WordPress & Webwork

WordPress sicherer als vermutet

Gestern las ich auf WordPress-Deutschland das laut einer Studie WordPress sicherer sei als zum Beispiel Joomla!, Drupal, Moodle, MediaWiki & Co.

Hier eine Auflistung der gefunden Schwachstellen

  1. phpBB – 100% der untersuchten Installationen zeigen kritische Schwachstellen
  2. Mediawiki – 95% der untersuchten Installationen zeigen kritische Schwachstellen
  3. Joomla! – 92% der untersuchten Installationen zeigen kritische Schwachstellen
  4. Movable Type – 91% der untersuchten Installationen zeigen kritische Schwachstellen
  5. phpMyAdmin – 85% der untersuchten Installationen zeigen kritische Schwachstellen
  6. Moodle – 74% der untersuchten Installationen zeigen kritische Schwachstellen
  7. Drupal – 70% der untersuchten Installationen zeigen kritische Schwachstellen
  8. SPIP – 65% der untersuchten Installationen zeigen kritische Schwachstellen
  9. WordPress – 4% (in Worten "vier"!) der untersuchten Installationen zeigen kritische Schwachstellen

Quelle: Netzgeist.org

Das ist ein vergleichsweise gutes Ergebnis … wenn man der Studie glauben soll. Dieses vergleichsweise guter Ergebnis resultiert meiner Meinung nach aus vielen Faktoren.

Zum einen sind die einfachen Update-Mechanismen für Plugins und für WP zu nennen, zum anderen die standardmäßige Deaktivierung der XML-RPC-Schnittstelle und die vielen Sicherheits-Tipps, die in vielen Weblogs publiziert wurden.

Vor allem der letzte Punkt schafft, nach einer Weile, auch bei einfachen Nutzern ein Sicherheitsbewusstsein und somit beschäftigen sich auch solche Nutzer zunehmend mit den Sicherheitsaspekten.

21 Reaktion(en)

  1. Marc

    Ich kann immer nur sagen jeder WP Nutzer kann froh sein über die gute Arbeit des WP Teams und die damit verbundenen Updates.

    Jepp! Mir ist bis heute kaum ein System untergekommen, welches so dermaßen sauber und kontinuierlich weiterentwickelt wurde.

    Einzige Schwachpunkte sind m.E. einige luschig entwickelte PlugIns, es liegt aber letztendlich beim Anwender sich eventuell doch mal etwas zu informieren bevor jedes x-beliebige plugin installiert wird.

  2. Christoph

    Jeder wiederholt diese Zahlen, aber habt ihr einmal in das PDF-Dokument gesehen? 51% der getesteten phpbb-Installation hatten "nur" Minor-Vulnerabilities (Bei WordPress lag dieser Prozentsatz bei immerhin 21,5%). Wobei ich auch nicht glauben kann, dass phpbb 2.x keine schweren Schwachstellen hat…

    Generell hat die Thematik auch wenig mit den Web-Applikationen an sich zu tun, sondern mit der Faulheit (aka konservative Update-Politik) der Betreiber der Sites. Wer eine Web-Applikationen einsetzt und sich einen Teufel um Updates schert, der fährt mit jeder Web-Applikationen schlecht.

  3. Fabian Künzel

    WordPress ist aber nicht nur sicher wegen der Arbeit des WP Coding Teams, sondern weil eben auch viele Menschen ausserhalb des Coding Teams sich damit beschäftigten und Beiträge Veröffentlichen, wie man WordPress noch sicherer machen kann, oder in den Sie Bugs ans Team weiterleiten.

    Natürlich trägt das WP Team einen großen Anteil, aber nur mit ihrer Arbeit, glaube ich kaum, das WordPress so sicher wäre.

    @Heuni,
    phpBB ist doch bekanntlicher weiße seit Jahren ein verbugtes Forensystem, wem wundert es da, das es so Alamierende Zahlen bekommt.

  4. Pingback: WordPress Sicherheit @

  5. Frank

    Mich erstaunen die Zahlen auch, zumal mein Name in den deutschen Sprachdateien von phpBB zu finden ist ;-)
    Bei WordPress schiebe ich es auf eine ganz naheliegende Sache: Viele Blogger sind naturgemäß stark vernetzt und erhalten sofort Infos über Updates. Dazu ist der Update- bzw. Upgradeprozess bei WP der einfachste, der mir je begegnet ist.
    Joomla 1.0 auf 1.5 dagegen aufgrund des Upgrades unglaublich aufwändig, das scheuen viele Webmaster. Bzw. die Kunden den finanziellen Aufwand. Ansonsten wird auch hier oft auf Updates verzichtet, die eigentlichen Sicherheitslücken resultieren oft aufgrund von Drittanbieter-Komponenten.
    phpBB liegt irgendwo dazwischen. Wir bieten regelmäßig Updates an, diese werden aber nicht in dem Maße installiert. Hier kommt allerdings dazu, dass viele Forenbetreiber massig Hacks installiert habe und deshalb kaum Bock auf Updates haben. Klar, Upgrade phpBB2 auf 3 ist auch nicht easy, aber deutlich leichter als bei Joomla. Und v3 ist dann vom Updateprozess her deutlich geiler zu handhaben!

  6. Pingback: Und heute mal ein gutes Wort für die ganzen Wor …

  7. Pingback: Gut eine Million Websites nach verwendeter CMS-Software untersucht - datensicherheit.de

  8. Torsten

    Okay, laut einer Studie der BILD ist die BILD ausgeglichener und fairer als andere Zeitungen …

    Sicherer ist WP ohne Zweifel geworden (es gibt da aber Zweifler), aber das so verkaufen zu wollen, halte ich für mehr als zweifelhaft.

    Das Problem werden auch weniger die aktuellen als vielmehr die veralteten WP-Installationen sein.

  9. Evelyn

    Weißt du was gemein ist?
    Gestern abend hat jemand eine Sicherheitslücke ausgenutzt und konnte die Datenbank so verändern, dass mit bloginfo('name') ein nettes Signum ausgegeben wurde. "Hack3d bySiriUS…" :(

    Ich such grad, ob der bug bekannt ist, oder eine neue Lücke. Mein WP war absolut up2date

  10. Pingback: Links der Woche

  11. Pingback: Auswahl einer Foren-Software

  12. foobar

    Als Administrator ist es mir wichtig Webseiten schon auf Dateisystemebene Serverseitig abzusichern.
    Neben open_basedir gehören restriktive Dateirechte unterhalb der Document-Roots zu den wichtigsten Mitteln.

    Leider braucht gerade die auto-Update-Funktion von WordPress ziemlich offene Dateirechte.

    Damit Webmaster auf von mir betreuten Systemen trotzdem einfach Update einspielen können, habe ich ein Plugin geschrieben, dass die Dateirechte vor einem Update aufbohrt, und danach wieder automatisch zurücksetzt.

    Plugin um wordpress abzusichern

  13. Pingback: Ratatatam – Netzleben, Webdesign, Ruhrgebiet … » Blog Archiv » Zur Sicherheit: Leitfaden für WordPress-Kunden

Die Kommentare in diesem Beitrag sind geschlossen.