BSI-Studie zur Sicherheit von WordPress, Drupal, Joomla! & Typo3
Das Bundesministerium für Sicherheit in der Informationstechnologie (BSI) hat eine Studie zur Sicherheit von Content-Management-Systemen (CMS) wie WordPress, Drupal, Joomla! und Typo3 herausgegeben. Für den Erfolg von Webseiten ist es wichtig, dass diese stets aktuell sind und regelmäßig neue, informative Inhalte publizieren. Dafür hat sich der Einsatz von einem Open-Source CMS als eine hilfreiche Lösung bewährt, weil hier Inhalte auch vom Eigentümer der Website ohne nähere HTML-Kenntnisse hinzugefügt werden können. Die Grundfunktionen dieser Systeme können auf die spezifischen Anforderungen angepasst und erweitert werden, so dass auch ziemlich komplexe Strukturen relativ einfach und somit kostengünstig realisiert werden können.
Doch je komplexer das System einer Website wird, desto höher wird der Grad an möglichen Schwachstellen, über die Angreifer in ein System eindringen und dieses für eigene Zwecke missbrauchen könnten. Wer über ein paar Jahre Erfahrung mit der Arbeit und Administration von CMS-Systemen verfügt und damit schon erfolgreiche Projekte im Web umgesetzt hat, ist sich dieser Problematik ganz bestimmt bewusst.
Grundsätzlich haben sich alle vom BSI untersuchten CMS im Test ganz gut geschlagen. Hauptsicherheitsrisiken sind Plugins und mangelhafte Konfigurationen, so dass wir dafür ausreichend Zeit einplanen sollten. Benutzerdaten sollten durch https geschützt übertragen werden und nicht in der selben Datenbank, in der sich auch das CMS bedient, gespeichert werden. Drupal ist nach den Autoren sicherheitstechnisch wohl am weitesten ausgreift. WordPress ist kaum schlechter, bringt jedoch noch nicht die gleichen Standards wie Drupal im Basispaket mit und bedarf mehr Anpassung. TYPO3 ist für große Unternehmen am besten ausgereift. Jedoch war der Anteil aufgedeckten der Code-Execution Schwachstellen, nach der BSI-Studie das schwerwiegendste Problem, in den letzten 3 Jahren bei Joomla! und Typo3 am höchsten. Welches CMS auch verwendet wird: Weil sich alles schnell weiterentwickelt und man immer von noch unentdeckten Schwachstellen ausgehen muss, sind regelmäßige Updates und Checks Pflicht für alle.