Menü

BSI nimmt WordPress, Typo3 & Co. unter die Security-Lupe

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 162 Beiträge
Von

In einer über 160 Seiten starken Studie des Bundesamts für Sicherheit in der Informationstechnik (BSI) werden die gängigen Web-CMS-Lösungen Drupal, Joomla!, Plone, Typo3 und WordPress genauer unter die Security-Lupe genommen. Untersucht wurden unter anderem die Phasen des jeweiligen Lebenszyklus' der Software, vorhandene Protokollierungseinstellungen und der gebotene Datenschutz.

Eine Auswertung bekannter Schwachstellen durch das BSI ergibt, dass Joomla! und Typo3 einen vergleichsweise hohen Anteil der schwerwiegenden Code-Execution-Lücken haben.

(Bild: BSI)

Eine vom Hersteller nicht gepatchte Schwachstelle, das Fehlen eines Krisenkommunikationsprozesses oder eines Brute-Force-Schutzes wirkt sich unmittelbar negativ auf die Gesamteinschätzung durch das BSI aus, wohingegen eine hakelige Integration in bestehende Managementsoftware nur zu moderater Abwertung führt. Auf einen Penetrationstest haben die BSI-Experten vorerst jedoch verzichtet.

Vorgenommen hat sich das BSI die CMS aufgrund ihrer exponierten Stellung: Sie können für Angreifer ein erstes Ziel sein beim Versuch, in das interne Netzwerk eines Unternehmens einzudringen. Dazu kommt, dass diese Systeme meist ohne weitere Anpassung installiert und verwendet werden, so dass eine aufgetauchte Schwachstelle auf einen Schlag viele Websites gleichzeitig in Gefahr bringt.

Eines der – wenig überraschenden – Resultate der Studie ist, dass im Verhältnis ungleich mehr Schwachstellen in Plug-ins gefunden werden als in der Basissoftware des CMS an sich. Im Fall von WordPress beispielsweise entfallen 20 Prozent aller Bugs auf das CMS, 80 Prozent hingegen auf Add-Ons. Bei Drupal ist das Verhältnis mit fünf Prozent (CMS) zu 95 Prozent (Erweiterungen) noch erheblich krasser.

Grundsätzlich bescheinigen die Autoren der Studie den CMS ein gutes Sicherheitsniveau und zeigen sich zufrieden mit den sicherheitsrelevanten Prozessen der einzelnen Anbieter. Gleichzeitig empfehlen sie jedoch, ein CMS keinesfalls in der Standardkonfiguration zu betreiben, sondern es nach der Installation hinsichtlich der für die Sicherheit relevanten Optionen anzupassen. Dazu gehören beispielsweise der Einsatz von nicht-standardisierten Admin-Accounts, eines automatisierten Update-Managements sowie das Verwenden von HTTPS für den Betrieb des Front- und auch Backends. (Uli Ries) / (rei)