ich weder per FTP noch per HTTP zugreifen konnte) – ein Gütesiegel könnte aber solchen Schnellschüssen vorbeugen. Gäbe es das und stieße man auf ein Plugin das eben nicht zertifiziert ist, wüsste man, dass man sicherheitshalber die Recherch- und Testroutine startet…

  • Ich habe das Plugin heute morgen auch erstmal getestet. Und es landeten unglaublich viele Mails in meinem Account. Wieviele das Mistding sonstwohin geschickt hat, weiß ich nicht. Auf alle Fälle wäre so ne Blog-Test-Stelle nicht übel!

  • Ich habe zwar bisher keine negativen Erfahrungen mit WordPress-Plugins gemacht, wäre aber grundsätzlich auch für einen Gütesiegel. So wie bei einer noch nicht finalen Version von WordPress ein Risiko besteht, kann dann auch bei einem Plugin ohne Gütesiegel ein Fehler auftreten. Plugins mit Gütesiegel sind eben dann fehlergefährderter als andere.

    Eine wirklich reale Testinstallation kann doch kaum jemand herstellen. Wenn zum Beispiel die E-Mail-Adressen der Kommentatoren genutzt werden, wäre das höchst ungünstig zu testen.

  • Also ich denke auch, dass eine Art Gütesiegel der Verbreitung von WordPress nur zuträglich sein kann. Deswegen sterben ja die nicht zertifizierten Plugins nicht aus. Wenn einem das eine Plugin mit Gütesiegel nicht zusagt kann man immer noch ein nicht zertifiziertes testen.

  • ich würde ein gütesiegel sehr begrüssen. viele plugins sind nur so gespickt mit versteckten sachen, die den server extrem belasten.

    nicht alle plugins werden auf wordpress.org oder wordpress-deutschland.org gelistet. damit fällt auch die userbewertung weg.

    heute habe ich einen plugin installiert, der es dem leser ermöglicht meine einträge in miter-wong, del.icio.us usw. zu posten. im code stehen sachen die mich stutzig machen.

    zb. steht die url+zusatz des plugin-machers mehrmals drin (nicht nur im info berreich). vielleicht hat der programmierer den plugin so geschrieben, damit es seine webseite im google, durch versteckte verweise, nach oben puscht. (spekulation)

    ich sage jetzt bewusst nur „vielleicht“, da ich php nicht beherrsche und nicht genau weiss wie alles funktioniert.

    ich werde den plugin jedenfalls von einem php-programmierer überprüfen lassen.

  • […] Design/dem Sourcecode einfach schrecklich. Es kam dann auch bei mir die Frage auf, die sich Oliver auch schon gestellt hat: “Brauchen wir ein Gütesiegel für WordPress Plugins?”, aber das […]

  • […] Brauchen wir ein Gütesiegel für WordPress Plugins? : agenturblog.de … interessante Diskussion .. ich meine, es wäre kein Schaden, eines zu haben … (tags: wordpress test) […]

  • Eine wirklich reale Testinstallation kann doch kaum jemand herstellen. Wenn zum Beispiel die E-Mail-Adressen der Kommentatoren genutzt werden, wäre das höchst ungünstig zu testen.

  • […] Brauchen wir ein Gütesiegel für WordPress Plugins? […]

Instagram