Plugin-Blacklist: Diese Plugins kann ich nicht empfehlen

Jeder kennt diese Blog-Artikel, die mit „Die Top 5-Plugins für…“ anfangen. Aber keiner schreibt auf, welche Plugins man nicht nutzen sollte. Bis jetzt.

Ich präsentiere: meine ultimative (und subjektive) Liste von WordPress-Plugins, von deren Benutzung ich dringend abrate.

Generelle Überlegungen

Bevor ich zu konkreten Plugin-Nennungen komme, vorab noch ein paar generelle Überlegungen, wann Plugins eingesetzt werden sollten und wann nicht.

  • Plugin-Sparsamkeit: je weniger Plugins, desto besser. Je zielgerichteter das Plugin das eigene Problem löst, desto besser.
    Weniger Plugins bedeuten weniger Angriffsfläche auf die eigene Website. Und je weniger Funktionen das Plugin hat, die man nicht braucht, desto effizienter (schneller / performanter) kann die Website mit dem Plugin ihre Arbeit verrichten.
  • Aktuelle Plugins: Software muss gepflegt und gewartet werden, dazu gehören auch WordPress-Plugins. Solche, die länger als zwei Jahre kein Update mehr bekommen haben, sollten nicht mehr eingesetzt werden. Im Plugin-Verzeichnis wird bei solchen Plugins ein Warnhinweis angezeigt. Zur Überprüfung der bereits installierten Plugins eignet sich „No longer in Directory„.
  • Viele Installationen und gute Bewertungen: Nicht immer deuten viele Installationen auf ein gutes Plugin hin (siehe unten), doch häufig ist es ein Anhaltspunkt (von vielen). Denn der Plugin-Autor kann nicht soviel falsch gemacht haben, wenn viele Benutzer sein Plugin einsetzen und dabei die Bewertungen noch hervorragend sind.
  • Kompatibilität: Im Plugin-Verzeichnis wird für jedes Plugin auch die Kompatibilität zur aktuellen WP-Version angegeben. Diese Information wird vom Autor selbst gepflegt. Sind die Informationen an dieser Stelle nicht aktuell, sollte man dies mit in die Bewertung für das Plugin einbeziehen. Allerdings ist dies ein nicht so dramatisch wichtiger Punkt, da die Kompatibilität trotzdem oft gegeben ist, auch wenn der Autor die Angabe noch nicht nachgepflegt hat.
  • Support: Schlussendlich kann man sich das Support-Forum des Plugins im Plugin-Verzeichnis anschauen. Ist der Support durch den Autor schnell und zuverlässig? Wie viele Beschwerden zu Bugs gibt es? Denn obwohl die Plugins kostenlos sind, als Anwender freut man sich, wenn bei Problemen schnell geholfen wird.

Genug der Allgemeinheiten. Hier kommt nun meine konkrete Plugin-Blacklist:

Akismet

blacklist-akismet

Akismet ist ein Anti-Spam-Plugin und jede neue WordPress-Installation hat dieses Plugin vorinstalliert. Im amerikanischen Raum wird das Plugin auch sehr gerne eingesetzt, weswegen es häufig in Top-10-Pluginlisten auftaucht.

Doch in Deutschland ist der Einsatz von Akismet aus Datenschutzgründen nicht erlaubt! Das Plugin sendet Kommentare inklusive IP-Adressen an Server in den USA, um den Spam-Gehalt zu überprüfen, doch gerade das ist so ohne Weiteres in Deutschland nicht erlaubt.

Zwar gibt es das Plugin Akismet Privacy Policies von Inpsyde, um die notwendige Zustimmung des Kommentarschreibers einzuholen, jedoch würde ich mir dieses Plugin ganz sparen und stattdessen auf Antispam Bee setzen. Das Plugin bietet viele Möglichkeiten der Spam-Absicherung und ist tausendfach erfolgreich im Einsatz. Aber Vorsicht: Auch Antispam Bee hat eine Funktion, die in Deutschland nicht erlaubt ist. Für eine Benutzung in Deutschland sollte die Funktion „Öffentliche Spamdatenbank berücksichtigen“ immer ausgeschaltet sein!

Antispambee Spamdatenbank
Die Option „Öffentliche Spamdatenbank berücksichtigen“ in Antispam Bee ist aus Datenschutzgründen in Deutschland nicht gestattet.

Limit Login Attempts

Zum Schutz vor vielfachen, automatisierten Login-Versuchen wird häufig Limit Login Attempts empfohlen. Grundsätzlich leistet das Plugin ordentliche Arbeit, jedoch ist es schon seit langer Zeit nicht mehr aktualisiert worden. Seit über 4 Jahren hat sich der Autor nicht mehr um sein Plugin gekümmert und auch keine Informationen über mögliche Kompatibilitäten zu aktuellen WP-Versionen ergänzt.

Obwohl dieser Mangel das Plugin selbst noch nicht schlecht macht, kann ich nur davon abraten, es weiterhin einzusetzen. Mit Login Lockdown gibt es eine Alternative, die denselben Funktionsumfang hat. Das Plugin ist aktuell  und wird weiterentwickelt.

Login Lockdown
Die bessere Alternative zu „Limit Login Attempts“: das erst kürzlich aktualisierte „Login Lockdown“.

W3 Total Cache

W3 Total Cache gehört zu den Platzhirschen unter den Caching-Plugins und hat über eine Million aktive Installationen. Trotzdem taucht es nun in dieser Liste auf.

W3 Total CacheSchon im Laufe des Jahres gab es Berichte darüber, dass das Plugin nicht mehr weiterentwickelt würde. Als dann im September Sicherheitslücken auftauchten, die nicht sofort geschlossen wurden, musste dringend von diesem Plugin abgeraten werden. Mittlerweile sind wieder Updates erschienen, die auch die Lücken geschlossen haben. Ein bitterer Beigeschmack bleibt und so ist zumindest anzuraten, dieses Plugin genau zu beobachten.

Für Neu-Installationen bin ich trotzdem dazu übergegangen, alternative Caching-Lösungen zu empfehlen (WP Super Cache, WP Rocket (kostenpflichtig), Cachify, …).

Die Details dieser Story habe ich in einem eigenen Beitrag beleuchtet.

Jetpack

Jetpack

Jetpack ist ein Monster. Dutzende Funktionen bietet dieses Plugin von Automattic an, dass auf allen Installationen von wordpress.com zum Einsatz kommt. Und bitte nicht falsch verstehen: viele dieser Funktionen sind gut und nützlich. Allerdings erlebe ich häufig, dass Jetpack nur wegen einer dieser Funktionen installiert wird, die anderen Funktionen ungenutzt bleiben. Das ist ein absoluter Overkill und in dieser Form nicht notwendig. Werden wirklich nur einzelne Funktionen benötigt, gibt es dafür sehr häufig gleichwertige Alternativen.

Ein Beispiel: die Funktion, Beiträge automatisch in Social Media zu teilen (Twitter, Facenbook, usw.) kann sehr gut auch das Plugin „Social Networks Auto-Poster“ erledigen.

Dazu kommt: einige Funktionen von Jetpack sind in Deutschland aus Datenschutzgründen nicht erlaubt. Leider sieht man das den Funktionen von außen nicht an und so passiert es gerne, dass Website-Betreiber aus Unwissenheit diese Funktionen einsetzen.

So sendet auch der Schutz vor Brute-Force-Login-Angriffen Daten an Server in den USA und ist somit aus Datenschutzgründen in Deutschland nicht einsetzbar.

Fazit

Es gibt sicherlich weitere Plugins, die nicht eingesetzt werden sollten. Ich werde diese Liste weiter pflegen.

Auch bedeutet dies nun nicht, dass jeder sofort diese Plugins verbannen muss. Es ist jedoch wichtig, die jeweiligen Nachteile zu kennen und beurteilen zu können.

Es handelt sich um meine subjektive Sicht auf die Dinge, ich freue mich auf Kommentare, Anregungen und Hinweise auf weitere Blacklist-Plugins.


Über Marc Nilius

Diplom-Informatiker, 20 Jahre IT- und Web-Erfahrung, 5 Jahre intensive WordPress-Erfahrung, Mit-Organisator WordPress Meetup Köln und WordCamp Köln 2016, Wapuu-Fan

3 Kommentare:

  1. Hi,
    ganz meine Meinung. Besonders Limit Login Attempts hat mich immer geärgert, das es nicht gepflegt wurde. Das hat sich inzwischen einiges getan, es gibt eine Version gleichen Namens, eine Reload und eine WP Version, die alle drei aktuell sind. Inzwischen arbeite ich allerdings auch lieber mit All in One WP Security & Firewall.
    Jetpack mache ich übrigens die gleiche Beobachtung, die meisten kennen die Funktionen von Jetpack nicht und die Default Einstellungen werden nicht kontrolliert.

    Wolfram

  2. Ja, kann ich prinzipiell so unterschreiben, auch wenn ich Limit Logins Attempts noch lange nicht überall durch Reloaded ersetzt habe. Warum? Weil es noch immer genau das macht was es soll und es sich an diesem Punkt einfach noch nichts Wesentliches auf Seiten von WordPress getan hat.

    Es gäbe sicher noch 100+ andere Plugins, die man besser nicht nutzen sollte, aber die kennt man dann auch einfach nicht. Interessant, dass Akismet wirklich noch so oft in DE im Einsatz ist. SpamBee kennt einfach die große Masse der WordPress-Nutzer einfach nicht … schade!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Mit Absenden des Kommentars stimmen Sie der Verarbeitung und Speicherung der eingegebenen personenbezogenen Daten zu. Weitere Informationen dazu finden Sie in der Datenschutzerklärung.