Alles auf Grav!
Aus! Vorbei!
Wordpress ist Geschichte.
Der Untergang begann irgendwann im Januar 2026, als es einem Hacker gelang, Schadcode auf meine Webseite zu schmuggeln. Eine ganze Weile lang blieb der Angriff unbemerkt, doch dann nahm der Code allmählich seine Arbeit auf.
Das Ergebnis war fulminant: Es wurden mehrere neue Benuzter registriert, allesamt mit vollem Admin-Zugriff ausgestattet. Und diese Benutzer begannen munter zu posten - und zwar was das Zeug hält. Das Ergebnis: sagenhafte 900 neue Blogbeiträge binnen kürzester Zeit. Jeder Eintrag bestand aus genau einem Link auf irgendwelche Casino-Seiten (vermutlich immer die gleiche, nur unter unterschiedlichen URLs).
Ich konnte die gesamte Seite zwar zunächst bereinigen, doch trotz Einsatz eines Überwachungs-Plugins für Wordpress taucht immer wieder fremder Code auf meiner Seite auf; Glücklicherweise an völlig idiotischen Stellen, die zu keinerlei Bildschirmanzeige irgendwelcher Links führen. Wie das Ganze aber in der Auswertung von Suchmaschinen aussieht, steht auf einem anderen Blatt.
Tatsache ist: Die Büchse der Pandora steht weit offen und ich bekomme den Deckel keinesfalls mehr drauf. Ein Grund dafür ist unter anderem, dass Wordpress einfach viel zu komplex ist. Alleine die Theme-Dateien sind schon ein Albtraum. Wenn hier irgendwo Code einsickert, der nicht hineingehört, dann gibt es für einen interessierten Laien wie mich kaum Möglichkeiten, diesen Code aufzuspüren.
Und die Hacks werden immer und immer wieder aktiviert. Ich nehme an, das geschieht völlig automatisiert in Intervallen. Ich mache mir auch nicht die Illusion, es mit einem menschlichen Hacker zu tun zu haben. Ich nehme an, der Hack selbst wurde schon von einem Bot vorgenommen, der willkürlich Webseiten aufruft und dort, sofern er eine Wordpress-Installation vorfindet, gezielt nach einer speziellen Schwachstelle sucht, die er bei mir wohl gefunden hat. Und nun ist der Käse gelutscht. Da half auch kein Abändern der Zugangsdaten mehr. Irgendwo steht die Hintertür offen - und ich weiß nicht wo.
Also habe ich mich nach Alternativen umgeschaut.
Seien wir mal ehrlich: Für das bisschen Dünnschiss, das ich von mir gebe (falls ich überhaupt mal was poste), bräuchte ich eigentlich nur eine halbwegs sauber programmierte HTML-Seite. Könnte ich theoretisch an einem Nachmittag hinrotzen. Wäre dann zwar ein bisschen Arbeit, das Ding zu pflegen, aber herrje! Ich bin aber nun mal ein Fan von automatisierten Systemen. Deswegen habe ich einfach mal nach einer Alternative zu Wordpress gesucht - und bin über Grav gestolpert.
Ein System, das komplett ohne Datenbank auskommt und im Rohzustand noch nicht einmal Cookies setzt? Das klang interessant. Musste ich umgehend ausprobieren.
Inzwischen wichse ich seit gut zwei Wochen mit Grav herum und bekomme einen immer besseren Einblick. Und je tiefer dieser Einblick wird, desto sympathischer wird mir das ganze Ding. Deswegen habe ich entschieden, meine alte Webseite im Scheißhaus runterzuspülen (inklusive dem ganze Schadcode, der noch darauf herumschwappt) und mein Glück mit Grav zu versuchen. Es gibt zwar noch ein paar Punkte, mit denen ich nicht zu 100% zufrieden bin, aber dafür werden sich sicherlich noch Lösungen finden. Vorerst gilt es, das ganze System mit ein paar Inhalten zu füttern, damit meine Besucher was zu gucken haben.
Also dann, tschüss Wordpress - und sagt "Hallo!" zu Grav!