Sind Joomla oder WordPress anfälliger als ‚Insellösungen‘?

Immer wieder berichten User im Internet über Sicherheitslücken bei Joomla und WordPress. Wie anfällig sind diese wirklich?

Generell sind CMS modular erweiterbare Webseitensysteme, die auf Basis von unterschiedlichen Plattformen wie Java, Asp.NET oder auch PHP arbeiten. Die Anfälligkeit eines solchen Systems ergibt sich also aus den Anfälligkeiten der eingesetzten Module, dem Kern des CMS sowie der benutzten Plattform.

Den wohl anfälligsten Teil machen die zusätzlich installierten Module aus, da diese meist nur vereinzelt genutzt werden und somit bestehende Sicherheitslücken nur langsam entdeckt und geschlossen werden können. Gleiches gilt auch für den Kern von weniger verbreiteten CMS, da diese nicht über genug Ressourcen verfügen, um Sicherheitslücken aufzudecken und zu schließen. Die Meldungen über Sicherheitslücken bei Joomla und Co. sind meist darin begründet, dass ein Update, welches genau diese Sicherheitslücke schließt, in Entwicklung ist oder bereits veröffentlicht wurde.

Wenn ein Hacker eine Webseite angreifen will, hat er zwei Möglichkeiten: Er nutzt bekannte Sicherheitslücken, oder er sucht nach bisher unbekannten Lücken. Die erste Methode ist in der Regel einfacher zu realisieren und macht die großen CMS angreifbarer, da hier Lücken schneller und häufiger bekannt werden. Andererseits werden bekannte Lücken in der Regel schnell geschlossen und vorübergehende Lösungen veröffentlicht. Wer also sein CMS aktiv wartet und häufig aktualisiert, hat im Bezug auf die Sicherheit einen Vorteil. Die zweite Variante hat hingegen bei weniger verbreiteten CMS und vor allem bei Individuallösungen mehr Erfolg. Dies betrifft aber auch zusätzlich verwendete Module eines größeren CMS.

Manche Sicherheitslücken treten sowohl bei Joomla als auch bei WordPress in ganz ähnlicher Form auf. Ein beliebtes Angriffsziel für Attacken sind z.B. SQL-Anweisungen. Sie konnten – zumindest in älteren Versionen – so manipuliert werden, dass der Angreifer unter Umständen sogar die Zugangsdaten eines Administrators zur Datenbank ermitteln konnte. Sind diese erst einmal bekannt, dann sind dem Lesen und Manipulieren von Daten kaum noch Grenzen gesetzt.

Bei WordPress wurden solche Angriffe beispielsweise in älteren Versionen durch einen Wurm realisiert. Er griff die Software an und richtete sich ein Administrator-Konto ein. Als konkretes Beispiel wurde die Komponente Newsletter 2.x für WordPress öffentlich genannt. Ein Update war lange nicht verfügbar. Neben der Variante, in der Datenbank entsprechenden Schutz einzubauen, gab es aber hier die Möglichkeit, direkt den Quellcode zu ändern, damit schon bei der Eingabe über die Tastatur die entsprechenden Sicherheits-Überprüfungen vorgenommen werden.

Neuere Versionen versuchen gerade diese Sicherheitslücke zu schließen. Erfahrene Anwender haben die Möglichkeit, in ihrer Datenbank selbst entsprechende Sicherheitsmechanismen einzubauen, die so einen Manipulationsversuch unwirksam machen. Außerdem wird den Anwendern auch hier geraten, stets die neueste Version zu installieren und Updates zu nutzen.