Vom Reiten des toten Pferdes

Wenn du merkst, dass du auf einem toten Pferd reitest, dann steig ab!

Den Dakota-Indianern zugeschriebene Redensart

Hinweis: Dieser Text kann mehr als nur Spuren sehr gereizten Tones enthalten. Allergiker bitte ich, vom Genuss Abstand zu nehmen.

Wer ein selbstgehostetes WordPress verwendet, hat sicherlich zwischen Weihnachten und Neujahr sein Grundsystem aktualisiert. Es gab ein ernstes Sicherheitsproblem, das einen XSS-Angriff auf ein WordPress-Blog ermöglichte. Der Bugfix wurde wie gewohnt relativ schnell veröffentlicht, der Fehler wurde im offiziellen Blog beschrieben, eine genauere technische Beschreibung des Fehlers wurde dort verlinkt, und einmal davon abgesehen, dass so etwas immer auch ein bisschen nervt, sehe ich kein Problem darin, so zu verfahren. Wer hat schon gern ein gehacktes Blog? Diese Offenheit, diese Deutlichkeit und dieses entschiedene Handeln werden viel Schaden verhindert haben.

So weit zum Guten.

Und nun zum Schlechten. Also zu bbPress.

Denn bbPress hat wegen der Verwendung von BackPress genau das gleiche Sicherheitsproblem, und eine bbPress-Forensite in der gegenwärtig aktuellen Version 1.0.2 und selbst die hier veröffentlichte Alpha-Version mit Stand vom August 2010 ist auf genau die gleiche Weise angreifbar.

Um es noch einmal ganz deutlich zu sagen: Wer zurzeit ein bbPress-Forum betreibt, ist einem Hacker, der ein allgemein bekanntes Sicherheitsloch ausnutzt, schutzlos ausgeliefert. Die Foren-Site kann übernommen werden. Es ist verhältnismäßig einfach. Es ist automatisierbar. WordPress-Blogs sind teilweise davon betroffen gewesen. Es ist der Security-Ernstfall für eine Webanwendung. Man könnte sagen: Wer unbedingt ein geowntes Forum haben möchte, sollte sich jetzt für bbPress entscheiden.

Wer gar nicht weiß, was dieses BackPress ist, hier nur eine ganz kurze Aufklärung: Es handelt sich um allgemein nützlichen PHP-Code, der so erstellt wurde, dass er in vielen typischen Web-Anwendungen gemeinsam genutzt werden könnte. Ursprünglich sollten über diesen Weg einmal die vielen WordPress-artigen Projekte auf eine gemeinsame Codebasis gestellt werden, und deshalb wurde in der Version 1.0 bbPress auch auf die Grundlage von BackPress gestellt – was übrigens den Speicherbedarf pro Seitenaufbau um 40 Prozent erhöht, die Anzahl der Datenbankabfragen für ein Grundsystem ohne Plugins verdoppelt und die Wartezeit für einen Seitenaufbau ebenfalls ungefähr verdoppelt hat. Letzteres ist gar nicht so tragisch, wie es klingt, denn bbPress ist, verglichen mit anderer Software zum Betrieb einer Foren-Site, immer noch sehr sparsam und schnell. Minimalismus ist auch ein Feature, und zwar manchmal ein gewünschtes. Dass die bisherige Sicherheitsgeschichte von bbPress so erfreulich aussieht, dürfte ebenfalls in diesem Minimalismus begründet sein.

Vielleicht ist dem einen oder anderen der Konjunktiv in der Beschreibung von BackPress aufgefallen. Denn es ist alles ganz anders verlaufen, und WordPress benutzt BackPress gar nicht mehr. Die bbPress-Entwickler sind damals – sicherlich auch schon unter dem Drängen von Matt Mullenweg, aber das ist spekulativ, weil über Interna niemals etwas nach Außen kommuniziert wurde – in diese Sackgasse gegangen, und sie sind dort noch heute. Wie man an den Performance-Einbußen, die sich damit verbinden, erkennen kann, sind sie dort sehr zum Schaden jeder einzelnen bbPress-Installation und damit auch zum Schaden des Projektes. Soviel nur zu BackPress.

Die ganze Zeit, in der ich diese Site betreibe, auf der ich eigentlich nur eine deutsche Sprachdatei für bbPress anbiete, damit sich niemand diese Mühe noch einmal machen muss, schaue ich bbPress mit recht traurigen Augen beim Zerfall zu. Zum Glück hat sich bbPress in dieser ganzen Zeit als leidlich fehlerfrei und unter Sicherheitsaspekten sehr robust erwiesen. (Eine grandiose Leistung der früheren Entwickler, die wirklich für die langsamen Release-Zyklen entschädigt.) Seit bbPress unter der Leitung von Matt Mullenweg steht, der sich lieber auf sein sehr erfolgreiches Kind WordPress konzentriert – wer mags ihm verdenken, es ist das Blogsystem geworden – stagniert die Weiterentwicklung. Gelegentlich hat Matt Mullenweg mal eine große Sprechblase herausgelassen, aber diesen Worten folgte… nichts. Eine Kommunikation findet zumindest nach außen seit Monaten nicht mehr statt, und die ärgerlichen kleinen Fehler in der aktuellen Release sind zwar schon lange bekannt und beseitigt, aber niemand macht daraus den seit Monaten überfälligen Bugfix. Man nimmt es seit über einem Jahr in Kauf, dass sich bbPress-Anwender eine Entwicklerversion direkt vom Subversion-Server installieren – nicht einmal eine für den öffentlichen Test gedachte Alpha – wenn sie Abhilfe gegen ärgerliche Fehler haben möchten. Wer eine Anleitung sucht, wie man ein solches Projekt vor die Wand fährt, der sollte einfach auf die offizielle bbPress-Site gehen und sie sich an einem müßigen Tag lesend zu Gemüte führen. Genau so muss man vorgehen. Wenn man dazu noch alle Wünsche der Anwender ignoriert und dazu öffentlich seine feuchten Träume von der „Weltherrschaft durch PHP-Skripting“ träumt und wenn man einen Chefentwickler hat, der jede nur erdenkliche Web-Software nur noch als Plugin für ein ausgesprochen fettes, träges und ressourcenhungriges Blogsystem verstehen kann – was interessiert schon der Wunsch vieler Anwender nach einem kleinen, leicht handhabbaren und performanten Foren-System – denn ist der Zerfall garantiert. Das ist bbPress. Open Source wie aus der geschlossenen Anstalt. Präsentiert von den Leuten, die uns auch WordPress gegeben haben.

Aber ich habe mich auch die ganze Zeit gefragt, was wohl geschehen würde, wenn es einmal zum Ernstfall kommt, wenn ein schweres Sicherheitsproblem erfordert, dass schnell ein Fehler korrigiert und eine neue Release erstellt wird. Vielleicht bin ich etwas naiv, denn ich habe gehofft, dass in einer solchen Situation schnell und verantwortlich gehandelt würde, dass eine Security-Release binnen weniger Stunden nach Bekanntwerden des Fehlers zur Verfügung steht. Wer hat schon gern ein gehacktes Forum?

Nun, ich habe mich getäuscht:

Screenshot vom Blog der bbPress-Entwickler

So sieht heute, am 3. Januar 2011 um 7.00 Uhr morgens mitteleuropäischer Zeit das Blog der bbPress-Entwickler aus. Der letzte Blogeintrag ist vom 21. Juli des vorigen Jahres und enthält einen IRC-Log des letzten Chats, den die Entwickler miteinander führten.

[Wer die Farben im Screenshot komisch findet: Ich gestalte manchmal am Rechner, an dem ich gerade sitze, Websites, und um einen leicht zu machenden Fehler nicht zu machen, ist meine Hintergrundfarbe nicht weiß, sondern etwas eigentümlich gewählt, so dass es ich auf dem ersten Blick sehe, wenn ich für ein Element keine Hintergrundfarbe definiert habe. Bei den Gestaltern der bbPress-Site war man offenbar nicht so umsichtig, und wer ein dunkles Farbschema benutzt, hat es hier eben mit einer unlesbaren Website zu tun. Wenn das der gewünschte Eindruck ist, den bbPress bei Interessierten erwecken will – bitte! Wer einen solchen Eindruck nicht erwecken möchte, der definiert bei der Gestaltung einer Website alle Farben, wenn er eine definiert.]

Es gibt keinen Hinweis auf das bekannte Problem. Ein bbPress-Anwender wird darüber in Unkenntnis gelassen, dass er gerade eine gefährliche Software auf seinem Server laufen lässt und dass er doch besser bis zur Lösung des Problems eine gewisse Aufmerksamkeit darauf richten sollte, wenn es nicht möglich ist, die Foren-Site für einige Zeit vom Netz zu nehmen. Es gibt erst recht keinen Hinweis, dass daran gearbeitet wird oder wo man schnell Code herunterladen kann, der zwar noch ungetestet ist, aber doch wenigstens den Hack des Forums verhindern könnte. Es gibt nur Schweigen.

Das ist die bbPress-Kommunikationskultur, seit Matt Mullenweg dort Chef ist. Sie ist verantwortungslos und gefährlich. Ich finde sie zum Erbrechen.

Vor etwas über einer Woche hat jemand im offiziellen Support-Forum auf den Fehler hingewiesen:

Betreff: Kontakt wegen der Meldung eines sicherheitskritischen Fehlers

Es hat den Anschein, dass die Kontakt-Mailadressen und Mailinglisten nicht beachtet werden könnten. Sind hier einige Entwickler, so dass wir das Problem privat mitteilen können?

Danke.

Ich weiß natürlich nicht, wie yehgdotnet zu dem Schluss kam, dass eine Mail an eine angegebene Kontaktadresse oder an die Mailingliste einfach im Nirvana versinken könnte, aber ich kann mir schon vorstellen, wie er darauf gekommen ist – denn ich hatte dieses „Vergnügen“ auch schon und konnte mich des gleichen Eindruckes nicht erwehren. Ist ja nicht weiter wichtig, was Anwender den Entwicklern so mitzuteilen haben – ich glaube unbesehen, dass darunter auch viel „Schrott“ ist – das kann man alles mechanisch nach /dev/null verschieben. Es ist die bbPress-Kommunikationskultur, seit Matt Mullenweg dort Chef… ach, ich wiederhole mich. :(

Nun, der dann in einer Mail an _ck_ mitgeteilte Fehler wurde schon vor einer Woche gefixt, wenn auch etwas auf die Schnelle. Seit etwas über zwei Tagen ist der Fehler in der BackPress-Entwicklerversion gefixt.

Kommnikation gegenüber den „normalen“ bbPress-Anwendern? Siehe oben. Aktuelle Version von bbPress? Siehe hier:

Screenshot von der offiziellen Download-Seite für bbPress

Es wird weiterhin, auch etwas über zwei Tage später noch – und von Seiten der Entwickler gegen besseres Wissen – eine bbPress-Version mit einem bekannten und recht schweren Sicherheitsproblem zum Download angeboten. Es gibt keine Warnung, keinen Hinweis, nichts. Ein an bbPress interessierter Anwender, der dem ganz besonders deutlich hervorgehobenen Link in der Navigation…

Der Download-Link auf der offiziellen bbPress-Site

…folgt, lädt sich dort eine Software herunter, die es anderen Menschen ohne große Mühe ermöglicht, den Server zu ownen. Ungewarnt. Nicht einmal durch einen Hinweis im Entwickler-Blog aufmerksam gemacht – wenn dieses Blog überhaupt beachtet wird, etwas, was die meisten Menschen eher nicht tun. Und ich würde mich nicht wundern, wenn das auch nächste Woche noch so aussieht.

Das ist der Zustand bbPress, seit Matt Mullenweg… ach, ich wiederhole mich. :(

Ich bin ja eigentlich ein recht friedlicher Mensch, aber ich ertappe mich gerade dabei, dass ich mir wünsche, dass in den nächsten Tagen zehntausende Foren so gehackt werden, dass die Forenbetreiber es nicht übersehen können – und dass das Support-Foren von derartigen Berichten überquillt. Dann wird vielleicht einmal jemand dort auf die Idee kommen, dass man wohl mal eine Bugfix-Release machen sollte. Vielleicht aber auch nicht. Denn bei einem bekannten ausbeutbaren Problem, das bereits gefixt ist, kommt ja auch niemand auf diese Idee.

Unterdessen träumt Matt Mullenweg weiterhin feuchte Träume von seinem Foren-Plugin für WordPress – und lässt das jetzige bbPress verrecken, in einer Haltung vollkommener Gleichgültigkeit gegenüber hunderttausenden Anwendern.

Wenn du merkst, dass du auf einem toten Pferd reitest, dann steig ab!

Für mich ist dieser Zeitpunkt jetzt gekommen. Diese Website wird – wenn nicht etwas sehr Besonderes geschieht – in wenigen Tagen ersatzlos verschwinden. Ich kann niemandem mehr empfehlen, bbPress einzusetzen. Auf diesem Hintergrund noch eine deutsche Sprachdatei anzubieten, die ja zum Betreiben einer deutschsprachigen bbPress-Forensite ermutigt, wäre schizophren.

Aber ich finde es wirklich schade um eine gute, kleine Forensoftware.

Keine Registrierung im Support-Forum möglich

Nachtrag: Das Problem mit der Benutzerregistrierung scheint gelöst zu sein.

Der Niedergang des bbPress-Projektes wird leider immer deutlicher. Es ist ein kopfloses Projekt, dessen Beine sich unkoordiniert zuckend in eine durch niemanden kontrollierte Richtung bewegen – und niemanden scheint es zu interessieren, schon gar nicht Matt Mullenweg, der dieses Projekt übernommen hat, aber seine Energie eher dazu aufwändet, WordPress mit weiteren ungewünschten Features aufzufetten.

Ich bin es müde, darüber zu schreiben und würde lieber etwas Gutes über meine Lieblings-Forensoftware sagen.

Im Moment ist es nicht einmal mehr möglich, sich als neuer User im offiziellen Support-Forum von bbPress zu registrieren. Ich habe das eben nachvollzogen, indem ich einen neuen Account anlegte. Die Bestätigungsmail mit dem Passwort geht einfach nicht mehr nach draußen, sie ist natürlich auch nicht im Spamfilter zu finden. Das Gleiche gilt dort für die Mails zum Zurücksetzen des eigenen Passwortes, wenn man es einmal vergessen hat – auch das habe ich ausprobiert.

In gewisser Weise ist dieses technische Verfahren ja ein treffendes Spiegelbild der menschlichen Zustände dort: Man hat sich von den Nutzern „emanzipiert“.

Wer dringend Hilfe benötigt, sollte besser warten, bis dieses Problem behoben ist.

Ohne weitere Worte

This page has been deleted. The deletion and move log for the page are provided below for reference. -- Seemingly non-notable software.
Bild zum Vergrößern klicken!

Der bbPress-Eintrag in der englischsprachigen(!) Wikipedia wurde gelöscht – weil es sich anscheinend nicht um eine beachtenswerte Software handelt. Da helfen auch keine großen Namen für die nicht stattfindene Projektleitung (Matt Mullenweg) mehr, bbPress stagniert seit über einem Jahr und versinkt in der Bedeutungslosigkeit.

Schade.

bbPress 1.0.3 sollte bald kommen…

Der folgende Screenshot stammt aus dem Bugtracker für bbPress und verkündet eine wirklich gute Botschaft:

Alle Tickets sind abgearbeitet, bbPress 1.0.3 ist im Prinzip fertig

Nein, nicht die Tatsache, dass bbPress 3 Monate über der Zeit ist, soll hier die gute Nachricht sein, sondern die Tatsache, dass alle offenen Tickets abgearbeitet sind, dass bbPress 1.0.3 also so gut wie fertig ist. Natürlich sollte der kleinen Gemeinschaft der bbPress-Anwender noch Gelegenheit zum Testen gegeben werden, denn wir mögen alle eine neue Release, die nicht gleich schon wieder einen Update erfordert.

Erfreulicherweise hat sich bbPress 1.0.x als recht stabil erwiesen. Es gab in den letzten gut zwölf Monaten keine schweren Sicherheitsprobleme, die es erfordert hätten, dass mit heißer Nadel ein Fehler gefixt werden muss. So, wie es momentan aussieht, besteht kein Grund zur Eile, weder in der Fertigstellung der Release, noch bei der Installation der neuen Version, wenn sie dann fertig ist. In der Zeit mit bbPress 1.0.2 gab es in meinen Projekten drei erfolgreiche Angriffe auf WordPress-Installationen, und diese waren auf dem neuesten Stand, aber die beiden bbPress-Foren, die ich betreibe, haben sich als sehr resistent erwiesen. Das kann natürlich auch ein wenig daran liegen, dass bbPress ein „Nischenprodukt“ ist, aber meine Erfahrung lehrt mich, dass jede Websoftware mit einer bekannten Schwachstelle irgendwann einmal angegriffen wird. Die von einigen Menschen so sehr belächelte Einfachheit von bbPress, die Konzentration auf die Kernfunktionalität eines Forums, ist sicherlich auch ein Grund für diese Robustheit – denn in Sachen Software ist Komplexität das Gegenteil von Sicherheit. Das ist übrigens ein Grund dafür, weshalb man bei jedem Plugin (das ja die Komplexität der Installation erhöht) darüber nachdenken sollte, ob es für die geforderte Nutzung wirklich erforderlich oder nützlich ist.

Das heißt allerdings nicht, dass bbPress 1.0.2 frei von Fehlern gewesen wäre; es gab eine Menge kleiner, ärgerlicher Fehler (mit denen man ganz gut leben kann), einige Schwächen und auch einige richtig schwere Fehler, die in der kommenden Version 1.0.3 behoben sein werden. Einige davon seien hier als Beispiele aufgeführt:

  • Beim Löschen eines Themas wurden unter Umständen auch Posts aus anderen Themen gelöscht.
    Dieses Problem trat unter anderem auf, wenn in einem neu eröffneten Thema (zum Beispiel einer Spam) der initiale Beitrag gelöscht wurde und anschließend das leere Thema gelöscht wurde, was durchaus passieren kann. Das Problem war insofern „nicht so schwer“, weil ein gelöschter Beitrag in bbPress nicht verloren geht, sondern als gelöscht markiert wird und wiederhergestellt werden kann. Aber die Nacharbeit, die hinterher durch das Wiederherstellen fehlerhaft gelöschter Beiträge entsteht, ist schon sehr ärgerlich. Bei einem wenig frequentierten Forum konnte das Zurückspielen eines Backups die bessere Lösung mit dem geringeren Aufwand sein.
  • Eine Übersetzung von Plugin-Namen und -Beschreibungen war nicht möglich
  • Warnungen im Zusammenhang mit aktuellen PHP-Versionen
    Einige Programmiertechniken in bbPress funktionierten zwar unter aktuellen PHP-Versionen, führten aber zur Ausgabe von Warnungen, dass veraltete Sprachkonstrukte verwendet werden. Diese Warnungen konnten zwar abgeschaltet werden, aber für einen nicht so geübten Nutzer ist eine Software, die „Fehlermeldungen“ ausgibt, zunächst unbrauchbar.
  • Fehlerhafte und schwache Suchfunktion
    Die Forensuche hatte mehrere Fehler. Zum Einen waren die Suchergebnisse oft schwach, zum anderen wurden in den Suchergebnissen gelegentlich fehlerhafte Links auf die gefundenen Themen und Beiträge ausgegeben. Die Suche enthält viele Detailverbesserungen, am bemerkenswertesten vielleicht, dass die Ergebnisse jetzt auch nach Datum sortiert werden können.
  • Falsche Verzeichnisrechte
    Die Verzeichnisse my-plugins und my-templates wurden bei der Installation mit falschen Zugriffsrechten angelegt, so dass eine nachträgliche Korrektur erforderlich wurde.

Diese und viele andere ärgerliche Fehler werden mit bbPress 1.0.3 der Vergangenheit angehören. Von daher wünsche ich mir sehr, dass es bald zur Veröffentlichung kommt – ich habe aber leider so viel „um die Ohren“, dass sich die Fertigstellung meiner neuen Sprachdatei ein wenig hinziehen kann. Auf jeden Fall will ich versuchen, dass die Übersetzung spätestens eine Woche nach der Veröffentlichung fertig ist – und nicht drei Monate über die Zeit geht…

Aber wer bbPress verwendet, hat ja ein bisschen Geduld gelernt, und es ist sogar möglich, dass sich die offizielle Release noch einige Wochen hinzieht.

Support für bbPress 0.9 vorzeitig eingestellt

Auch, um einmal einen Eindruck in den „kommunikativen“ Stil zu geben, der mittlerweile bei den Verantwortlichen für bbPress gang und gäbe ist, hier eine schnelle Übersetzung des heutigen Beitrages von kevinjohngallagher im offiziellen Support-Forum für bbPress:

Die jüngste Version von bbPress 0.9 (bbPress 0.9.0.7) wurde im Trac gelöscht. Das bedeutet in der Tat, dass der Support für den bbPress-Zweig 0.9 beendet wurde.

Diese Änderung (besser wäre: Entscheidung) wurde vor sechs Wochen getroffen.

  • Es gab hierzu keine Meldung im Blog.
  • Es wurde kein Thema im Forum eröffnet.
  • Es wurde kein Post verfasst.
  • Ihr wurdet über diese Änderung nicht informiert.

Dank an Gautam, der eine Menge wunderbarer und ungedankter Arbeit am bbPress-Zweig 1.0.3 geleistet hat. Er veröffentlichte diese Information an Position Zwanzig in einem Thema, das nicht für würdig empfunden wurde, fixiert [und damit in die allgemeine Aufmerksamkeit gebracht] zu werden:

Schaut euch http://trac.bbpress.org/ticket/1174#comment:3 an:
Das bedeutet, dass der 0.9-Zweig nicht länger unterstützt wird.

- Gautam

Gautam, wir danken dir für deinen beispielhaften und beständigen Anteil an der Entwicklung und für deine Versuche, die bbPress-Gemeinschaft auf dem Laufenden zu halten.

Danke, Kumpel!

Ich habe schon an anderer Stelle angemerkt, dass ich angesichts des gegenwärtigen „WordPress-Stiles“ in der Kommunikation, der sich bei bbPress unter der Leitung von Matt Mullenweg eingeschlichen hat, niemanden mehr empfehlen würde, für sein Projekt bbPress einzusetzen. Auch mein eigenes Engagement wird in Kürze beendet sein, wenn nicht eine ganz außergewöhnliche Wandlung in den jetzigen Strukturen der bbPress-Verantwortlichen eintritt oder wenn nicht jemand einen Fork des jetzigen Standes mit dem Ziel einer von WordPress unabhängigen, Stand-alone-Plattform wagt. (Ich kann diesen Fork nicht bewältigen, sonst würde ich es tun.)

Die Unterstützung von bbPress 0.9 wurde bis zum Ende dieses Jahres zugesagt. Viele Anwender sind bei bbPress 0.9 geblieben, weil es die doppelte Geschwindigkeit, den halben Ressourcenverbrauch und 30 Prozent weniger Queries an die Datenbank benötigt, um die gleiche Funktion wie bbPress 1.0 bereitzustellen – und dies mit weniger kleinen, ärgerlichen Fehlern. Diese Menschen über eine derartige Entscheidung nicht zu informieren, ist schon bemerkenswert kalt. Wer glaubt, dass in einem solchen Umfeld eine Software entstehen kann, die sich an den Bedürfnissen von Menschen orientiert, die diese Software für ihre Pläne und Projekte nutzen wollen, hat sich geschnitten. Stattdessen träumt Matt Mullenweg seine feuchten Träume von der „Weltherrschaft“ durch PHP-Skripte. Wo dies im Falle WordPress hingeführt hat, lässt sich mit einer einzigen Google-Suche herausbekommen, die zurzeit in deutscher Sprache mehr als 25.000 Ergebnisse liefert. Hier nur ein Zitat aus dem ersten Treffer dieser Suche:

Als ich WP zum ersten Mal herunterlud, war die Zip-Datei gerade mal 310 KB groß. Die aktuelle Version 2.8.4 wiegt gezippt 2,24 MB. Natürlich möchte auch ich nicht zu WP 1.2 zurück, ich möchte nur ganz höflich darauf hinweisen, dass unser liebes Kind WP fett geworden ist. Und das WP-Dashboard wird auch immer langsamer. Wirklich aufgefallen ist mir die Veränderung an WP aber erst vor wenigen Tagen, als ich die Software zum x-ten Mal auf einem Server installierte und gerade einrichten wollte: Fatal Error, Allowed memory size exhausted. Hab ich vorher in fünf Jahren nicht einmal erlebt.

Das ist auch ein Blick in die Zukunft von bbPress, wenn bbPress überhaupt eine Zukunft in diesem Umfeld gegeben wird.

Mögliche Probleme mit WordPress 3.0

Einige Anwender der gegenwärtigen bbPress-Version 1.0.2 haben Probleme mit dem zweiten Release-Kandidaten von WordPress 3.0 und einer geteilten Nutzerdatenbank zwischen Blog und Foren. Diese Probleme äußern sich darin, dass eine Benutzerregistrierung im Forum nicht mehr möglich ist, während die Registrierung im Blog funktioniert. Allerdings wird den im WordPress-Blog registrierten Benutzer in bbPress die Rolle „inaktiv“ zugewiesen, so dass das Forum für diese Benutzer nicht benutzbar ist. Deshalb ist diese Form der Registrierung nicht als provisorische Lösung zu empfehlen, da sie unter Umständen erhebliche administrative Nacharbeit bedeutet.

Das Problem äußert sich darin, dass bei der (korrekten) Registrierung die Meldung angezeigt wird, dass die Angabe einer E-Mail-Adresse erforderlich ist. Es wird berichtet, dass unter nicht reproduzierbaren Umständen gelegentlich auch eine Registrierung gelingt. Es sieht aus, als würde beim Registrierungsvorgang die Mailadresse verloren gehen.

Die Ursachen dieses Problemes sind zurzeit unklar. Die Benutzerdatenbank in WordPress 3.0 ist gegenüber der gegenwärtigen Version 2.9.2 unverändert. In einigen Fällen tritt dieses Problem auf, in anderen nicht.

Auf dem Hintergrund dieser Probleme empfehle ich jeden Nutzer eines „integrierten“ bbPress, vor dem kommenden Upgrade auf WordPress 3.0 auf dem verwendeten Server (es kann sich durchaus um ein obskures Problem mit der PHP-Version, der verwendeten MySQL oder ähnlichen Komponenten handeln) eine Testinstallation durchzuführen und genau zu untersuchen, ob alle Funktionen in gewünschter Weise arbeiten. Dabei sollten auch einige Benutzerregisterungen durchgeführt werden, um zu überprüfen, ob diese korrekt sind und ob die Mail mit dem Passwort auch an die angegebene Mailadresse gesendet wird. Solche Fehler werden im Forumsbetrieb kaum auffallen, wenn sie nicht von betroffenen Benutzern nach einer gescheiterten Registrierung mitgeteilt werden. Daher ist es umso wichtiger, hier Sicherheit zu erlangen.

Generell empfehle ich, mit dem Upgrade auf WordPress 3.0 zu warten, bis der Upgrade entweder durch ein Sicherheitsproblem von WordPress 2.9.x erzwungen wird oder bis der problemlose Betrieb aller Komponenten der Website gesichert ist. Sollte hier ein Problem in bbPress vorliegen, so wird es hoffentlich schnell behoben. Auch sollte nicht vergessen werden, dass es sich beim WordPress, das zu diesen Problemen führt, noch um einen Release-Kandidaten handelt und keineswegs um eine „richtige“ Release – es können also durchaus noch kleine Fehler darin stecken, die in den nächsten Tagen behoben werden. Generell ist vom Betrieb einer „richtigen“ Website auf einem „richtigen“ Server mit einem Release-Kandidaten oder gar einer Beta-Version abzuraten.