WP Umbrella Logo

Der FAIR-Paketmanager: Kann WordPress sich selbst dezentralisieren?

Medha Bhatt
-

Im September 2024 geschah etwas noch nie Dagewesenes in der WordPress-Welt: Der Zugriff auf wichtige Website-Updates wurde für Tausende von auf WP Engine gehosteten Websites plötzlich blockiert.

Ungeachtet der Debatte, die sich entspann, fiel eine Tatsache auf: Ein erheblicher Teil der WordPress-Nutzer war gezwungen, Plugins und Themes manuell zu aktualisieren oder nach anderen Lösungen zu suchen. Der Vorfall deckte ein tieferes Problem auf, mit dem WordPress seit Jahren stillschweigend zu kämpfen hatte: die Zentralisierung. 

Da Plugin- und Theme-Updates über einen einzigen Verteilungspunkt gesteuert werden, gefährdet jede Störung dieses Systems Millionen von Websites. Sollte WordPress jemals ausfallen oder einem koordinierten Angriff zum Opfer fallen, könnten unzählige Websites ohne Zugriff auf wichtige Updates bleiben.

Es warf auch eine unangenehme Frage auf: Was passiert, wenn eine Person die Infrastruktur kontrolliert, von der Millionen von Unternehmen abhängig sind? Die Antwort kam einen Tag vor WordCamp Europe 2025 mit dem Start des FAIR Package Manager-Projekts, eines Projekts, das die Funktionsweise von WordPress grundlegend verändern könnte.

Was ist der FAIR-Paketmanager?

Der FAIR Package Manager der Linux Foundation
Quelle: Linux Foundation

Als die WordPress-Community im September mit den Störungen konfrontiert wurde, wurde ihr klar, dass die Abhängigkeit von einer einzigen Quelle für alles eine gefährliche Schwachstelle darstellt. FAIR (die Abkürzung steht für „ Federated and Independent Repository “) ist die Antwort der Community auf dieses Problem.

Stellen Sie sich das so vor: Wenn WordPress wie ein riesiger Supermarkt für eine ganze Stadt ist, schafft FAIR ein Netzwerk miteinander verbundener Geschäfte. Wenn eines ausfällt, können Sie immer noch das bekommen, was Sie brauchen. Die Regale sehen vielleicht gleich aus, und Sie finden die gleichen Produkte, aber jetzt haben Sie Auswahlmöglichkeiten.

Was FAIR besonders interessant macht, ist, was es nicht verändert. Es handelt sich weder um einen Fork von WordPress noch um den Versuch, WordPress 2.0 zu entwickeln. Die Kernsoftware bleibt identisch. FAIR bietet lediglich alternative Wege für das Ökosystem von Plugins und Themes, die WordPress-Websites funktional machen.

Die technische Implementierung von FAIR spiegelt das wider, worauf sich Linux-Nutzer seit Jahren verlassen: Paketverwaltung über mehrere Repositories hinweg. Webhoster können ihre Mirrors betreiben, Entwickler können über mehrere Kanäle verteilen, und Nutzer profitieren von Redundanz ohne Komplexität.

Das Projekt wurde von der Linux Foundation ins Leben gerufen, einer Organisation, die fast 900 Open-Source-Projekte betreut und seit Jahrzehnten verteilte Software-Ökosysteme verwaltet. Es wird von einem dreiköpfigen technischen Komitee geleitet, das sich aus langjährigen WordPress-Mitarbeitern zusammensetzt. Die Entwicklung erfolgte über sechs Monate von bis zu 300 Mitwirkenden, darunter erfahrene WordPress-Entwickler und bekannte Namen in der Branche wie das ehemalige Yoast-Team Taco Verdo und Joost de Valk, der Matt Mullenweg und die WordPress-Governance seit dem WP Engine-Vorfall öffentlich kritisierte.

Das FAIR Package Manager-Projekt ebnet den Weg für die Stabilität und das Wachstum des Open-Source-Content-Managements und bietet Mitwirkenden und Unternehmen zusätzliche Optionen, die von einer neutralen Community verwaltet werden, sagte Jim Zemlin, Executive Director der Linux Foundation.

So funktioniert es: Bringen Sie FAIR auf Ihre Site

Trotz der technischen Komplexität der föderierten Infrastruktur von FAIR ist die tatsächliche Implementierung für WordPress-Benutzer überraschend unkompliziert.

Wo kann ich das FAIR-Paketmanager-Plugin herunterladen?

Zum Zeitpunkt der Erstellung dieses Artikels ist FAIR ein Plugin , das auf jeder WordPress-Website installiert werden kann. Es ermöglicht Nutzern und Hosting-Unternehmen die Verbindung zu dezentralen Repositories für Core-, Theme- und Plugin-Updates, Übersetzungen, Newsfeeds und andere fest codierte Dienste, die typischerweise auf WordPress basieren.

Sobald Sie das Plugin installiert haben, kann Ihre Website Updates von mehreren vertrauenswürdigen Quellen beziehen, nicht nur von WordPress. Ihr Dashboard sieht unverändert aus und Ihre Plugins funktionieren unverändert, aber die Infrastruktur, die sie unterstützt, ist nun über ein Netzwerk verteilt und nicht mehr von einer einzigen Kontrollstelle abhängig.

Eine weitere Möglichkeit, auf FAIR umzusteigen, ist die vollständige Installation von WordPress mit vorinstalliertem FAIR-Plugin. Diese Option eignet sich hauptsächlich für Hosting-Anbieter, die Neukunden die Installation von WordPress anbieten. Die meisten Nutzer bestehender WordPress-Websites können das Plugin wie jedes andere herunterladen und installieren.

Die Herausforderung der Einführung: Warum großartige Technologie nicht ausreicht

Die Frage ist nun nicht, ob FAIR technisch funktionieren kann; die Erfolgsbilanz der Linux Foundation deutet darauf hin. Die Frage ist, ob die WordPress-Community es weit genug verbreitet, um die versprochene Widerstandsfähigkeit zu erreichen.

FAIR steht vor mehreren erheblichen Hürden, die das Erreichen seiner Ziele verhindern könnten:

1. Das Netzwerkeffektproblem

FAIR steht vor dem klassischen Henne-Ei-Dilemma, das schon viele vielversprechende Technologien zum Scheitern verurteilt hat. Erst wenn es eine kritische Masse erreicht, wird es wirklich wertvoll. 

Ein paar tausend einzelne WordPress-Websites, die das Plugin installieren, werden nicht die vom Projekt versprochene Resilienz schaffen. Erforderlich ist eine breite Akzeptanz durch die Stellen, die die WordPress-Verbreitung im großen Maßstab kontrollieren.

Das liegt daran, dass sich ein normaler Nutzer in der Regel keine komplexeren Aktualisierungsprozesse wünscht; er legt Wert auf Zuverlässigkeit und Einfachheit. Ein Kleinunternehmer, der beispielsweise WordPress für seine Website nutzt, legt keinen Wert auf föderierte Repositories; ihm ist lediglich wichtig, dass seine Website zuverlässig funktioniert.

Das führt zu einem Paradoxon: Gerade diejenigen, die am meisten von FAIRs Resilienz profitieren würden, verstehen oft am wenigsten, warum sie es brauchen oder wie sie es umsetzen können. Solange größere Akteure wie Hosting-Anbieter und Agenturen FAIR nicht in großem Maßstab einsetzen, bleibt das Versprechen der Resilienz möglicherweise weitgehend theoretisch.

2. Die Realität der Infrastruktur

Die Verwaltung verteilter Repositories in der Größenordnung von WordPress stellt eine echte technische Herausforderung dar. WordPress stellt derzeit etwa 72.000 Plugins und Themes bereit, was insgesamt etwa 3,2 Terabyte an Daten entspricht, Versionsverlauf und andere Metadaten nicht eingerechnet.

Wenn Hunderte von Spiegelservern gleichzeitig mit der Synchronisierung dieser Daten beginnen, könnte dies die Infrastruktur, die FAIR schützen soll, erheblich belasten. Dies verdeutlicht ein grundlegendes Spannungsfeld: FAIR muss die WordPress-Daten spiegeln, um Redundanz zu gewährleisten. Dies erfordert jedoch eine sorgfältige Koordination, um eine Überlastung bestehender Systeme zu vermeiden.

3. Der Kompromiss zwischen Funktionen und Fragmentierung

Die zentrale Verteilung ermöglichte anspruchsvolle Funktionen, die in einem föderierten System kompliziert werden könnten. Phasenweise Einführungen, bei denen Updates zunächst einem kleinen Prozentsatz der Benutzer bereitgestellt werden, bevor sie allgemein veröffentlicht werden, sind über mehrere Repositories hinweg deutlich schwieriger zu koordinieren.

Ebenso können die Analyse- und Nutzungsdaten, die als Grundlage für Entwicklungsentscheidungen dienen (z. B. welche PHP-Versionen unterstützt werden sollen oder welche Funktionen am häufigsten verwendet werden), fragmentiert oder weniger zuverlässig werden, wenn sie über mehrere Verteilungspunkte verteilt werden.

4. Der Vertriebsgraben

Die größte Herausforderung für FAIR ist nicht technischer Natur – es ist derselbe Distributionsvorteil, der WordPress überhaupt erst zur dominanten Plattform gemacht hat. WordPress ist erfolgreich, weil es standardmäßig auf Millionen von Hosting-Konten installiert ist. Nutzer wählen WordPress nicht, sondern übernehmen es.

FAIR erfordert, dass Hosting-Unternehmen die Lösung entweder standardmäßig installieren oder aktiv bei ihren Kunden bewerben. Hosting-Unternehmen müssen jedoch ihre eigenen Überlegungen anstellen, darunter erhöhte Komplexität, potenzieller Supportaufwand und die Frage, ob ihre Kunden die Vorteile verstehen oder wertschätzen.

5. Der Zeitpunkt 

FAIR startet in einem WordPress-Ökosystem, das bereits mit KI-Disruption, zunehmender Konkurrenz durch Website-Builder wie Webflow und Framer und anhaltenden Fragen zur zukünftigen Relevanz von WordPress zu kämpfen hat. Die Aufmerksamkeit und Energie der Community sind begrenzte Ressourcen.

Ohne die Zustimmung der Hosting-Unternehmen besteht für FAIR die Gefahr, das zu werden, was viele WordPress-Alternativen geworden sind: eine Lösung, die von Entwicklern geliebt und von der breiten Masse, die die eigentliche Dominanz von WordPress vorantreibt, ignoriert wird.

Matts Reaktion auf FAIR

Innerhalb weniger Stunden nach der Ankündigung von FAIR wurde Matt Mullenweg im Rahmen seines Kamingesprächs beim WordCamp Europe 2025 mit Fragen dazu konfrontiert. Seine Antwort war erwartungsgemäß vorsichtig, aber nachdenklich.

Er räumte zwar ein, dass die Auslieferung des tatsächlichen Codes endlosen Debatten vorzuziehen sei, äußerte jedoch berechtigte Bedenken, über die jeder nachdenken sollte, der FAIR in Erwägung zieht. 

Seine Hauptsorgen galten den Sicherheitsrisiken durch mehrere potenzielle Angriffspunkte, der betrieblichen Komplexität bei der Koordinierung von Updates über verteilte Systeme hinweg sowie Fragen zu Vertrauen und Qualitätskontrolle in einer föderierten Umgebung. 

Trotz dieser Vorbehalte erkannte er auch die positiven Aspekte an: „Ich finde es großartig, dass die Leute Code ausliefern und nicht nur streiten, reden oder Blogbeiträge schreiben.“

Er lehnte FAIR nicht rundweg ab, meinte jedoch, er müsse den eigentlichen Code prüfen, bevor er irgendwelche Verpflichtungen eingehe.

Wer profitiert? FAIRs Einfluss im gesamten WordPress-Ökosystem

Die Herausforderungen bei der Einführung von FAIR sind real, aber auch die Vorteile. Sie sind jedoch ungleichmäßig über die WordPress-Community verteilt.

Entwickler und Unternehmen profitieren sofort von spürbaren Vorteilen. Hosting-Unternehmen bieten sich Chancen, aber auch neue Verantwortungen. Endbenutzer werden vor Szenarien geschützt, mit denen sie möglicherweise nie konfrontiert werden.

Diese ungleiche Verteilung könnte die größte Herausforderung für FAIR bei der Einführung darstellen: Diejenigen, die am meisten davon profitieren (Entwickler, Unternehmen), stellen nur einen kleinen Teil der WordPress-Nutzer dar, während diejenigen, die es in großem Umfang implementieren müssen (Hosting-Unternehmen), gemischte Wertangebote sehen. Schauen wir uns das genauer an:

1. Für alltägliche WordPress-Benutzer

Wenn Sie eine Website für ein kleines Unternehmen oder einen persönlichen Blog betreiben, sind die Vorteile von FAIR zwar weitgehend unsichtbar, aber möglicherweise entscheidend. Für normale Nutzer ist die Entscheidung für FAIR eher ideologischer als pragmatischer Natur. Das Plugin wird ihre tägliche WordPress-Nutzung nicht grundlegend verändern.

Das WordPress-Dashboard sieht unverändert aus: Plugins werden weiterhin automatisch aktualisiert und Themes werden auf die gleiche Weise installiert. Der Unterschied liegt in der Ausfallsicherheit: Sollte WordPress einmal ausfallen oder Zugriffsprobleme haben, erhält die Website weiterhin Updates aus alternativen Quellen. Es ist wie bei Website-Backup- Anbietern – niemand bemerkt es, bis sie benötigt werden.

Der Kompromiss ist minimal, aber real: Benutzer müssen ein weiteres Plugin hinzufügen, um die Infrastruktur ihrer Website zu verwalten und etwas komplexer zu gestalten. Für die meisten von ihnen ist dies eine Absicherung gegen Probleme, die möglicherweise nie auftreten.

2. Für Hosting-Unternehmen

FAIR könnte das Hosting-Geschäftsmodell auf subtile, aber signifikante Weise verändern. Hosts können ihre eigenen Repository-Mirrors konfigurieren und Einstellungen umschalten, um eine beispiellose Kontrolle über die WordPress-Erfahrung ihrer Kunden zu erlangen.

Dies bietet mehrere Möglichkeiten:

  • Verbesserte Leistung: Lokale Spiegel bedeuten schnellere Plugin- und Theme-Updates für Kunden
  • Verbesserte Sicherheit: Hosts können Pakete filtern, bekannte Schwachstellen blockieren oder kuratierte Repositories verwalten
  • Reduzierte Abhängigkeit: Keine Abhängigkeit mehr von der Verfügbarkeit von WordPress für grundlegende Kundenservices
  • Compliance-Vorteile: FAIR fördert die Ausrichtung von WordPress auf die DSGVO, um Datenschutz und Sicherheit durch die drastische Reduzierung der automatischen Browser-Datenübertragung zu verbessern 

Hosting-Unternehmen stehen jedoch auch vor neuen Herausforderungen. Der Betrieb von Repository-Mirrors erfordert zusätzliche Infrastruktur, Wartung und technisches Know-how. Sie müssen entscheiden, welche Pakete gespiegelt werden sollen, wie mit Updates umgegangen wird und wie diese Änderungen Kunden mitgeteilt werden, die die technischen Details möglicherweise nicht verstehen.

3. Für Entwickler

FAIR bietet Entwicklern unmittelbare und greifbare Vorteile. Es ermöglicht Entwicklern, sowohl kostenlose als auch Premium-Versionen ihrer Plugins in einem einzigen, kryptografisch signierten Paket zu bündeln. Dies könnte die Benutzererfahrung optimieren und neue Geschäftsmodelle schaffen.

Derzeit müssen Entwickler, die sowohl kostenlose als auch Premium-Versionen anbieten, die Einschränkungen von WordPress berücksichtigen und gleichzeitig separate Vertriebskanäle für kostenpflichtige Funktionen bereitstellen. FAIR beseitigt diese Hürden.

Premium-Plugins werden direkt im WordPress-Dashboard angezeigt, Details zu Schließungen oder Entfernungen von Plugins werden angezeigt. Hosts und Unternehmen erhalten Tools, um Pakete nach PHP-Kompatibilität zu filtern oder bekannte Schwachstellen zu blockieren. Dies eröffnet neue Möglichkeiten:

  • Einheitliche Distribution: Ein Paket für kostenlose und Premium-Funktionen
  • Bessere Auffindbarkeit: Premium-Plugins in Standard-WordPress-Oberflächen sichtbar
  • Verbesserte Sicherheit: Kryptografische Signatur schafft Vertrauen bei Unternehmenskunden
  • Mehrere Kanäle: Verteilen Sie über verschiedene Repositories, anstatt von der Genehmigung durch WordPress abhängig zu sein

4. Für Unternehmen

Große Organisationen stellen den überzeugendsten Anwendungsfall für FAIR dar. Für Unternehmen adressiert FAIR kritische Geschäftsbelange, darunter Lieferkettensicherheit, Einhaltung gesetzlicher Vorschriften und Risikomanagement.

Organisationen können FAIR hinter ihren Firewalls ausführen und behalten dabei die volle Kontrolle über zugängliche Plugins und Themes. Sie können jetzt:

  • Kuratieren Sie genehmigte Plugin-Repositorys für Ihre Organisationen
  • Sicherstellung der Einhaltung interner Sicherheitsrichtlinien
  • Reduzieren Sie die Abhängigkeit von externen Diensten für kritische Infrastrukturen
  • Implementieren Sie eine detailliertere Kontrolle über WordPress-Installationen im gesamten Unternehmen

5. Für WordPress-Agenturen

WordPress-Agenturen, die Dutzende oder Hunderte von Kundenseiten verwalten, nehmen eine einzigartige Position ein. Sie verfügen über das technische Wissen, um FAIR zu implementieren, müssen aber dessen Vorteile gegen die zusätzliche Komplexität der Verwaltung eines weiteren Systems abwägen.

Für Agenturen bietet FAIR eine Absicherung gegen Störungen auf Kundenseiten und potenziell neue Servicemöglichkeiten im Bereich Sicherheits- und Compliance-Beratung. Allerdings bedeutet dies auch, Kunden ein weiteres technisches Konzept zu erklären, die möglicherweise nicht verstehen, warum sie Schutz vor Problemen benötigen, die sie noch nie erlebt haben.

Der Weg in die Zukunft

FAIR stellt etwas dar, was wir in WordPress noch nie gesehen haben: eine ernsthafte, gut finanzierte Alternative zur zentralisierten Infrastruktur, die WordPress seit über zwei Jahrzehnten definiert. 

Ob dies gelingt, hängt weniger von der Technologie ab (die solide ist), sondern vielmehr davon, ob genügend Mitglieder der WordPress-Community entscheiden, dass die Versicherung die Komplexität wert ist.

Für Agenturen und Entwickler ist die Rechnung einfach: Installieren Sie das Plugin, testen Sie die Funktionsweise und entscheiden Sie, ob die Vorteile Ihren Anforderungen entsprechen. Für das breitere WordPress-Ökosystem wirft FAIR tiefere Fragen zu Governance, Unabhängigkeit und der Frage auf, welche Art von Plattform WordPress in seinem dritten Jahrzehnt sein möchte.

Die Störungen im vergangenen September, die dieses Projekt auslösten, dauerten nur wenige Wochen. Doch die Gespräche, die sie angestoßen haben – über Kontrolle, Resilienz und die Zukunft der Open-Source-Infrastruktur – stehen erst am Anfang.