WordPress sicherer als vermutet

Gestern las ich auf WordPress-Deutschland das laut einer Studie WordPress sicherer sei als zum Beispiel Joomla!, Drupal, Moodle, MediaWiki & Co.

Hier eine Auflistung der gefunden Schwachstellen

  1. phpBB – 100% der untersuchten Installationen zeigen kritische Schwachstellen
  2. Mediawiki – 95% der untersuchten Installationen zeigen kritische Schwachstellen
  3. Joomla! – 92% der untersuchten Installationen zeigen kritische Schwachstellen
  4. Movable Type – 91% der untersuchten Installationen zeigen kritische Schwachstellen
  5. phpMyAdmin – 85% der untersuchten Installationen zeigen kritische Schwachstellen
  6. Moodle – 74% der untersuchten Installationen zeigen kritische Schwachstellen
  7. Drupal – 70% der untersuchten Installationen zeigen kritische Schwachstellen
  8. SPIP – 65% der untersuchten Installationen zeigen kritische Schwachstellen
  9. WordPress – 4% (in Worten “vier”!) der untersuchten Installationen zeigen kritische Schwachstellen

Quelle: Netzgeist.org

Das ist ein vergleichsweise gutes Ergebnis … wenn man der Studie glauben soll. Dieses vergleichsweise guter Ergebnis resultiert meiner Meinung nach aus vielen Faktoren.

Zum einen sind die einfachen Update-Mechanismen für Plugins und für WP zu nennen, zum anderen die standardmäßige Deaktivierung der XML-RPC-Schnittstelle und die vielen Sicherheits-Tipps, die in vielen Weblogs publiziert wurden.

Vor allem der letzte Punkt schafft, nach einer Weile, auch bei einfachen Nutzern ein Sicherheitsbewusstsein und somit beschäftigen sich auch solche Nutzer zunehmend mit den Sicherheitsaspekten.

Diesen Beitrag teilen:

Verwandte Beiträge:

21 Kommentare

  1. Ich kann immer nur sagen jeder WP Nutzer kann froh sein über die gute Arbeit des WP Teams und die damit verbundenen Updates.

    Jepp! Mir ist bis heute kaum ein System untergekommen, welches so dermaßen sauber und kontinuierlich weiterentwickelt wurde.

    Einzige Schwachpunkte sind m.E. einige luschig entwickelte PlugIns, es liegt aber letztendlich beim Anwender sich eventuell doch mal etwas zu informieren bevor jedes x-beliebige plugin installiert wird.

  2. Jeder wiederholt diese Zahlen, aber habt ihr einmal in das PDF-Dokument gesehen? 51% der getesteten phpbb-Installation hatten “nur” Minor-Vulnerabilities (Bei WordPress lag dieser Prozentsatz bei immerhin 21,5%). Wobei ich auch nicht glauben kann, dass phpbb 2.x keine schweren Schwachstellen hat…

    Generell hat die Thematik auch wenig mit den Web-Applikationen an sich zu tun, sondern mit der Faulheit (aka konservative Update-Politik) der Betreiber der Sites. Wer eine Web-Applikationen einsetzt und sich einen Teufel um Updates schert, der fährt mit jeder Web-Applikationen schlecht.

  3. WordPress ist aber nicht nur sicher wegen der Arbeit des WP Coding Teams, sondern weil eben auch viele Menschen ausserhalb des Coding Teams sich damit beschäftigten und Beiträge Veröffentlichen, wie man WordPress noch sicherer machen kann, oder in den Sie Bugs ans Team weiterleiten.

    Natürlich trägt das WP Team einen großen Anteil, aber nur mit ihrer Arbeit, glaube ich kaum, das WordPress so sicher wäre.

    @Heuni,
    phpBB ist doch bekanntlicher weiße seit Jahren ein verbugtes Forensystem, wem wundert es da, das es so Alamierende Zahlen bekommt.

  4. Mich erstaunen die Zahlen auch, zumal mein Name in den deutschen Sprachdateien von phpBB zu finden ist 😉
    Bei WordPress schiebe ich es auf eine ganz naheliegende Sache: Viele Blogger sind naturgemäß stark vernetzt und erhalten sofort Infos über Updates. Dazu ist der Update- bzw. Upgradeprozess bei WP der einfachste, der mir je begegnet ist.
    Joomla 1.0 auf 1.5 dagegen aufgrund des Upgrades unglaublich aufwändig, das scheuen viele Webmaster. Bzw. die Kunden den finanziellen Aufwand. Ansonsten wird auch hier oft auf Updates verzichtet, die eigentlichen Sicherheitslücken resultieren oft aufgrund von Drittanbieter-Komponenten.
    phpBB liegt irgendwo dazwischen. Wir bieten regelmäßig Updates an, diese werden aber nicht in dem Maße installiert. Hier kommt allerdings dazu, dass viele Forenbetreiber massig Hacks installiert habe und deshalb kaum Bock auf Updates haben. Klar, Upgrade phpBB2 auf 3 ist auch nicht easy, aber deutlich leichter als bei Joomla. Und v3 ist dann vom Updateprozess her deutlich geiler zu handhaben!

  5. Okay, laut einer Studie der BILD ist die BILD ausgeglichener und fairer als andere Zeitungen …

    Sicherer ist WP ohne Zweifel geworden (es gibt da aber Zweifler), aber das so verkaufen zu wollen, halte ich für mehr als zweifelhaft.

    Das Problem werden auch weniger die aktuellen als vielmehr die veralteten WP-Installationen sein.

  6. Weißt du was gemein ist?
    Gestern abend hat jemand eine Sicherheitslücke ausgenutzt und konnte die Datenbank so verändern, dass mit bloginfo(‘name’) ein nettes Signum ausgegeben wurde. “Hack3d bySiriUS…” 🙁

    Ich such grad, ob der bug bekannt ist, oder eine neue Lücke. Mein WP war absolut up2date

  7. Als Administrator ist es mir wichtig Webseiten schon auf Dateisystemebene Serverseitig abzusichern.
    Neben open_basedir gehören restriktive Dateirechte unterhalb der Document-Roots zu den wichtigsten Mitteln.

    Leider braucht gerade die auto-Update-Funktion von WordPress ziemlich offene Dateirechte.

    Damit Webmaster auf von mir betreuten Systemen trotzdem einfach Update einspielen können, habe ich ein Plugin geschrieben, dass die Dateirechte vor einem Update aufbohrt, und danach wieder automatisch zurücksetzt.

    Plugin um wordpress abzusichern

Kommentare sind geschlossen.