CMS wie Typo3, Drupal, WordPress oder Joomla arbeiten nach demselben Prinzip: Alle Funktionen sind in einer Skriptsprache programmiert – bei den vier genannten Kandidaten ist das PHP. Diese PHP-Funktionen analysieren die vom Benutzer über seinen Webbrowser an den CMS-Webserver gesendete Anfrage. Daraus versuchen andere PHP-Funktionen, eine passende Antwort in Form eines HTML-Dokuments zu erstellen. Dazu greift PHP auf die Daten in einer Datenbank zu – bei den genannten CMS handelt es sich in der Regel um MySQL oder MariaDB. Alternativ kommen auch andere SQLite, PostgreSQL, OracleSQL oder MS-SQL zum Einsatz. In der Datenbank schlummern Vorlagen oder Anweisungen zu Aufbau, Aussehen und Inhalten einzelner Webseiten. Das alles fügt PHP zusammen und erzeugt daraus ein HTML-Dokument, das es an den Webserver (Apache, Nginx, IIS et cetera) übergibt. Dieser liefert die dynamisch erzeugte Seite an den Browser aus.

Klingt vor allem für Blogs & Co. unnötig kompliziert. Außerdem sind die CMS anfällig für Fehler und Sicherheitslücken (Common Vulnerabilities and Exposures, CVE). Bei Drupal waren es seit 2002 ganze 200 CVEs, bei Typo3 seit 2005 immerhin 193, und das beliebte WordPress kommt seit 2004 auf satte 331 CVEs - das sind im Schnitt rund 20 dokumentierte Sicherheitslücken pro Jahr (2019: 23, 2020: 21).

Über Sicherheitslücken können Angreifer beispielsweise Schadcode einschleusen, der anschließend vom Webserver an die eigenen Leser und Kunden ausgeliefert wird. Im schlimmsten Fall kann das System und damit der ganze Server kompromittiert werden und gelangt so in die Hand von Cyberkriminellen. Diese können dann Inhalte verändern, löschen oder gar eigene (illegale) Inhalte hochladen. Wie bei jeder Software liefern auch CMS als Gegenmaßnahme automatische Updates aus. Dabei laufen sie den Lücken jedoch prinzipbedingt immer hinterher. Einen Fix kann es nur geben, wenn zuvor eine Lücke erkannt wurde. Wer die Logdateien seiner CMS genauer unter die Lupe nimmt, stellt schnell fest, dass es kurz vor einem Update bereits massive Angriffe auf diese Lücke gibt. Die Angriffe sind ebenfalls automatisiert und kommen weltweit und skriptgesteuert aus organisierten Netzwerken. Für den normalen CMS-Betreiber ist es beinahe unmöglich, sich gegen diese Angriffe proaktiv zu wehren. Ist man selbst kein erfahrener Administrator, sollte man sich auf einen Dienstleister verlassen, der WordPress oder eines der anderen CMS vorinstalliert hostet. Hier kann man bei Problemen von einigermaßen schnellen Reaktionszeiten ausgehen und muss nicht selbst permanent auf der Lauer liegen. Das kostet aber natürlich Geld.