Muss es immer WordPress sein?

WordPress ist sehr beliebt und weit verbreitet. Gerade darin liegen auch die Gefahren.
Vom 30.08.2018, aktualisiert am 25.07.2024, Kategorie: Webdesign

Muss es immer WordPress sein?,
Bld: Alexander Gounder auf Pixabay
WordPress ist das wohl beliebteste Content Management System der Welt. Kaum eine Webdesign-Agentur verzichtet darauf, in WordPress realisierte Websites anzubieten; fast jeder Hosting-Provider bietet eine WordPress-Installation in seinen Paketen. Doch wo viel Licht ist, ist auch viel Schatten.

Ein paar Fakten

WordPress steht in Fachkreisen wegen seiner hohen Verwundbarkeit immer wieder in der Diskussion. Allein im Jahr 2012 waren 117.000 WordPress-Seiten von Hacker-Angriffen betroffen. 2013 galten laut einer Studie 70% aller bei der Suchmaschine Alexa gelisteten WordPress-Installationen als verwundbar. 2016 hat ausgerechnet ein automatisches Update-Feature, das eigentlich für nahtlose Sicherheit sorgen sollte, Hackern die Schleusen geöffnet. Bis Version 4.7.2 wurde eine gefährliche Sicherheitslücke, die seit Version 4.7 in der fest installierten REST API steckte, bewusst von den Entwicklern verharmlost. Die Liste lässt sich endlos weiterführen.

Wer keine Updates macht, ist selbst schuld

Natürlich ist kein System zu 100% sicher und in vielen Fällen sind nicht das CMS oder deren Entwickler schuld an der Angreifbarkeit, sondern auch die Nachlässigkeit des Website-Betreibers. Daher kommen dann die bekannten Argumente: "Wer keine Updates macht, ist selbst Schuld". Oder "Ein exzellentes Produkt ist wegen seiner enormen Reichweite ein beliebtes Ziel von Hackern". Aus der Ecke der WordPress-Agenturen heißt es sogar, WP sei eben genau wegen seiner enormen Bekanntheit das bestgepflegte CMS überhaupt – die eigentliche Gefahr gehe von den Plugins und Themes von Drittanbietern aus.

An all dem mag natürlich etwas Wahres dran sein, aber hilfreich und praxisnah sind solche Kommentare nicht gerade. Darüber hinaus ist WordPress auch faktisch verwundbarer: Zumindest wenn man sich dieses Ranking verschiedener Content Management Systeme ansieht, bei denen es nicht um die Anzahl der tatsächlichen Angriffe geht, sondern um die Anzahl der gefundenen Sicherheitslücken von 2005 bis 2017. Bei dem Ranking geht es nur um das System selbst ohne zusätzliche Plugins und Erweiterungen.

WordPress: 270
Drupal: 169
Typo3: 102
joomla: 94

Diese Statistik ist nun schon etwas älter und würde vielleicht zwischenzeitlich etwas günstiger für WordPress ausfallen. Das ändert aber nichts daran, das WordPress-Seiten praktisch ständig unter Dauerbeschuss stehen. Ein Recherche zeigt: Nichts hat sich geändert. Im Frühjahr 2020 gab das Sicherheitsunternehmen Wordfence einen Hacker-Großangriff auf 900.000 WordPress-Websites bekannt. In unzähligen Fachpublikationen heißt es auch heute noch: Der CMS-Core von WordPress sei zwar sicherer geworden, aber noch immer sorgen schadhafte Plugins und veraltete Software für jede Menge Ärger.

Auf brightplugins.com ist im Artikel "Stand der WordPress-Sicherheit im Jahr 2023" beispielsweise zu lesen:




Im Jahr 2022 wurde eine schockierende Entdeckung bezüglich der Sicherheit beliebter Website-Plugins gemacht. Es wurde festgestellt, dass 26 dieser Plugins kritische Sicherheitslücken enthielten, die nie behoben wurden. Websites, die diese Plugins verwenden, laufen Gefahr, gehackt zu werden und sensible Daten zu verlieren. Diese Enthüllung beweist, dass Website-Besitzer es sich nicht leisten können, hinsichtlich der Sicherheit ihrer Websites selbstgefällig zu sein. 

Fazit: WordPress benötigt einen hohen Wartungsaufwand

Ich will so fair sein, nicht unerwähnt zu lassen, dass die größte Gefahr bei WordPress nicht das System selbst ist, sondern seine enorme Verbreitung. Auch will ich nicht behaupten, dass andere Content Management Systeme sicher und wartungsfrei wären. Am Ende gilt: Je höher die Verbreitung eines Systems, umso höher die Angreifbarkeit und der Wartungsaufwand. 

Aber was bedeutet das für meine Kundinnen und Kunden, die sich vielleicht keinen dauerhaften Wartungsvertrag leisten wollen oder können, aber dennoch nicht auf ein leistungsstarkes CMS verzichten wollen? Die Lösung liegt auf der Hand: Man entscheidet sich für ein System, welches sich gut absichern lässt und weniger verbreitet ist und damit für Hacker eher uninteressant.

Die Alternative: CMS Made Simple

Nachdem ich bereits einschlägige Erfahrungen mit Joomla, Typo3 und auch WordPress gemacht hatte, setze ich seit 2008 die meisten Webprojekte mit dem flexiblen, PHP-basierten und zudem weitestgehend barrierefreien OpenSource-System CMS Made Simple um. In diesem Zeitraum gab es noch nicht einen erfolgreichen Angriff. Sogar hoffnungslos veraltete Versionen blieben unbehelligt.

Software-Aktualisierungen sind natürlich auch bei einem verhältnismäßig sicheren System notwendig. Schon allein aus Kompatibilitätsgründen in der Serverumgebung. Ich spreche daher einmal jährlich eine Update-Empfehlung aus, deren Nutzung empfehlenswert, aber freiwillig ist.

Quellen:
www.cvedetails.com
https://www.wordfence.com
heise-online.de

Alle Blogbeiträge
Weitere Beiträge
Nach oben