Für eine Studie über die Sicherheit von WordPress, TYPO3, Joomla, Drupal und anderen Content-Management-Systemen hat Philipp Krenn die Release Notes und Security Advisories der jeweiligen Projekte analysiert. Die Systeme wurden nach Häufigkeit und Schwere der in den Jahren 2010 und 2011 veröffentlichten Sicherheitslücken gereiht.

Dieses Diagramm zeigt eine Zusammenfassung der Analyse:

CMS-Sicherheit (qualitativ)

Wie man sieht, zeigen sich große Unterschiede zwischen den Systemen:

  • WordPress hatte nur eine schwere Sicherheitslücke in diesen beiden Jahren.
  • Joomla hängt der Ruf eines unsicheren Systems nach. Für dieses schlechte Image liefert die Analyse keine Beweise. Es gab zwar relativ viele, aber nur leichte Sicherheitsprobleme.
  • TYPO3 ist das Schlusslicht unter den beteiligten CMSen und zeigt die meisten, auch schweren Sicherheitslücken.

Natürlich lässt sich die Sicherheit eines CMS nicht objektiv nur über das Auszählen der gemeldeten Fehler messen.

Bei WordPress werden zum Beispiel weder Sicherheitslücken in Themes noch in Plugin offiziell gemeldet, während Drupal Advisories sowohl für den CMS-Kern als auch alle Module veröffentlicht. Drupal und TYPO3 verwenden eine definierte Systematik, um die Schwere der Sicherheitsmängel zu kategorisieren. Für WordPress gilt das nicht.

Die vollständige Studie ist hier zu finden.

Grafik: Phillipp Krenn, CC-BY-SA.

7. Februar 2012, 04:16 − Abgelegt in

Kommentare

Auf den ersten Blick eine sehr interessante Studie, ich werde sie mir bei Gelegenheit auf jeden Fall genauer anschauen.

Passend zum Thema habe ich vor zwei Tagen eine Zusammenfassung aller (kritischen) Sicherheitslücken in Joomla 1.5 (2008 – 2012) veröffentlicht:
Sicherheitslücken in Joomla 1.5

Marco · 7. Februar 2012, 16:05 · #

Diese “Studie” kann man mal getrost wieder in der weltweiten Datenhalde versinken lassen. Ich beschäftige mich ausführlich mit den Systemen Wordpress und TYPO3 und bin dazu beruflich regelmäßig sowohl Konsument als auch Autor von Studien in der IT-Branche.
Hier liegt der Schwachpunkt klar offen: der extrem unterschiedliche Umgang der beiden Entwicklerteams mit Sicherheitsproblemen verhindert jeden auch nur annähernd seriösen Vergleich.
TYPO3 hat eine sehr strikte Vorgehensweise. Jede noch so kleine “information disclosure”-Lücke wird hier als Security Bulletin veröffentlicht (Beispiel: eingeloggter Backendbenutzer mit dem Recht Extensions zu installieren bekommt bei Installation eines fehlerhaften Plugins in bestimmten Fällen einen Serverpfad angezeigt). Bei Wordpress gibt eine explizite Veröffentlichung von Lücken nur in besonderen Ausnahmefällen. Der Autor der “Studie” hat sich im wesentlichen damit behelfen müssen, sich selbst Dinge aus den Changelogs rauszusuchen und dann nach eigner Einschätzung festzulegen, ob severe oder nicht.
Also: schnell vergessen, diese “Sicherheitsanalyse”. Wobei noch festzuhalten ist, dass der Autor bewusst nicht Wordpress vor Joomla und TYPO3 sortiert. Das tun erst Sie mit ihrem Artikel, der meiner Ansicht nach die Interpretationen des Autors nicht angemessen widergibt.
Gruß Peter

— Peter · 9. Februar 2012, 03:49 · #

Was mich wirklich interessieren würde, wäre eine Statistik über tatsächlich gelungene Angriffe im Verhältnis zur Zahl der Installationen.

Natürlich leider illusorisch, weil jeder Seitenbetreiber dergleichen Vorfälle vertuschen wird.

Immerhin etwas konkreter wäre eine Liste der konkreten Angriffsvektoren in durchschnittlichen Installationen diverser CMS. Das würde dann auch insofern Gleichstand schaffen, als dabei auch bei allen auch die Themes und Plugins im Spiel wären.

Hartmut Noack · 10. Februar 2012, 23:53 · #

Bin kein programmierer, aber die Statistik hinkt doch ein wenig, normal müsste man von dem Core-kern des jeweiligen CMS ausgehen, jedenfalls würde ich die Stastik so anstreben, weil auf die Themes und Plugins, die man aus zweiter hand erstellt wurden, hat man ja so keinen Einfluss. Ausser sie werden überprüft auf Bugs etc. und das wird bei Drupal und auch Typo3 gross geschrieben. Bei Drupal ist es glaube sogar so, das Projekt mit Bugs aus dem Downloadsegment auf Drupal,org entfernt werden.

— Gerriet · 11. Februar 2012, 16:21 · #

@Hartmut
Leider ist auch die Zahl der gelungenen Angriffe im Verhältnis zur Zahl der Installationen nicht wirklich aussagekräftig, da jedes CMS eine andere Zielgruppe hat. Joomla wird beispielsweise oft im Amateurumfeld eingesetzt und da wird Sicherheit selten groß geschrieben. Bei CMS, die eine professionellere Zielgruppe haben, kann man dagegen zumindest davon ausgehen, dass ein Verständnis für IT-Sicherheit vorhanden ist.

@Gerriet
Ich kann mir schwer vorstellen, dass bei Drupal und Typo3 alle Erweiterungen regelmäßig auf Bugs und Sicherheitslücken getestet werden. Hast du mir hierzu nähere Informationen?

Marco · 13. Februar 2012, 17:31 · #

Moin,

mal das ganze Fachsimpeln beiseite. Ich kann von Projekt-Manager-, Entwickler- und vor allem Benutzerseite sagen: Freut mich, denn WP ist mit Abstand das benutzerfreundlichste System. Typo ist in Deutschland sehr beliebt, vor allem weil Agenturen und Freelancer damit mehr Geld verdienen können. Man muss halt Typoscript beherrschen, etc…Open Source bedeutet für mich auch: Made for users, not for geeks only…Deshalb freut es mich, das WP jetzt auch mit mehr Sicherheit punktet.
LG

Moritz · 14. Februar 2012, 01:37 · #

@Moritz: Ich finde es hier ein bisschen unfair, dass du den Agenturen “Geld verdienen” als Entscheidungsgrund für TYPO3 in die Schuhe schiebst. Ich arbeite selbst beruflich mit TYPO3 und Wordpress und ich kann nur sagen: Die richtige Waffe für den richtigen Vogel. Mit Wordpress lassen sich gewisse Dinge einfach nur sehr umständlich erreichen, während das mit Typoscript genau 3 Zeilen braucht. Dafür ist die optimierte Oberfläche von Wordpress für eben Blogging und News nicht zu verachten.

Schöne Grüße

— Markus · 19. Februar 2012, 14:16 · #

Kommentarfunktion für diesen Artikel geschlossen.