WP, CMS und Sicherheit

Raphael · 11.05.2008, 15:30

Hallo an alle im Forum!
Ich suche für eine Präsentation ein paar Sites, die WP als CMS nutzen. Da gibt es sicherlich einige... Könntet ihr mir ein paar Links posten?

Und noch eine Frage: Wie sieht es denn mit der Sicherheit bei WP aus? Also ich habe keinerlei Bedenken und setze WP bei den unterschiedlichsten Projekten ein. Es gibt aber immer wieder Leute, die sagen, dass WP unsicher wäre, bzw. Sicherheitslücken hätte. Wie seht ihr das? Bzw: Gibt es eine passende Antwort/ passende Argumente in diesem Fall?

Danke für eure Meinungen!
Raphael

marX · 11.05.2008, 16:42

Sicherheitslücken gibts überall, bei WP werden die aber immer recht schnell gefixt. Wichtigste Regel: Sicherheitsupdates für Plugins, Themes und natürlich das Blog selbst immer schnellstens einspielen.

Weitere Tipps findest du in der FAQ:
WordPress Deutschland FAQ » WordPress sicherer machen

cywhale · 11.05.2008, 18:30

Wie genau definierst Du 'als CMS nutzen', was für Seiten werden gesucht?

Zum Thema SIcherheit -- irgendwo habe ich mal eine Statistik gesehen nach welcher WordPress mehr Sicherheitslücken aufweisen soll als z.B. Drupal (leider nicht gebookmarked). Andererseits hat jede grössere Web-Software Sicherheitslücken, je grösser und unübersichtlicher der Sourcecode desto eher schleichen sich Fehler ein. Auch seit Jahren genutzte und weiterentwickelte 'normale' Software bekommen immer wieder Sicherheitsfixes, Beispiel ist z.B. der Druckerserver Cups unter Linux.

Vorteil bei WordPress: Bei Bekanntwerden sehr schnelle Sicherheitsfixes (z.B. 2.5.1), grosse Community & Entwicklergemeinschaft, d.h. Sicherheitslöcher werden ggf. schneller gefunden und/oder behoben.
Nachteil: Durch eigene Themes und frei erstellbare Plugins tun sich natürlich auch schnell neue Löcher auf -- die wiederum auch wieder von den Autoren schnell behoben werden (sollten) sofern diese informiert werden. Durch Apache als Server und .htaccess lassen sich viele Sicherheitslücken schon unschädlich machen bevor sie überhaupt angesprochen werden können.

Derzeit arbeite ich an einem grösseren Artikel zum Thema Sicherheit/WordPress, wenn er soweit ist werde ich Dir einen Link zukommen lassen.

Grüsse

Raphael · 13.05.2008, 13:51

Zitat:

Zitat von cywhale

Wie genau definierst Du 'als CMS nutzen', was für Seiten werden gesucht?

Zum Thema SIcherheit -- irgendwo habe ich mal eine Statistik gesehen nach welcher WordPress mehr Sicherheitslücken aufweisen soll als z.B. Drupal (leider nicht gebookmarked). Andererseits hat jede grössere Web-Software Sicherheitslücken, je grösser und unübersichtlicher ...

Danke an alle, die bis jetzt gepostet haben!
@ CMS: Es geht um eine Diskussion, bei der eine größere Umweltschutzgruppe ihre Webseite auf ein kostenloses CMS umstellen möchte. Ohne die Größe der Site und ohne die geplanten Funktionen der Site zu kennen habe ich mal WP vorgeschlagen, und die Antwort erhalten, dass das nicht möglich/ sinnvoll wäre. Auf die Frage warum, gab es folgende Antwort:

Zitat:

Nutzerverwaltung mit mehrerer tausend Einträgen, Forum, Newsletterversand (nicht nur an ein paar hundert Leute) etc... ist nicht möglich. Zudem hat mir WP langsam zu viele Sicherheitslücken.

Nachdem ich erfahren habe, dass die Site so groß werden soll, mußte ich zugeben, dass ich keine Webseite kenne, die WP nutz und so groß ist. Aber vielleicht gibt es sie, nur ich kenne sie nicht. Also frag ich mal nach.

@ Sicherheit: Das wurde ich schon mehrmals gefragt, also wollte ich mich mal informieren. Den größten Vorteil, den ich bei WP sehe, und der auch von MarX angesprochen wurde, ist der, dass es bei WP eine große Community gibt. Wenn also ein Problem auftaucht, gibt es nicht nur 3 Spezialisten, die helfen können, sondern mehrere hundert.

@ Beispielseiten WP als CMS: Also falls jemand interessante Sites kennt, die WP als CMS nutzen, freue ich mich über einen Link!

lG
Raphael

msi · 13.05.2008, 14:04

Zitat:

Zitat von cywhale

Andererseits hat jede grössere Web-Software Sicherheitslücken, je grösser und unübersichtlicher der Sourcecode desto eher schleichen sich Fehler ein.

Das kannst du laut sagen, und die Entwickler von WordPress folgen leider dieser Regel unbeirrbar. Jedes Mal, wenn Sicherheitslücken bekannt werden, dann werden diese zwar behoben, aber die Forderungen nach einem "feature freeze" (dass die Entwickler sich also einmal darauf konzentrieren, den Code abzusichern, ggf alte Relikte zu entfernen, anstelle ständig neue Dinge einzubauen) werden abgetan.

Ich will mit WordPress nur schreiben. Aber das Ding wird immer fetter. Brandneu reingekommen ist die Quick Post-Funktion. Wird offenbar Teil der Version 2.6 werden. Wenn du auf "Artikel schreiben" gehst, gibts einen neuen Punkt namens Press It. Damit kannst du auch bloß Beiträge schreiben, die aber unterteilt sind in Text/Link, Foto und Video. Und bevor jetzt irgendwer jubelt: es handelt sich einfach nur um Funktionen, um Bilder oder Videos in Beiträge zu setzen. Den notwendigen Code bzw. die notwendigen Angaben muss man selbst eintragen.

Und von den Revisionen in v2.6 will ich gar nicht erst anfangen.

Alphawolf · 13.05.2008, 14:11

Zitat:

Zitat von Raphael

Es gibt aber immer wieder Leute, die sagen, dass WP unsicher wäre, bzw. Sicherheitslücken hätte. Wie seht ihr das?

Es gibt leider genauso viele Leute, die sich beschweren, dass so oft geupdated werden muss. Man wird es nie allen recht machen können. Entweder Lecks werden schnell geschlossen, oder aber man führt wie MS bestimmte Patch-Tage ein, an denen gesammelt gepatcht wird, was ich aber für sinnlos halte, da sich dann wieder die "WP hat viele Löcher"-Riege melden würde.. etc etc..

Raphael · 13.05.2008, 14:22

Zitat:

Zitat von Alphawolf

Es gibt leider genauso viele Leute, die sich beschweren, dass so oft geupdated werden muss. Man wird es nie allen recht machen können. Entweder Lecks werden schnell geschlossen, oder aber man führt wie MS bestimmte Patch-Tage ein, an denen gesammelt gepatcht wird, was ich aber für sinnlos halte, da sich dann wieder die "WP hat viele Löcher"-Riege melden würde.. etc etc..

Ist mir offensichtlich zufällig passiert, dass innerhalb von sehr kurzer Zeit drei Leute, denen ich WP empfohlen habe, mit dem Sicherheitsargument gekommen sind. Also wollte ich mal nachfragen. Aber dein Argument scheint zu stimmen: Es gibt eben immer jemand, der was auszusetzen hat.

lG
Raphael

msi · 13.05.2008, 14:39

Es gibt auch Sicherheitslücken in anderer Software. Vor einiger Zeit war Joomla betroffen. Ich habe es einem deutschen Betreiber gemeldet, dessen Server gekapert war. Auf dem Server wurde ein Skript hinterlassen, das jemand bei meiner Seite ausführen wollte. Klappte nicht, weil ich Joomla nicht nutze, und weil solche Scherze sowieso gleich geblockt werden, aber deswegen kannte ich den Server und schrieb dem Betreiber.
Wenn man allerdings mal bei Heise guckt (um ein Beispiel zu nennen), dann taucht WordPress dort häufiger als Joomla auf. Sicher, viele Probleme dürften an externen Plugins liegen, die Sicherheitslücken aufreißen. Aber einige Probleme sind hausgemacht.

Ich bspw. aktualisiere meine SVN-Version von WordPress fast täglich, teste die Änderungen lokal und lade es dann unverzüglich hoch. Mir macht das nichts weiter aus, aber dennoch befürworte ich, dass man endlich einmal den Grundcode überarbeitet und absichert. Der Rest ergibt sich dann nämlich von selbst, wenn man ein stabiles, einigermaßen sicheres und vor allem konsistentes Framework (= einheitlicher Aufbau der Funktionen, ähnliche Benennung der Variablen, Konstanten, usw.) hat.

redcat63 · 13.05.2008, 15:17

1. haben meine VorrednerInnen alle Recht

und
2. findest Du auf meiner Seite Infos und weitere Links zum Thema Sicherheit und Wordpress.
3. Es gibt verschiedene Websites, die viele verschiedene Daten verwalten (müssen). Das geschieht alles per WordPress.
Welche das sind, das müsste ich noch mal erfragen.

VG Elke

suedkind · 13.05.2008, 15:23

Zitat:

Zitat von Raphael

Ohne die Größe der Site und ohne die geplanten Funktionen der Site zu kennen habe ich mal WP vorgeschlagen, und die Antwort erhalten, dass das nicht möglich/ sinnvoll wäre. Auf die Frage warum, gab es folgende Antwort:

Nachdem ich erfahren habe, dass die Site so groß werden soll, mußte ich zugeben, dass ich keine Webseite kenne, die WP nutz und so groß ist. Aber vielleicht gibt es sie, nur ich kenne sie nicht. Also frag ich mal nach.

das klingt eher nach einem projekt für typo3 als für wordpress

11.05.2008, 15:30	#1 (permalink)
Raphael PostRank: 4 Registriert seit: 08.09.2005 Ort: Berlin Beiträge: 236	WP, CMS und Sicherheit Hallo an alle im Forum! Ich suche für eine Präsentation ein paar Sites, die WP als CMS nutzen. Da gibt es sicherlich einige... Könntet ihr mir ein paar Links posten? Und noch eine Frage: Wie sieht es denn mit der Sicherheit bei WP aus? Also ich habe keinerlei Bedenken und setze WP bei den unterschiedlichsten Projekten ein. Es gibt aber immer wieder Leute, die sagen, dass WP unsicher wäre, bzw. Sicherheitslücken hätte. Wie seht ihr das? Bzw: Gibt es eine passende Antwort/ passende Argumente in diesem Fall? Danke für eure Meinungen! Raphael __________________ Geändert von Raphael (11.05.2008 um 15:34 Uhr).

11.05.2008, 18:30	#3 (permalink)
cywhale PostRank: 4 Registriert seit: 23.01.2007 Ort: Erlangen Beiträge: 194	Wie genau definierst Du 'als CMS nutzen', was für Seiten werden gesucht? Zum Thema SIcherheit -- irgendwo habe ich mal eine Statistik gesehen nach welcher WordPress mehr Sicherheitslücken aufweisen soll als z.B. Drupal (leider nicht gebookmarked). Andererseits hat jede grössere Web-Software Sicherheitslücken, je grösser und unübersichtlicher der Sourcecode desto eher schleichen sich Fehler ein. Auch seit Jahren genutzte und weiterentwickelte 'normale' Software bekommen immer wieder Sicherheitsfixes, Beispiel ist z.B. der Druckerserver Cups unter Linux. Vorteil bei WordPress: Bei Bekanntwerden sehr schnelle Sicherheitsfixes (z.B. 2.5.1), grosse Community & Entwicklergemeinschaft, d.h. Sicherheitslöcher werden ggf. schneller gefunden und/oder behoben. Nachteil: Durch eigene Themes und frei erstellbare Plugins tun sich natürlich auch schnell neue Löcher auf -- die wiederum auch wieder von den Autoren schnell behoben werden (sollten) sofern diese informiert werden. Durch Apache als Server und .htaccess lassen sich viele Sicherheitslücken schon unschädlich machen bevor sie überhaupt angesprochen werden können. Derzeit arbeite ich an einem grösseren Artikel zum Thema Sicherheit/WordPress, wenn er soweit ist werde ich Dir einen Link zukommen lassen. Grüsse __________________ CyStats Statistik Plugin, Blogabsicherung

13.05.2008, 15:17	#9 (permalink)
redcat63 PostRank: 8 Registriert seit: 31.03.2006 Beiträge: 853	1. haben meine VorrednerInnen alle Recht und 2. findest Du auf meiner Seite Infos und weitere Links zum Thema Sicherheit und Wordpress. 3. Es gibt verschiedene Websites, die viele verschiedene Daten verwalten (müssen). Das geschieht alles per WordPress. Welche das sind, das müsste ich noch mal erfragen. VG Elke __________________ http://v-portal.org und http://u-portal.de

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

11.05.2008, 16:42	#2 (permalink)
marX WPD-Moderator Registriert seit: 05.10.2006 Beiträge: 5.498	Sicherheitslücken gibts überall, bei WP werden die aber immer recht schnell gefixt. Wichtigste Regel: Sicherheitsupdates für Plugins, Themes und natürlich das Blog selbst immer schnellstens einspielen. Weitere Tipps findest du in der FAQ: WordPress Deutschland FAQ » WordPress sicherer machen

13.05.2008, 14:39	#8 (permalink)
msi PostRank: 4 Registriert seit: 01.02.2007 Beiträge: 242	Es gibt auch Sicherheitslücken in anderer Software. Vor einiger Zeit war Joomla betroffen. Ich habe es einem deutschen Betreiber gemeldet, dessen Server gekapert war. Auf dem Server wurde ein Skript hinterlassen, das jemand bei meiner Seite ausführen wollte. Klappte nicht, weil ich Joomla nicht nutze, und weil solche Scherze sowieso gleich geblockt werden, aber deswegen kannte ich den Server und schrieb dem Betreiber. Wenn man allerdings mal bei Heise guckt (um ein Beispiel zu nennen), dann taucht WordPress dort häufiger als Joomla auf. Sicher, viele Probleme dürften an externen Plugins liegen, die Sicherheitslücken aufreißen. Aber einige Probleme sind hausgemacht. Ich bspw. aktualisiere meine SVN-Version von WordPress fast täglich, teste die Änderungen lokal und lade es dann unverzüglich hoch. Mir macht das nichts weiter aus, aber dennoch befürworte ich, dass man endlich einmal den Grundcode überarbeitet und absichert. Der Rest ergibt sich dann nämlich von selbst, wenn man ein stabiles, einigermaßen sicheres und vor allem konsistentes Framework (= einheitlicher Aufbau der Funktionen, ähnliche Benennung der Variablen, Konstanten, usw.) hat.