Studie vergleicht die Sicherheit von WordPress, Drupal, Joomla und Typo3

Von Pfaender @pfaender_media

Content-Management-Systeme (CMS) gibt es ja bekanntlich viele. Zumeist hängt der Einsatz eines bestimmten CMS von der persönlichen Präferenz des Website-Entwicklers ab, es gibt aber auch “harte” Faktoren, die für oder gegen ein CMS sprechen. Die Sicherheit oder vielmehr die Unsicherheit ist zum Beispiel ein Aspekt, der sich nicht wegdiskutieren oder mit dem persönlichen Empfinden entkräften kann. Jedes Content-Management-System hat besondere Eigenschaften, die einen Vergleich zumindest schwierig, wenn nicht gar unmöglich machen.

Die hier angesprochene Studie von Philipp Krenn wagt den Versuch eines Vergleichs auf rein mengenmässiger Basis der aufgetretenen und bemerkten Fehler. Natürlich hinkt dieser Vergleich auch, denn die an den jeweiligen CMS beteiligten Entwicklerteams gehen wahrscheinlich mit der Fehlerveröffentlichung anders um oder geben Fehlern eine andere Gewichtung, aber irgendwo muss man ja mal anfangen :-).

Philipp vergleicht zu Anfangs nur die reine Quantität der im aktuellen Release identifizierten Schwachstellen. Hier schneiden Joomla und Typo3 relativ schlecht ab. Drupal ist in der Gesamtsumme der Fehler vergleichsweise gut und WordPress liegt irgendwo im Mittelfeld. Doch ist die Aussagekraft dieser Grafik recht fragwürdig, denn was allein besagt die blosse Anzahl der Fehler, wenn man nicht weiss, ob es sich um einen leichten oder einen kritischen Fehler handelt.

Im zweiten Schritt werden in der Studie die erkannten Schwachstellen nun gewichtet und nur die wirklich gefährlichen Schwachstellen fliessen in das nächste Schaubild ein. Bei diesem Punkt sind alle im Vergleich ausgewerteten CMS relativ gleich, mit Ausnahme von Typo3, welches doch eine deutlich höhere Schwachstellenanzahl aufweist. Dies führt Phillip jedoch (zumindest teilweise) auf die striktere Klassifizierung von gefährlichen Schwachstellen zurück, als bei den anderen CMS.

Wie bereits eingehend erwähnt, ist ein wirklicher Vergleich von Content-Management-Systemen sehr schwierig, deswegen möchte ich mich einer Wertung hier enthalten. Es scheint jedoch so, als ob Typo3 in beiden “Tests” nicht so gut wegkommt.

Ich persönlich arbeite bei relativ simplen Kundenwünschen gerne mit WordPress, weil es so schön schnell und einfach geht und weil durch die vielen Plugins eigentlich keine Wünsche offenbleiben. Bei differenzierteren Projekten, wenn z.B. die Inhaltsseiten selbst gestaltet werden müssen, greife ich dann zu Drupal, weil das Zusammenspiel von Views und sehr detaillierter Berechtigungsstruktur eigentlich jeden Kundenwunsch abbilden lassen – und auch für Drupel gibt es mittlerweile eine sehr grosse Anzahl fertiger Modules.

Ich würde mich über Ihre Meinung zu den verschiedenen CMS freuen. Bei Fragen können Sie mir natürlich auch gerne einen Kommentar hinterlassen.