Am 19.8.2016 ging Software-Lupe nach längerer Pause wieder online – ein guter Anlass für einen kleinen Rückblick. Besonders spannend dürfte dabei sein, welcher der 4 CMS-Big-Player die meisten/wenigsten Sicherheitspudates veröffentlicht hat.
Man startet immer ambitioniert, doch mir war beim Relaunch klar, dass ich S-L niemals so mit Inhalten bestücken kann, wie ich gerne würde. Meine Zeit für dieses Hobbyprojekt erwies sich sogar als noch kleiner als ich befürchtet hatte. Dennoch habe ich kontinuierlich und lückenlos Sicherheitspudates gepostet, für alle großen Betriebssysteme, gängige Software und natürlich für CMS.
4 CMS und ihre Sicherheitsupdates innerhalb eines Jahres
Das Ergebnis, welches der 4 CMS (Drupal, Joomla!, Typo3, WordPress) in dem Jahr meiner Aufzeichnungen die meisten Sicherheitslücken hatte, wird sicher einige überraschen:
- Typo3 – 3 Patches
- WordPress – 5 Patches
- Drupal – 6/7 Patches
- Joomla! – 7 Patches
Ist diese Aufzählung jetzt repräsentativ? Nein, das Blatt kann sich schnell wenden und im nächsten Jahr ist vielleicht ein anderes CMS Spitzenreiter.
„Aber dieses CMS hat doch viel mehr Sicherheitslücken bei den Third-Party-Erweiterungen – das ist doch ein Indiz dafür, dass es per se unsicherer ist als andere?“ Nein.
Erstens werden Third-Party-Erweiterungen nicht von den Entwicklern des CMS entwickelt.
Zweitens kann die geringe Anzahl an Open-Source-Core-Entwicklern nicht die immense Zahl an Add-ons auf Sicherheitslücken überprüfen und das auch noch konstant. Obwohl die Entwickler hier wirklich manche Prüfmechanismen vorschalten, bevor Add-ons ins offizielle Repositorium gelangen. Ach ja und dann gibt es ja noch die Unmengen an Add-ons die außerhalb der CMS-Websites kostenpflichtig oder kostenlos heruntergeladen werden können.
Drittens: Man stelle auf die rechte Seite 5.000 mit je einer Eiskugel gefüllte Becher und auf die linke Seite 50.000 mit je einer Eiskugel gefüllte Becher in die pralle Sonne. Auf welcher Seite werden wohl mehr Eiskugeln innerhalb von 2 Minuten anfangen zu schmelzen? Genauso verhält es sich mit der Anzahl von Erweiterungen, die pro CMS verfügbar sind.
Kurzum: Die verfügbaren und nicht! von den Core-Entwicklern bereitgestellten Erweiterungen sind keine Indikatoren für die Sicherheit eines CMS.
Eigentlich schneiden alle CMS gut ab
Wie die Überschrift schon sagt, im Vergleich zu den Betriebssystemen oder/und der gängigen Software, von der jeder mindestens eine auf dem Rechner hat, sind die CMS mit ihren wenigen Sicherheitslücken echte Spitzenreiter in puncto Sicherheit.
Für jedes Betriebssystem wurden in dem Jahr meiner Aufzeichungen eine Unmenge an Sicherheitsupdates veröffentlicht, bei Windows geschieht das im monatlichen Turnus, bei Chrome ohne festen Zeitplan aber sehr häufig, Apple genauso, aber wirklich überrascht wurde ich von Linux. Das war eine dermaßige Überflutung mit Sicherheitspatches, dass ich deren Veröffentlichtungen auf S-L im Februar 2017 stoppen musste.
Jeder Browser und jedes E-Mail-Programm war in dem Jahr von unzähligen Sicherheitslücken betroffen. Und schaut man auf weit verbreitete Software wie Adobe Flash, Adobe Reader oder Java (nicht! JavaScript) wird einem erst recht schwindelig und es wird einem auch speiübel, wenn man das, was die großen Konzerne uns zumuten, in seiner Gesamtheit betrachtet.
Liebe CMS-Entwickler ihr könnt da mit nur 3 bis 7 Sicherheitspatches innerhalb eines Jahres wirklich stolz auf euch sein.
Und sonst?
Es ist nicht viel an Inhalten, was in dem Jahr noch auf S-L Einzug gehalten hat. Von jedem etwas, ein paar Reviews, Tipps, Tutorials und Videos. Natürlich möchte ich mehr veröffentlichen, leider ist die Zeit dafür knapp, Ideen habe ich aber genug. Es wird auch künftig neue Inhalte geben und die Kurznachrichten-Rubrik mit den Sicherheitsnews wird kontinuierlich gefüttert werden.
Danke an alle, die S-L lesen und besuchen.