Web-Boulevard

Warum ich keine WordPress-Seiten mache!

Ab und zu werde ich gefragt, ob ich nicht eine Website mit WordPress machen könnte, wegen "der tollen, vielen Plugins/Themes/Features und weil Bekannte auch so zufrieden sind". Viele meiner Mitbewerber reagieren auf diese Nachfrage und bieten daher bevorzugt WordPress als CMS an, weil sie mit relativ geringem Aufwand schnelles Geld verdienen können. Ich nicht. Warum eigentlch nicht?

Genauso oft werde ich nämlich auch gefragt, ob ich eine WordPress-Seite "reparieren" kann, weil sie "irgendwie kaputt ist". Denn was die meisten Kunden nicht wissen: WordPress steht in Fachkreisen wegen seiner hohen Verwundbarkeit immer wieder in der Diskussion. Irgendwo las ich sogar mal "WordPress ist eine Krankheit". Allein im Jahr 2012 waren 117.000 WP-Seiten von Hacker-Angriffen betroffen. 2013 galten laut einer Studie 70% aller bei der Suchmaschine Alexa gelisteten WordPress-Installationen als verwundbar. 2016 hat ausgerechnet ein automatisches Update-Feature, das eigentlich für nahtlose Sicherheit sorgen sollte, Hackern die Schleusen geöffnet. Bis Version 4.7.2 wurde eine gefährliche Sicherheitslücke, die seit Version 4.7 in der fest installierten REST API steckte, bewusst von den Entwicklern verharmlost.

Natürlich ist kein System zu 100% sicher und in vielen Fällen sind nicht das CMS oder deren Entwickler schuld an der Angreifbarkeit, sondern auch die Nachlässigkeit des Betreibers. Daher höre ich auch schon die bekannten Argumente: "Wer keine Updates macht, ist selber Schuld". Oder "Ein exzellentes Produkt ist wegen seiner enormen Reichweite ein beliebtes Ziel von Hackern". Aus der Ecke der WordPress-Agenturen heißt es sogar, WP sei eben genau wegen seiner enormen Bekanntheit das bestgepflegte CMS überhaupt – die eigentliche Gefahr gehe von den Plugins und Themes von Drittanbietern aus.

Das ist aber nur die halbe Wahrheit: Abgesehen davon, dass die Vielzahl an Plugins und Themes das System für viele Anwender überhaupt erst attraktiv machen und nicht jeder kleine Webseitebetreiber Energie in die Wartung stecken kann, ist WP auch in Zahlen verwundbarer: Zumindest wenn man sich dieses Ranking* verschiedener Content Management Systeme ansieht, bei denen es nicht um die Anzahl der Angriffe geht, sondern um die Anzahl der gefundenen Sicherheitslücken von 2005 bis heute.

WordPress: 270
Drupal: 169
Typo3: 102
joomla: 94
CMS Made Simple: 53

270 Löcher sind 270 Möglichkeiten, Schaden anzurichten. Und bei dem Ranking geht es nur um das System selbst ohne zusätzliche Erweiterungen. Wer jetzt denkt, das wäre kein aktuelles Problem mehr, muss enttäuscht werden: Das Rekordjahr war 2017 mit 46 bekannten Sicherheitslücken. Das Argument "höhere Verbreitung = höhere Aufdeckungsdichte von Lücken" mag eventuell zutreffen. Allerdings verläuft das Ranking nicht analog zur Nutzungshäufigkeit der Systeme. Also bleibt: Wer auf WordPress besteht, geht ein höheres Risko ein oder muss auf Dauer höheren Aufwand in Kauf nehmen. Besonders, wenn er das Auto-Update-Feature nicht nutzen kann oder will, weil er ihm misstraut.

Mir als mitverantwortlichem Dienstleister fehlen einfach die Kapazitäten, dieses anfällige Kind zu betüddeln. Ich setze daher auch künftig auf das schlanke, flexible und zudem weitgehend barrierefreie System CMS Made Simple, mit dem ich bislang jeden noch so individuellen Kundenwunsch erfüllen konnte. Seit 2008 habe ich nahezu 150 Projekte mit CMS Made Simple realisiert und in lediglich einem Fall kam es zu einem Schaden durch Angriffe, den der Kunde allerdings mitverursacht hat.

*Quelle: www.cvedetails.com