Für eine Studie über die Sicherheit von WordPress, TYPO3, Joomla, Drupal und anderen Content-Management-Systemen hat Philipp Krenn die Release Notes und Security Advisories der jeweiligen Projekte analysiert. Die Systeme wurden nach Häufigkeit und Schwere der in den Jahren 2010 und 2011 veröffentlichten Sicherheitslücken gereiht.
Dieses Diagramm zeigt eine Zusammenfassung der Analyse:
Wie man sieht, zeigen sich große Unterschiede zwischen den Systemen:
- WordPress hatte nur eine schwere Sicherheitslücke in diesen beiden Jahren.
- Joomla hängt der Ruf eines unsicheren Systems nach. Für dieses schlechte Image liefert die Analyse keine Beweise. Es gab zwar relativ viele, aber nur leichte Sicherheitsprobleme.
- TYPO3 ist das Schlusslicht unter den beteiligten CMSen und zeigt die meisten, auch schweren Sicherheitslücken.
Natürlich lässt sich die Sicherheit eines CMS nicht objektiv nur über das Auszählen der gemeldeten Fehler messen.
Bei WordPress werden zum Beispiel weder Sicherheitslücken in Themes noch in Plugin offiziell gemeldet, während Drupal Advisories sowohl für den CMS-Kern als auch alle Module veröffentlicht. Drupal und TYPO3 verwenden eine definierte Systematik, um die Schwere der Sicherheitsmängel zu kategorisieren. Für WordPress gilt das nicht.
Die vollständige Studie ist hier zu finden.
Grafik: Phillipp Krenn, CC-BY-SA.
Quelle : talkpress.de
