Studie zur Sicherheit von CMS

Ist das Hauptergebnis der Studie nicht quasi, dass Wordpress-Nutzer schneller updaten als Nutzer von anderen CMS? Wenn ja, dann sehe ich den Nutzen der Studie (für uns Endanwender) nicht ...

Nun ist es ja so, dass ein Update von z.B. WordPress.com gleich tausende Blogs aktualisiert. Das könnte die 4% erklären.

Ich unterstelle jetzt einfach mal, dass gerade in der Open Source Gemeinde sehr viel Wert auf Sicherheit gelegt wird. Beispielsweise ist vor kurzem ein Sicherheits-Update für Typo3 heraus gekommen. Das habe ich natürlich sofort eingespielt. Bei Typo3 ist das mit einiger Handarbeit verbunden.
Bei WordPress hingegen ist das lediglich ein Klick auf "Update automatisch einspielen". Das gleiche gilt für Plugins. Nicht aktuelle Plugins werden dir im Backend angezeigt und du kannst sie ebenfalls automatisch aktualisieren lassen. Und weil das so einfach ist, sind die meisten WP-Installationen aktuell und auf dem neuesten Stand der Sicherheit.
@Oskar: Wen meinst du mit Endanwender? Hier im Forum sind vorwiegend Leute, die eigene Seiten betreiben. Und für die ist ein aktuelles CMS sicher enorm wichtig.
Ich sehe diese Studie ganz einfach als Anstoss es WordPress in dieser Beziehung gleich zu tun.

Die Studie zeigt zum einen eine gewisse problematik auf, zum anderen ist sie nicht wirklich aussagekräftig.

Es gibt da verschiedene Gesichtspunkte.

z.B.

Je umfangeicher ein CMS ist, desto mehr Sicherheitslücken können sich auftun.
Je einfacher ein CMS bedienbar ist, desto mehr Laien werden es verwenden.
Sicherheit wird bis zum bösen Erwachen meist Stiefmütterlich behandekt!
Was Scannt Blind Elefant genau - bzw. wie Objektiv ist die Software?
Erkennt die Software tatsächlich das verwendete CMS und wie? - Ist es nicht so, dass gerade professionellere CMS-User das CMS-Tag ausblenden...


Vor allem letzterer Punkt würde zu einer verherenden Verfälschung der erhobenen Statistik führen.

Alle meine Joomla-Seiten haben kein Generator/CMS-Tag...

Insofern ist für mich diese Erhebung ohne größeren Wert.

Man kann eigentlich nur daraus schließen, wie sicher die verschiedenen CMSs in der Basisversion bei Nutzung durch Newbies sind... - im Endeffekt also wie narrensicher - Und da hat Wordpresse den Vorteil, dass es in der Basisversion schon mal wenig mitbringt, was Probleme verursachen könnte, etc.
Aber auch Wordpress hatte schon mal einen schwarzen Tag.

Mein Fazit, wenn man sich wirklich darum bemüht, kann man jedes CMS relativ/hinreichend sicher machen. - absolute Sicherheit gibt es aber nie!

Viele Grüße,

Gabriel

Es ging mir darum, dass die meisten hier (hoffentlich) in kurzen Zeitabständen die jeweiligen Herrstellerseiten ihres CMS besuchen, um sich über Updates zu informieren. Und für solche Leute bringt die Studie keine wirklichen Informationen, oder liege ich gerade komplett falsch?

Sehe das ganze ähnlich,
Die SecurityUpdate News sollte man schon abonnieren. Auf den wichtigen Themenseiten auch regelmäßig vorbei schauen.

Wäre echt peinlich, wenn ein Klient anruft und fragt "Muss ich das neue Update haben?", "ähm keine Ahnung, hab nichts mitbekommen".

Die Wartungsverträge kann man ohne permanentes Wissen nicht einhalten. Es lohnt sich auch die

Updates anzusehen. Manche Joomla Komponenten verwenden bestimmte Script 1:1. Diese sollte man dann auch "von Hand updaten" bis der Hersteller das selbst ändert.

Sicher sind die CMS, wenn der Webmaster sicher ist mit dem was er tut.

Relativ einfache Grundsätze für sichere Websites:
1. Verwende sichere Passwörter
2. Arbeite nur als root oder administrator wenn es sich nicht vermeiden lässt
3. Halte dein System auf dem neuesten Stand

Diese Studie ergibt eine Statistik mit allen ihren typischen Stärken und Schwächen.
Für mich hat sie aber Punkt 3 bestätigt. Und da das mit WordPress so schön einfach geht, hat es in der Statistik so gut abgeschnitten.
@Gabriel: ich blende das CMS-Tag gewöhnlich auch aus.

lwulfe schrieb:

Und da das mit WordPress so schön einfach geht...

Soo schön einfach klappt das automatische Update bei WordPress auch nicht. Das Update auf die Version 3.0.1 ging bei mir erstmal daneben.

Nach dem händischen Update (fix-300-to-301) und dem darauf folgendem Updaten aller Blogs, blieb die Routine bei einem Blog hängen. Die nachfolgenden wurden nicht aktualisiert.

Knackpunkt war eine Seite, die ich gerade auf die Multi-Blog Umgebung von WordPress 3.0 umziehe.

Es ist schade, dass sich die Routien da aufhängt, und die restlichen Blogs/Seiten nicht aktuallisiert.

Gruß Matthias

Ich muss zugeben, dass das automatische Update nur bei einem Blog gut geklappt hat.
Die andere Installation hat Stunden gebraucht. Bis ich festgestellt habe, dass in der wp-config.php das einleitende "<?php" mit "?>" abgeschlossen wurde. Durfte wohl nicht sein. Danach lief es wieder perfekt.