Original-URL des Artikels: https://www.golem.de/news/content-management-systeme-wordpress-ist-sicherer-als-die-konkurrenz-1702-125967.html    Veröffentlicht: 02.02.2017 16:33    Kurz-URL: https://glm.io/125967

Content-Management-Systeme

Wordpress ist sicherer als die Konkurrenz

Kritische Sicherheitslücken werden heutzutage innerhalb von Stunden ausgenutzt. Dagegen helfen schnelle und automatische Updates.

Wie heute bekannt wurde, gab es im Content-Management-System Wordpress eine kritische Sicherheitslücke. Und wie jedesmal gibt es einige, die sich in ihrer Meinung bestätigt sehen, dass Wordpress sowieso besonders unsicher ist. Doch Wordpress ist mit Abstand das sicherste Content-Management-System, das zur Zeit verfügbar ist.

Jüngste Wordpress-Lücke war peinlich und vermutlich vermeidbar

Sicherheitslücken und Bugs sind immer ärgerlich. Und ja, bei der jetzt gefundenen Wordpress-Lücke kann man mit Recht argumentieren, dass sie in die eher peinliche Kategorie fällt und vermutlich durch eine defensivere Programmierweise oder durch bessere Review-Prozesse hätte verhindert werden können.

Aber bislang zumindest gibt es realistischerweise keine praktikable Möglichkeit, Software zu entwickeln, die frei von Bugs und Sicherheitslücken ist. In allen großen Webanwendungen werden regelmäßig Sicherheitslücken entdeckt - und immer wieder sind darunter auch sehr kritische. Wichtig ist deshalb vor allem, wie schnell die Sicherheitsupdates bei den Nutzern landen.

Übrigens: Wer glaubt, dass seine kleine Webseite nicht das Ziel von Angriffen wird, denkt falsch. Denn die meisten Angriffe finden nicht statt, um dem Betreiber der Seite zu schaden, sondern um sie als Infrastruktur für weitere Angriffe zu nutzen. Nicht selten finden Betreiber kleiner Webseiten heraus, dass ihre Seiten als Spamschleuder oder als Hostingplattform für Malware und Phishing mißbraucht werden - oft aber erst, wenn die Seite anschließend vom Webhoster gesperrt wird.

Angriffe innerhalb von Stunden

Es lohnt ein Rückblick auf eine Lücke in Drupal, die im Oktober 2014 unter dem Namen Drupalgeddon bekannt wurde. Drupalgeddon ermöglicht das Ausführen oder Hochladen von beliebigem Code. Eine Woche nach deren Veröffentlichung verschickten die Drupal-Entwickler eine weitere Warnung: Die Angriffe mithilfe dieser Lücke begannen bereits wenige Stunden, nachdem sie bekannt wurde. Jeder, der seine Drupal-Webseite nicht innerhalb von sechs Stunden aktualisiert hatte, sollte davon ausgehen, dass diese kompromittiert ist.

Man kann davon ausgehen, dass Ähnliches für alle gravierenden Sicherheitslücken in bekannten Content-Management-Systemen gilt. In den vergangenen Jahren gab es auch mehrfach ähnlich kritische Lücken in Joomla. Typo3 ist von den kritischen Lücken in jüngerer Zeit verschont geblieben, aber in Sicherheit wiegen sollte man sich wohl auch da nicht.

Hier zeigt sich ein ganz offensichtliches Dilemma: Wenn solche Sicherheitslücken innerhalb von Stunden ausgenutzt werden, kann man diese Systeme eigentlich nur verantwortungsbewusst betreiben, wenn jemand bereitsteht, der ein entsprechendes Update innerhalb kürzester Zeit installiert. Doch diese freien Content-Management-Systeme werden oft von kleinen Firmen, Vereinen oder Privatleuten eingesetzt - und nicht selten auch explizit für diese beworben. Doch die wenigsten kleinen Unternehmen oder Vereine dürften fulltime einen Administrator beschäftigen, der im Zweifel alles stehen und liegen lässt, um sich um ein Webseiten-Update zu kümmern.



Automatische Updates sorgen für Sicherheit

Wordpress hat das Problem erkannt und vor einigen Jahren eine automatische Update-Funktion eingeführt. Seit Version 3.7 aktualisiert sich das System automatisch im Hintergrund, wenn ein Update bereitsteht. Wordpress betreibt dafür einigen Aufwand: Für alle Versionen seit 3.7 werden Sicherheitsupdates zurückportiert.

Einigen gefällt dieser Mechanismus nicht. Denn elegant ist die Lösung nicht: Ein PHP-Skript, das seine eigenen Dateien umschreibt. Und ja, auch der Updateprozess selbst hatte schon Sicherheitslücken. Doch angesichts der Art und Weise, wie private Webapplikationen üblicherweise betrieben werden, ist es eine gute und pragmatische Lösung. Es funktioniert erstaunlich gut. Probleme mit dem Updateprozess sind zwar nicht ganz ausgeschlossen, aber selten.

Das automatische Update führt dazu, dass, wenn - wie jetzt geschehen - eine kritische Lücke in Wordpress entdeckt wird, die meisten Nutzer längst geschützt sind, wenn die ersten Angriffswellen starten. Bei Lücken im Wordpress-Core gibt es eigentlich nur zwei Szenarien, in denen ein Angriff erfolgreich sein kann: Zum einen wenn die Lücke Angreifern bereits bekannt ist, bevor ein Update bereitsteht - also bei einem klassischen Zero-Day. Doch solche Angriffe sind extrem selten. Zum anderen bei Nutzern, die das Update ausschalten. Das ist, um es klar zu sagen, eine blöde Idee.

Wordpress ist nicht perfekt

Wordpress ist in Sachen Sicherheit nicht perfekt und es gibt einige berechtigte Kritikpunkte. Wordpress hat eine fragwürdige XMLRPC-API, die immer wieder für Amplification- und Brute-Force-Angriffe mißbraucht wird. Darauf hat Wordpress bislang nicht hinreichend reagiert. Weiterhin nutzt Wordpress zahlreiche moderne Sicherheitsmechanismen nicht, allen voran Content Security Policy, ein sehr mächtiges Tool gegen Cross-Site-Scripting-Angriffe.

Das größte verbleibende Sicherheitsproblem bei Wordpress sind jedoch Plugins und Themes von Dritten. Denn die werden - außer in Ausnahmefällen - nicht automatisch aktualisiert und sind oft von sehr fragwürdiger Qualität. Abgesehen von Sicherheitsproblemen sind Plugins auch häufig dafür verantwortlich, wenn eine Webseite ungewöhnlich langsam ist oder Bugs aufweist. Wer eine Webseite mit Wordpress erstellt und sich nicht regelmäßig um Updates kümmern kann oder will, sollte sich auf die Core-Funktionalität beschränken oder zumindest nur wenige und gut betreute Plugins einsetzen. Klar, vieles geht nicht ohne Plugins, aber für eine einfache Webseite zur Präsentation einer Firma oder eines Vereins reicht ein Standard-Wordpress allemal.

Die Konkurrenz sollte nachziehen

Mit dem automatischen Update ist Wordpress um ein Vielfaches sicherer als die Konkurrenz. Unzählige Wordpress-Nutzer werden regelmäßig vor vielen Sicherheitslücken geschützt. Es ist Zeit, dass die Konkurrenten hier nachziehen. Solange Updates manuell installiert werden müssen, sind Joomla, Drupal oder Typo3 für die meisten Nutzer nicht empfehlenswert.

IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach)  (hab)


Verwandte Artikel:
Certificate Transparency: Webanwendungen hacken, bevor sie installiert sind   
(29.07.2017, https://glm.io/129116 )
E-Mail-Clients für Android: Kennwörter werden an App-Entwickler übermittelt   
(06.03.2018, https://glm.io/133172 )
Sicherheitslücken: Mehr als 30 Klagen gegen Intel wegen Meltdown und Spectre   
(19.02.2018, https://glm.io/132860 )
Sicherheit: Joomla-Lücke könnte absichtlich platziert worden sein   
(29.10.2016, https://glm.io/124133 )
CMS: Drupal 8.4 stabilisiert Module   
(06.10.2017, https://glm.io/130479 )

© 1997–2021 Golem.de, https://www.golem.de/