WordPress vergleichsweise sicher
Auf der Black Hat Sicherheitskonferenz in Las Vegas wurde eine interessante Studie vorgestellt. Eine Software namens Blind Elepehant scannt dazu Websites nach der verwendeten CMS-Software sowie deren Version und kann damit etwas über die Verbreitung unsicherer Anwendungen sagen. Es wurden gut eine Million Websites untersucht mit dem Ergebnis, dass 100% aller Websites mit phpBB kritische Sicherheitslücken enthielten, 95% bei MediaWiki, bei Joomla 92%, Movable Type 91%, Drupal 70% und bei WordPress nur 4% aller Websites kritische Sicherheitslücken enthielten.
Es zeigt sich also, dass die Einführung des automatischen Updates wohl dafür sorgte, dass sehr viele WordPress-Websites aktuelle Versionen nutzen. Auch die standardmäßige Deaktivierung von XML-RPC dürfte ein weiterer Sicherheitsgewinn sein. Die Folien der Studie gibt es hier.
via Netzgeist
Dieser Beitrag wurde am 3. August 2010 um 18:04 von jottlieb in der Rubrik News abgelegt.
Dieser Beitrag wurde 14256 mal aufgerufen. Neue Kommentare via RSS 2.0 
-
Trackback URI
3. August 2010 um 19:13
Sehr schön, vielleicht meckern jetzt etwas weniger über die “vielen” Updates :-) Den man sieht das WP da doch sehr gut damit fährt.
3. August 2010 um 19:53
Genau ^^ und die 4% sind sicher die jenigen, die sich nicht belehren lassen wollen und alte Versionen vom WordPRess laufen haben.
3. August 2010 um 20:48
was soll man sagen….trau keiner Statistik die du nicht selbst gefälscht hast…
3. August 2010 um 21:01
Ich bin mit solchen Statistiken immer sehr vorsichtig. Beim einen Test sind es heute 4%, beim anderen morgen schon 20% usw… Aber ich glaube auch, dass WP gegenüber anderen Systemen einen Vorsprung hat und das verdankt WP der super Community und den vielen Entwicklern, die vorhandene Lücken zügig stopfen.
3. August 2010 um 21:10
An dem Auto Update von WordPress sollten sich die anderen CMS Entwickler mal eine Scheibe abschneiden :).
3. August 2010 um 22:16
Diese Entwicklung freut mich und zeigt auch, dass eine ständige Weiterentwicklung und auch vielzählige Updates für die Sicherheit ein großer Vorteil sein kann :) .
4. August 2010 um 00:15
Schöne Statistik, wenn es tatsächlich so sein sollte. Ich habe da meine Zweifel. Ist es nicht so, dass irgendwelche Sicherheitsschlüssel manuell geändert werden müssen und nicht automatisch beim Update angepasst werden? Ob sich da jeder so gut damit auskennt, dass die 4 Prozent erreicht werden können, da wäre ich mir echt nicht so sicher. Oder bin ich da falsch informiert?
4. August 2010 um 00:21
@Adam:
Die Sicherheitsschlüssel haben nichts damit zu tun, gravierende Sicherheitslücken zu schließen oder zu verhindern.
Ansonsten hat es womöglich einfach einen Grund (z.B. eine policy) dass WordPress nie schreibend auf die wp-config.php zugreift.
4. August 2010 um 10:55
Und das, nachdem ich gerade drei Tage an total verseuchten WordPressblogs gesessen habe. Aber das automatische Update ist wirklich gut.
LG – Elke
4. August 2010 um 12:29
Seien wir doch mal ehrlich: DAS haben wir schon immer gewusst, und darum benutzen wir WordPress. :)
4. August 2010 um 12:40
Benutze seither WordPress und bin sehr zufrieden. Ihr macht einen guten Job!
4. August 2010 um 13:15
und abermals möchte ich fragen, warum gerade diese Installation hier, ausgerechnet diese immer noch auf
läuft?
Irgendwie kein gutes Vorbild ;-)
4. August 2010 um 13:16
upps Zitate werden nicht angezeigt?
Also auf … WordPress 2.8.4 läuft
4. August 2010 um 14:26
@jottlieb: Dann habe ich eine zusätzliche Aufgabe für die ich eigentlich keine Zeit habe. Ich werde schauen, ob ich eine Liste mit Sicherheitsschlüsseln nach WordPress-Versionen sortiert finde. Es ist schon wichtig zu prüfen, ob alle Sicherheitsschlüssel vorhanden sind.
4. August 2010 um 14:39
@Adam:
Die Liste ist in unserer Doku im Artikel “Upgrade” enthalten.
4. August 2010 um 16:27
4% ist super…da werde ich in Zukunft weniger über die Updatesmeckern (weilmanchmal nervt es schon ;-)
4. August 2010 um 22:39
WordPress ist kinderleicht zu bedienen…
4. August 2010 um 23:04
Ich bin positiv überrascht. Wieder mal ein prima Argument, wenn ich WordPress weiterempfehle.
5. August 2010 um 02:23
Die Updates habe ich von Anfang an genutzt,
obwohl dies bei mehreren Blogs schon etwas
zeitaufwändig gewesen ist. Dafür wurde man/
frau allerdings auch immer entlohnt, schon
alleine durch die vielen SEO-Optimierungen
etc. etc.
Ein HOCH auf die Programmierer von WordPress !!!
5. August 2010 um 15:13
Ich denke ein Punkt wird sicher sein das der Klassische WP User einen Klassischen Blog Betreibt d.h wenige Ext. Plugins.
Drupal Webseiten und die anderen haben andere Anwendugsziele darum ist eine Statisk unbrauchbar die Äpfel mit Birnen vergleicht.
5. August 2010 um 16:47
@jottlieb: Super, dann muss ich nicht danach suchen. Mal sehen, ob viele bei mir fehlen. Danke!
Gruß Adam
5. August 2010 um 22:56
Da ist dann auch mal ein kleines “Dankeschön” für die Entwickler fällig.
Gute Arbeit, weiter so.
Wobei man auch natürlich sagen muss, dass der blinde Elefant ja nicht alle X-Tausend Plugins geprüft hat, sondern nur die Grundinstallation. Und wer nutzt schon sein WP ohne Plugins? Und ich fürchte, diese sind das grösste Sicherheitsrisiko, nicht das professionelle Grundgerüst.
5. August 2010 um 23:00
Na gott sei dank! Danke WordPress, für Eure Mühen. Ich bin stolz auf Euch :D
6. August 2010 um 02:19
Wichtig wäre eig. auch der Fakt, was wenn von 1000 Webseiten eh nur 50 mit WordPress betrieben werden und dafür 800 mit phpBB – dann ist doch so ein Ergebnis nachvollziehbar, aber weniger aussagekräftig, oder?
6. August 2010 um 14:13
Wer Interesse hat: Zum Theme WordPress und Sicherheit gibt´s im aktuellen Sonderheft der CT (Webdesign) einen Artikel: https://www.heise.de/kiosk/special/ct/10/04/
6. August 2010 um 16:10
@LugiasCrusader:
Mal davon abgesehen, dass da eine Menge WP-Blogs untersucht wurden: Es bleibt ja dabei, dass nur 4% der untersuchten WÜ-Blogs kritische Sicherheitslücken aufwiesen.
7. August 2010 um 14:36
…und zum kostenlosen nachlesen bei: http://www.spiegel.de/netzwelt/web/0,1518,707286,00.html ;-)
7. August 2010 um 18:08
Ich bin ganz froh das ich bei wordpress gelandet bin, läuft stabil, ist relativ sicher und das content management ist über die Eingabe Masken auch für Laien gut zu händeln. WordPress würde ich jederzeit weiterempfehlen.
7. August 2010 um 22:31
Wow, das ist ja erschreckend zu sehen. Die Frage die sich mir dabei immer stellt ist, in wie fern diese Studie gesponsort wurde… ;)
8. August 2010 um 00:49
Ein Haken haben die automatischen Updates. Wenn man einige Tuning-Massnahmen am WordPress-Core macht, sind die nach dem Update alles wieder weg. Ein Beispiel wären die Titel-Attribute bei den Links.
8. August 2010 um 15:41
NAch vielen Irrläufen landete ich vor geraumer Zeit bei wordpress, bin mehr als zufrieden. Danke auch an die Entwickler und den stets hilfsbereiten Mods und Mitgliedern von http://forum.wordpress-deutschland.org/
8. August 2010 um 20:07
@Matthias:
Für sowas sollte man eben immer Hooks und Filter benutzen, also z.B. als Plugin oder in die functions.php auslagern, damit man eben nicht direkt im Core rumbastelt.
8. August 2010 um 22:11
WordPress kann ich auch nur empfehlen.
Ps.: Seite gefällt mir, weiter so bitte mit den interessanten Berichten.
9. August 2010 um 11:01
@nepf – warum es hier so ist, kann ich Dir natürlich nicht sagen, aber es gibt in meinem Arbeitsumfeld meist Verzögerungen bei Updates durch genutzte und relevante Plugins.
Ansonsten: WordPress und eine Handvoll sicherheitsfördernde Plugins = Zufriedenheit plus Sicherheit
9. August 2010 um 11:32
Auch wir arbeiten mit WordPress wenn es um Forumsarbeit geht. Wir sind wirklich sehr zufrieden und gerade in Hinblick auf die Suchmaschinenoptimierung ist WordPress ein wichtiger Baustein und ich kann es nur empfehlen
9. August 2010 um 12:10
Sehr schön.
Wordpress ist und bleibt spitze!
G.
10. August 2010 um 10:21
Auch wir arbeiten mit WordPress und sind mehr als nur zufrieden.
WordPress ist nicht nur ein sicheres, sondern auch ein äußerst stabiles und schnelles System.
10. August 2010 um 14:14
Sehr interessante Statistik.
Diese muss allerdings wie jede andere unter Vorbehalt gesehen werden. Beispielsweise wird die Frage “Was ist eine kritische Lücke” sehr unterschiedlich beantwortet. Bei Drupal ist quasi alles eine “kritisch Lücke”. Wie man sich anhand des letzten Sicherheitsupdates anschauen kann ist die Wahrscheinlichkeit, dass so eine Lücke in der Realität ausgenutzt wird nahe Null: http://drupal.org/node/731710
Nichts desto trotz sind Mechanismen die es den Benutzern ermöglichen Updates einfach durchzuführen natürlich ein Segen. Ob Plugins in die Statistik mit eingegangen sind ist mir nicht ganz klar es scheint aber nicht der Fall zu sein.
12. August 2010 um 13:51
Wenn man sich die Statistik anschaut fragt man sich ja, warum manche Webmaster noch alte Software einsetzen bzw. nicht aktualisieren.
Ist denen nach allerlei Berichten immer noch nicht klar, was ein Angreifer so im System anrichten kann?
Freue mich das WordPress im Vergleich so sicher ist.
Daneben auch wirklich ein einfaches System!
14. August 2010 um 19:51
Das freut mich sehr, dass WordPress so sicher ist. Da hat mein Sohn mir ja mal das Richtige installiert, und für die vielen Updates ist sowieso er zuständig.
Ich bin sehr zufrieden. Macht weiter so!
16. August 2010 um 00:12
Aha jetzt verstehe ich das geupdate! nagut, halte meinen Server auf dem Laufenden! super, weiter so!
19. August 2010 um 00:25
War mir schon immer klar das WP sicher ist, was kann man den schon auf Blogs für Schaden anrichten die einem Hacker Annerkennung bringen. Dennen sind große Seiten viel wichtiger, wenn Sie eine von denen knacken erfährt es meistens die ganze Welt und bei einem kleinen WP-Blog ärgert es nur einen Webmaster!
19. August 2010 um 07:27
Hi Chris,
sind ja nicht nur unbekannte… ;)
http://www.wordpress-magazin.de/bekannte-firmen-die-wordpress-nutzen/
20. August 2010 um 17:42
Ich bin mir nicht sicher, wie vertrauenswürdig solche Statistiken sind. Von WordPress bin ich jedenfalls begeistert. Jetzt gibt es noch ein zusätzliches Argument für den Einsatz von WordPress. Danke!
22. August 2010 um 00:28
@dartshop
Gesponsert wurde dabei nichts. Die Jungs sind unabhängig. Allerdings sollte Dein Shop von der veralteten Version oscommerce mal auf eine neue, ohne die Sicherheitslücken gepacht werden.
Das nur als Tipp, sehe Dir doch einmal xtcModified an. Die Jungs sind immer aktiv und halten die Version uptodate.
Gruß aus dem Norden von
Thomas
24. August 2010 um 04:35
Ich benutze WordPress auf vielen meiner Homepageprojekte, da ich nach wie vor davon überzeugt bin, dass es etwas vom Sichersten überhaupt ist, was diese Statistik ja jetzt bestätigt. Wichtig ist halt auch bei WordPress, dass man jeweils auf die neuste Version updatet. Das scheinen gewisse User leider immer noch nicht durchschaut zu haben und man muss es ihnen immer wieder vor Augen führen.
26. August 2010 um 11:46
Ich bin erst seit 2 Tagen WordPress Anwender. Es gefällt mir, dass ich relativ gut damit umgehen kann – sicherlich werde ich meine Webseite noch x-mal neu gestalten, bis ich alles verstanden habe…….. .
Nun aber zur Sicherheit: bei allen Kommentaren über WordPress und Statistiken die ich gelesen haben dürft ihr die Sicherheit eures Betriebssystem nicht vergessen. Regelmäßige Updates von Microsoft Betriebssystemen und sonstige notwendige Sicherheitsregeln sollten selbstverständlich sein. Leider ist das in vielen Fällen nicht der Fall und Einsicht ist bei den Betroffenen selten vorhanden …. .
26. August 2010 um 22:15
“[...] Regelmäßige Updates von Microsoft Betriebssystemen [...]”
ähem… ich benutze auch eine Linux-Distribution… die ist relativ sicherer als Microsoft Windows! :-)
Gruss B-52
29. August 2010 um 09:18
Na wenn das mal nicht gute Nachrichten sind!
Vermutet habe ich das schon lange. Beeindruckend ist nur der Unterschied zu den anderen!
30. August 2010 um 20:14
Naja, was man als Webmaster sich schon gedacht hat, bekommt man jetzt auch schriftlich. :)
Und wie einfach die Updates bei WP im Gegensatz zu Typo3 oder so sind, ist auch eine lobenswerte Geschichte!
5. September 2010 um 12:39
Ok cool
8. September 2010 um 21:45
Na das hört man doch gerne als WordPress-Nutzer :)
22. September 2010 um 11:41
Was mich an WordPress stört, ist, dass die an sich gute Auto-Update Funktion ziemlich unsichere Dateirechte vorraussetzt.
Daher habe ich mir ein Plugin gebastelt, dass im Zusammenspiel mit einem Cronjob die Rechte nach einem Update sicher macht.
WordPress Dateirechte sicher machen