Abo
  • Services:
Anzeige
Eine mit Malware verseuchte Webseite - eine Meldung, die kein Webmaster gerne sieht.
Eine mit Malware verseuchte Webseite - eine Meldung, die kein Webmaster gerne sieht. (Bild: Screenshot / Google Chrome)

Automatische Updates sorgen für Sicherheit

Wordpress hat das Problem erkannt und vor einigen Jahren eine automatische Update-Funktion eingeführt. Seit Version 3.7 aktualisiert sich das System automatisch im Hintergrund, wenn ein Update bereitsteht. Wordpress betreibt dafür einigen Aufwand: Für alle Versionen seit 3.7 werden Sicherheitsupdates zurückportiert.

Anzeige

Einigen gefällt dieser Mechanismus nicht. Denn elegant ist die Lösung nicht: Ein PHP-Skript, das seine eigenen Dateien umschreibt. Und ja, auch der Updateprozess selbst hatte schon Sicherheitslücken. Doch angesichts der Art und Weise, wie private Webapplikationen üblicherweise betrieben werden, ist es eine gute und pragmatische Lösung. Es funktioniert erstaunlich gut. Probleme mit dem Updateprozess sind zwar nicht ganz ausgeschlossen, aber selten.

Das automatische Update führt dazu, dass, wenn - wie jetzt geschehen - eine kritische Lücke in Wordpress entdeckt wird, die meisten Nutzer längst geschützt sind, wenn die ersten Angriffswellen starten. Bei Lücken im Wordpress-Core gibt es eigentlich nur zwei Szenarien, in denen ein Angriff erfolgreich sein kann: Zum einen wenn die Lücke Angreifern bereits bekannt ist, bevor ein Update bereitsteht - also bei einem klassischen Zero-Day. Doch solche Angriffe sind extrem selten. Zum anderen bei Nutzern, die das Update ausschalten. Das ist, um es klar zu sagen, eine blöde Idee.

Wordpress ist nicht perfekt

Wordpress ist in Sachen Sicherheit nicht perfekt und es gibt einige berechtigte Kritikpunkte. Wordpress hat eine fragwürdige XMLRPC-API, die immer wieder für Amplification- und Brute-Force-Angriffe mißbraucht wird. Darauf hat Wordpress bislang nicht hinreichend reagiert. Weiterhin nutzt Wordpress zahlreiche moderne Sicherheitsmechanismen nicht, allen voran Content Security Policy, ein sehr mächtiges Tool gegen Cross-Site-Scripting-Angriffe.

Das größte verbleibende Sicherheitsproblem bei Wordpress sind jedoch Plugins und Themes von Dritten. Denn die werden - außer in Ausnahmefällen - nicht automatisch aktualisiert und sind oft von sehr fragwürdiger Qualität. Abgesehen von Sicherheitsproblemen sind Plugins auch häufig dafür verantwortlich, wenn eine Webseite ungewöhnlich langsam ist oder Bugs aufweist. Wer eine Webseite mit Wordpress erstellt und sich nicht regelmäßig um Updates kümmern kann oder will, sollte sich auf die Core-Funktionalität beschränken oder zumindest nur wenige und gut betreute Plugins einsetzen. Klar, vieles geht nicht ohne Plugins, aber für eine einfache Webseite zur Präsentation einer Firma oder eines Vereins reicht ein Standard-Wordpress allemal.

Die Konkurrenz sollte nachziehen

Mit dem automatischen Update ist Wordpress um ein Vielfaches sicherer als die Konkurrenz. Unzählige Wordpress-Nutzer werden regelmäßig vor vielen Sicherheitslücken geschützt. Es ist Zeit, dass die Konkurrenten hier nachziehen. Solange Updates manuell installiert werden müssen, sind Joomla, Drupal oder Typo3 für die meisten Nutzer nicht empfehlenswert.

IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach)

 Content-Management-Systeme: Wordpress ist sicherer als die Konkurrenz

eye home zur Startseite
Richtig Steller 06. Feb 2017

...denn damit Installationen via Klick und Auto-Updater funktionieren muss im Falle von...

crazypsycho 05. Feb 2017

Wie es unter der Haube aussieht, ist für eine Entscheidung aber nicht relevant. Denn...

crazypsycho 04. Feb 2017

Ja wer nie Wordpress genutzt hat, der kann sich gar nicht vorstellen, wie klasse das...

crazypsycho 04. Feb 2017

Wir haben zig mehrsprachige Wordpress-Websites am laufen. Bei keiner hat sich je die...

violator 03. Feb 2017

Eben. Und im Gegensatz zu Joomla usw. gibts bei WP wenigstens regelmäßige und schnelle...



Anzeige

Stellenmarkt
  1. SGH Service GmbH, Hildesheim
  2. Chemische Fabrik Budenheim KG, Budenheim
  3. equensWorldline GmbH, Aachen
  4. IT-Dienstleistungszentrum Berlin, Berlin


Anzeige
Spiele-Angebote
  1. 12,99€ + 5,00€ Versand (USK 18)
  2. 18,99€
  3. 389,99€

Folgen Sie uns
       


  1. VLC, Kodi, Popcorn Time

    Mediaplayer können über Untertitel gehackt werden

  2. Engine

    Unity bekommt 400 Millionen US-Dollar Investorengeld

  3. Neuauflage

    Neues Nokia 3310 soll bei Defekt komplett ersetzt werden

  4. Surface Studio

    Microsofts Grafikerstation kommt nach Deutschland

  5. Polar

    Fitnesstracker A370 mit Tiefschlaf- und Pulsmessung

  6. Schutz

    Amazon rechtfertigt Sperrungen von Marketplace-Händlern

  7. CPU-Architektur

    RISC-V-Patches für Linux erstmals eingereicht

  8. FSP Hydro PTM+

    Wassergekühltes PC-Netzteil liefert 1.400 Watt

  9. Matebook X und E im Hands on

    Huawei kann auch Notebooks

  10. Celsius-Workstations

    Fujitsu bringt sichere Notebooks und kabellose Desktops



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
The Surge im Test: Frust und Feiern in der Zukunft
The Surge im Test
Frust und Feiern in der Zukunft
  1. Computerspiele und Psyche Wie Computerspieler zu Süchtigen erklärt werden sollen
  2. Wirtschaftssimulation Pizza Connection 3 wird gebacken
  3. Mobile-Games-Auslese Untote Rundfahrt und mobiles Seemannsgarn

Redmond Campus Building 87: Microsofts Area 51 für Hardware
Redmond Campus Building 87
Microsofts Area 51 für Hardware
  1. Windows on ARM Microsoft erklärt den kommenden x86-Emulator im Detail
  2. Azure Microsoft betreut MySQL und PostgreSQL in der Cloud
  3. Microsoft Azure bekommt eine beeindruckend beängstigende Video-API

3D-Druck bei der Bahn: Mal eben einen Kleiderhaken für 80 Euro drucken
3D-Druck bei der Bahn
Mal eben einen Kleiderhaken für 80 Euro drucken
  1. Bahnchef Richard Lutz Künftig "kein Ticket mehr für die Bahn" notwendig
  2. Flatrate Öffentliches Fahrradleihen kostet 50 Euro im Jahr
  3. Nextbike Berlins neues Fahrradverleihsystem startet

  1. Re: Passwort-Manager als Abo!?

    picaschaf | 23:37

  2. Re: Gutes Konzept... schrottiges OS, und dann 4000¤

    unbuntu | 23:28

  3. Re: Warum überhaupt VLC nutzen

    unbuntu | 23:23

  4. Re: Grafikbox so gross wie PC?

    ecv | 23:22

  5. Nachtrag zur Haltbarkeit

    as (Golem.de) | 23:13


  1. 18:58

  2. 18:20

  3. 17:59

  4. 17:44

  5. 17:20

  6. 16:59

  7. 16:30

  8. 15:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel