Gestern las ich auf WordPress-Deutschland das laut einer Studie WordPress sicherer sei als zum Beispiel Joomla!, Drupal, Moodle, MediaWiki & Co.
Hier eine Auflistung der gefunden Schwachstellen
- phpBB – 100% der untersuchten Installationen zeigen kritische Schwachstellen
- Mediawiki – 95% der untersuchten Installationen zeigen kritische Schwachstellen
- Joomla! – 92% der untersuchten Installationen zeigen kritische Schwachstellen
- Movable Type – 91% der untersuchten Installationen zeigen kritische Schwachstellen
- phpMyAdmin – 85% der untersuchten Installationen zeigen kritische Schwachstellen
- Moodle – 74% der untersuchten Installationen zeigen kritische Schwachstellen
- Drupal – 70% der untersuchten Installationen zeigen kritische Schwachstellen
- SPIP – 65% der untersuchten Installationen zeigen kritische Schwachstellen
- WordPress – 4% (in Worten “vier”!) der untersuchten Installationen zeigen kritische Schwachstellen
Quelle: Netzgeist.org
Das ist ein vergleichsweise gutes Ergebnis … wenn man der Studie glauben soll. Dieses vergleichsweise guter Ergebnis resultiert meiner Meinung nach aus vielen Faktoren.
Zum einen sind die einfachen Update-Mechanismen für Plugins und für WP zu nennen, zum anderen die standardmäßige Deaktivierung der XML-RPC-Schnittstelle und die vielen Sicherheits-Tipps, die in vielen Weblogs publiziert wurden.
Vor allem der letzte Punkt schafft, nach einer Weile, auch bei einfachen Nutzern ein Sicherheitsbewusstsein und somit beschäftigen sich auch solche Nutzer zunehmend mit den Sicherheitsaspekten.
Wir arbeiten seit 20 Jahren mit WordPress und bieten diverse Dienstleistungen rund um das System an. Kontaktiere uns für weitere Informationen oder für ein Angebot.
Ich kann immer nur sagen jeder WP Nutzer kann froh sein über die gute Arbeit des WP Teams und die damit verbundenen Updates.
Jepp! Mir ist bis heute kaum ein System untergekommen, welches so dermaßen sauber und kontinuierlich weiterentwickelt wurde.
Einzige Schwachpunkte sind m.E. einige luschig entwickelte PlugIns, es liegt aber letztendlich beim Anwender sich eventuell doch mal etwas zu informieren bevor jedes x-beliebige plugin installiert wird.
Das ist wirklich eine erstaunlich gute Zahl. Aber bei phpBB hätte ich nicht mit 100% gerechnet.
Jeder wiederholt diese Zahlen, aber habt ihr einmal in das PDF-Dokument gesehen? 51% der getesteten phpbb-Installation hatten “nur” Minor-Vulnerabilities (Bei WordPress lag dieser Prozentsatz bei immerhin 21,5%). Wobei ich auch nicht glauben kann, dass phpbb 2.x keine schweren Schwachstellen hat…
Generell hat die Thematik auch wenig mit den Web-Applikationen an sich zu tun, sondern mit der Faulheit (aka konservative Update-Politik) der Betreiber der Sites. Wer eine Web-Applikationen einsetzt und sich einen Teufel um Updates schert, der fährt mit jeder Web-Applikationen schlecht.
WordPress ist aber nicht nur sicher wegen der Arbeit des WP Coding Teams, sondern weil eben auch viele Menschen ausserhalb des Coding Teams sich damit beschäftigten und Beiträge Veröffentlichen, wie man WordPress noch sicherer machen kann, oder in den Sie Bugs ans Team weiterleiten.
Natürlich trägt das WP Team einen großen Anteil, aber nur mit ihrer Arbeit, glaube ich kaum, das WordPress so sicher wäre.
@Heuni,
phpBB ist doch bekanntlicher weiße seit Jahren ein verbugtes Forensystem, wem wundert es da, das es so Alamierende Zahlen bekommt.
WordPress Sicherheit…
Laut einer in Las Vegas auf der Black Hat Konferenz vorgestellten Studie ist WordPress im Vergleich mit, z. B. Joombla, Drupal……
Was nützt ein sicheres WordPress mit unsicherem phpmyadmin ? 😕
Mich erstaunen die Zahlen auch, zumal mein Name in den deutschen Sprachdateien von phpBB zu finden ist 😉
Bei WordPress schiebe ich es auf eine ganz naheliegende Sache: Viele Blogger sind naturgemäß stark vernetzt und erhalten sofort Infos über Updates. Dazu ist der Update- bzw. Upgradeprozess bei WP der einfachste, der mir je begegnet ist.
Joomla 1.0 auf 1.5 dagegen aufgrund des Upgrades unglaublich aufwändig, das scheuen viele Webmaster. Bzw. die Kunden den finanziellen Aufwand. Ansonsten wird auch hier oft auf Updates verzichtet, die eigentlichen Sicherheitslücken resultieren oft aufgrund von Drittanbieter-Komponenten.
phpBB liegt irgendwo dazwischen. Wir bieten regelmäßig Updates an, diese werden aber nicht in dem Maße installiert. Hier kommt allerdings dazu, dass viele Forenbetreiber massig Hacks installiert habe und deshalb kaum Bock auf Updates haben. Klar, Upgrade phpBB2 auf 3 ist auch nicht easy, aber deutlich leichter als bei Joomla. Und v3 ist dann vom Updateprozess her deutlich geiler zu handhaben!
[…] heute mal ein gutes Wort für die ganzen WordPress-Blogger: Vergleichsweise ist WordPress ja gar nicht mehr so unsicher. Hilft nur nix, denn es ist dermaßen verbreitet, dass sich die Angriffe auf WP in ganz […]
[…] perun.net, 04.08.2010 WordPress sicherer als vermutet […]
Hallo Vladimir,
haben Deinen Artikel bei uns verlinkt! Grüße nach Köln!
@Flo Wer sein phpmyadmin offen zugänglich hat, ist selber Schuld.
@Markus
schon, bei den 85% laufen doch auch sicherlich n haufen WordPress
Okay, laut einer Studie der BILD ist die BILD ausgeglichener und fairer als andere Zeitungen …
Sicherer ist WP ohne Zweifel geworden (es gibt da aber Zweifler), aber das so verkaufen zu wollen, halte ich für mehr als zweifelhaft.
Das Problem werden auch weniger die aktuellen als vielmehr die veralteten WP-Installationen sein.
@Torsten Was bitte soll der BILD Vergleich? Die Studie ist nicht von Automatic.
Na gut, da habe ich den ersten Satz zu schnell überflogen. Bleiben die Zweifel und Probleme…
Weißt du was gemein ist?
Gestern abend hat jemand eine Sicherheitslücke ausgenutzt und konnte die Datenbank so verändern, dass mit bloginfo(‘name’) ein nettes Signum ausgegeben wurde. “Hack3d bySiriUS…” 🙁
Ich such grad, ob der bug bekannt ist, oder eine neue Lücke. Mein WP war absolut up2date
[…] sicher Eine Studie hat die Sicherheitslücken von Online-Software-Lösungen […]
[…] phpBB scheint da eines dieser Problemkinder zu sein. Vielleicht ist der Eindruck auch falsch, aber Studien scheinen das zu […]
Als Administrator ist es mir wichtig Webseiten schon auf Dateisystemebene Serverseitig abzusichern.
Neben open_basedir gehören restriktive Dateirechte unterhalb der Document-Roots zu den wichtigsten Mitteln.
Leider braucht gerade die auto-Update-Funktion von WordPress ziemlich offene Dateirechte.
Damit Webmaster auf von mir betreuten Systemen trotzdem einfach Update einspielen können, habe ich ein Plugin geschrieben, dass die Dateirechte vor einem Update aufbohrt, und danach wieder automatisch zurücksetzt.
Plugin um wordpress abzusichern
[…] WordPress sicherer als vermutet […]