Lesezeit ca. 4 Minuten, 50 Sekunden

Blog / Wordpress oder Contao: unsere Meinung

Sicherheit fängt beim CMS an

Warum Websites gehackt werden und wie man durch die Wahl des richtigen Content Management System vorbeugen kann

Es ist schon wieder was passiert, würde Wolf Haas' Detektiv Brenner sagen. Mitten in der Faschingszeit verkündete die Villacher Faschingsgilde, dass ihre Website gehackt wurde und mit Links zu dubiosen Viagra-Anbietern übersät wurde. Doch warum nehmen sich Hacker immer wieder so unscheinbare und kommerziell uninteressante Websites vor? Die Antwort ist einfach: weil sie es können - und die Websitebetreiber es ihnen oft sehr einfach machen.

90 % aller gehackten Websites im Jahr 2018 liefen unter Wordpress.

Minimalanforderungen an die Sicherheit

Für den sicheren Betrieb einer Website muss man grundsätzlich nur drei Anforderungen gut erfüllen:

  1. ein sicheres Content Management System verwenden
  2. sichere Passwörter setzen
  3. regelmäßig Updates und Backups durchführen

Die letzten beiden Punkte sind leicht erfüllt. Selbst Kinder wissen heute, dass ein Passwort nie (allein) durch ein Wort bestehend darf, dass man in einem Wörterbuch finden könnte. Ebenso ist ein regelmäßiges Backup Pflicht – insbesondere nach größeren Änderungen auf der Website. Gute Content Management Systeme ermöglichen den schnellen Download der Datenbank mit einem Klick.

Das Problem ist meist die Wahl eines sicheren Content Management Systems – und wie so oft im Leben zeigt sich auch hier: die einfachste Lösung ist nicht immer die beste. Auch bei der Website der Villacher Faschingsgilde konnte man bereits beim Lesen der Überschrift vermuten, welches CMS hier eingesetzt wurde: es war natürlich Wordpress.

WordPress: für die meisten Websites ungeeignet

WordPress wurde ursprünglich als einfaches CMS für Blogs entwickelt, weshalb es auch heute in seiner Grundfunktion wenig Möglichkeiten für umfassende Websites bietet. Doch schon von Beginn an blühte eine engagierte Community auf, die den Funktionsumfang mithilfe von Plugins erweitern konnte. Doch mit dieser oft mangelhaft programmierten „Bastelei“ entstanden auch immer mehr Sicherheitslücken – manche ungewollt, manche jedoch auch vorsätzlich.

Die Entwickler von WordPress sind heute sehr interessiert daran, das System sicher zu halten, was ihnen beim Core auch gelingt. Das Problem sind jedoch weiterhin Plugins und Templates, die oft große Einfallstore für Hacker bieten. Der naive Websitebetreiber sieht ein kostenloses Angebot für ein Template oder eine Funktionserweiterung, installiert diese und merkt gar nicht, dass er damit Hackern eine Einladung geschickt hat. Versteckte PHP-Scripte ermöglichen es dann, in das System einzusteigen und dort weitere Programme oder Inhalte zu platzieren.

Warum ist jede Website für Hacker interessant?

Der Grund für das Hacken einer Website ist meist ein einfacher: Geld. Mit dem Zugriff auf ein fremdes System kann der Hacker dort Programme installieren, die z.B. Spam verschicken, kann Serverleistung anzapfen, kann Passwort- und Kundeninformationen zum Weiterverkaufen runterladen oder für weitere Hacks verwenden, kann Viren oder Malware verbreiten oder einfach den Inhalt mit Links zu anderen Websites überfluten.

Dafür gibt es einen aktiven Markt und – besonders in Ländern wie Russland, Ukraine, China - auch ausreichend Hacking-Profis. Und diese Profis suchen sich dazu natürlich die einfachsten Ziele. Mit 60 % weltweitem Marktanteil unter Websites – oft von Laien mit geringen Kenntnissen installiert – sind das Wordpress-Installationen.

Warum wir WordPress niemandem empfehlen

Wenngleich Wordpress also ein kompaktes und in seiner Grundfunktion auch sicheres CMS ist, raten wir bereits seit Jahren dringend von der Verwendung in einer kommerziellen Umgebung ab! Um Wordpress die notwendigen Funktionen einer Business-Website zu verleihen, ist immer die Installation von zusätzlichen Plugins notwendig. Bei der Auswahl von diesen muss man klären, ob diese wohl sicher sind – was oft auf den ersten Blick nicht möglich ist.

Der „günstige“ Preis von Wordpress relativiert sich dann schnell, da andere CMS meist schon in der Grundinstallation mehr Funktionen bieten. Man darf auch nicht vergessen, dass WordPress nie als Business-CMS sondern für digitale Tagebücher erdacht wurde – es bleibt in einer professionellen Umgebung daher meist ein Provisorium.

Unsere erste Wahl: Contao CMS

Bereits seit mehr als 10 Jahren setzen wir deshalb meist auf ein Content Management System, das still und leise seit vielen Jahren im deutschsprachigen Raum entwickelt wird: Contao.

Einerseits bietet die Grundinstallation bereits viele Funktionen, die man von einem Business-CMS erwartet: vielfältige Inhaltstypen, ausbaufähiges Rechtemanagement, saubere Programmierung und Installation. Andererseits kann man dies mit einer stetig wachsenden Anzahl von Erweiterungen für Spezialfunktionen ergänzen – selbst Webshops sind integrierbar. Für den Fall der Fälle stehen Backupfunktionen und – einzigartig unter Content Management Systemen – Versionsmanagement zur Verfügung (d.h. man kann gelöschte Inhalte wiederherstellen, beliebig lang zurück).

Contao ist auch sehr „europäisch“: Anforderungen für die Gesetzeslagen in Österreich und Deutschland sind so schon von Haus aus implementiert (z.B. für die Möglichkeiten der Barrierefreiheit), und russische Hacker kennen diesen Exoten gar nicht.

Sicherheit ist allein schon gegeben durch die „deutsche“ Gründlichkeit der Programmierung durch ein etabliertes Team aus D-A-CH. So kennt exploit-db.com gerade mal 2 Sicherheitslücken bei Contao (und beide liegen schon mehr als 8 Jahre zurück). Die gleiche Datenbank listet mehr als 1100 Sicherheitslücken für Wordpress und dessen Plugins – viele davon in Plugins, die nicht mehr gewartet werden!

Ein vielfältiges CMS für Websites aller Größen

Wir konnten viele aufregende Projekte mit Contao erfolgreich realisieren: von einfachen One Pagern bis hin zu komplexen Websites mit mehreren Domains, Mehrsprachigkeit, Webshops oder hohen Anforderungen an die Barrierefreiheit. Contao zeigt dabei auch seine Ausbaufähigkeit, weshalb es gerade für junge Unternehmen interessant ist: Klein gestartet kann die Website mit dem Erfolg (und Anforderungen) mitwachsen, ohne dass man das CMS wechseln muss. Und das alles natürlich im Design Ihrer Wahl.

Sprechen Sie mit uns über Ihre Anforderungen. Tel. 0463 264666.

Man kann keine Website 100 % sicher vor Hackerangriffen machen, doch man sollte es den Angreifern zumindest so schwer wie möglich machen. Und dazu gehört die Wahl eines geeigneten CMS.

Zurück