Wie oft wird WordPress im Vergleich zu Joomla, Drupal, Magento gehackt?

In regelmäßigen Abständen taucht in meinen Kundengesprächen die Frage auf, ob WordPress wirklich sicher ist. Und schaut man sich im Netz ein wenig um, so kann man in der Tat den Eindruck gewinnen, dass das CMS WordPress im Vergleich zu Joomla!, Magento, Drupal oder anderen Systemen unglaublich unsicher ist. Wie kommt das? Und viel wichtiger: Stimmt das?

Schauen wir uns zunächst an, wo diese Information herkommt. Die meisten Websites beziehen sich auf den regelmäßigen Sucuti Report, der einen Überblick über die gehackten Seiten pro Quartal gibt.

Dieser Report ist sehr beliebt, da er einen detaillierten Einblick in die Arbeitsweise einer auf Sicherheit spezialisierten Firma gibt. Die Ergebnisse sind in der Regel immer sehr ähnlich. Zwar lassen sich Trends ablesen, aber gerade was das angebliche Problemkind WordPress angeht, stellt Sucuti das CMS WordPress gern als das am meisten gehackte System in den Fokus.

Schauen wir uns im ersten Schritt die einfachen Zahlen an.

In dem Report von 2017 führt WordPress die traurige Liste der am meisten gehackten Plattformen mit 74 % an. Es folgt dann Joomla! mit 17 % und Magento mit 6 %. Nimmt man die einfachen Zahlen, entspricht das (in dem Test vom Quartal1-16) rund 5874 infizierte Seiten von WordPress, 1318 Seiten von Joomla! und 493 von Magento.

Das Fazit, das nahezu jede etablierte Website daraus zieht, ist, dass WordPress das anfälligste CMS auf dem Markt ist.

  • WordPress: 5874 infizierte Seiten (74%) 74%
  • Joomla!: 1318 infizierte Seiten (17%) 17%
  • Magento: 493 infizierte Seiten (6%) 6%

Schauen wir uns die Zahlen jetzt etwas genauer an

Um die Zahlen etwas besser verstehen zu können, muss man den Zusammenhang der Hacker-Angriffe mit der Popularität von WordPress in Verbindung setzen.

Der Test werte nämlich nicht 10.000 WordPress-Seiten, 10.000 Joomla!-Seiten und 10.000 Magento-Seiten, sondern wertet die eingehenden Warnmeldungen auf der Sucuri-Plattform.

Nun muss man berücksichtigen, dass WordPress den Markt der Content Management Systeme dominiert. Nach der Marktanalyse von W3Techs werden 58,9 % der Websites mit CMS mit WordPress gebaut, 7 % mit Joomla! Und 2,5 % mit Magento. Also rein Quantitativ dürften mehr WordPress-Seiten gehackt werden, weil es einfach mehr Seiten gibt.

Es kommt dann noch ein weiterer Gedanke hinzu: WordPress ist nicht nur das siebte Jahr in Folge das beliebteste CMS. Nein, auch große Websites wie die New York Post, TED, USA Today, CNN, time.com, Sportify, Facebook Blog, CBS und viele mehr nutzen WordPress für ihre Webinhalte. Diese Seiten sind natürlich für Hacker attraktiver, als irgendeine Privatseite. Der Angriff richtet sich da aber nicht gegen WordPress, sondern gegen die konkrete Website.

Der Allgemeinverbraucher wird hiervon wenig spüren. Da vermutlich die meisten von uns nicht in der Liga CNN & Co spielen, haben wir es nicht mit gezielten manuellen Angriffen zutun, sondern mit botgesteuerten Attacken, die wahllos alles angreifen, was nicht bei drei auf den Bäumen ist. Die Qualität der Gefahr ist also nicht vergleichbar.

Was bedeutet dies für unseren Test von oben?

Um eine faire Aussage über die Sicherheit eines Systems treffen zu können, müssen wir selbstverständlich das Marktvolumen in die Betrachtung mit einbeziehen. Wir müssen uns fragen: Wie wäre das Ergebnis, wenn von jedem CMS gleich viele Websites verglichen werden?!

Ein Beispiel:

Händler A verkauft mir 10 Äpfel. Darunter sind 2 Äpfel faul.
Händler B verkauft mir 100 Äpfel. Darunter sind 3 Äpfel faul.

Absolutes Ergebnis: Händler A ist besser. Ich habe nur 2 faule Äpfel bekommen.
Relatives Ergebnis: Händler B ist besser. Bei ihm habe ich nur 3% faule Äpfel bekommen. Bei Händler A 20 %.

Das Problem sind also nicht die 2 oder 3 faulen Äpfel, sondern der relative Vergleichswert.

In unserem Test haben wir ca. 58,9 % Marktanteil und 5874 gehackten Seiten. Im Vergleich dazu hat Joomla! 7 % Marktanteil und 1318 gehackten Seiten.

Verhältnis WordPress zu Joomla!-Installationen: 1 : 8,4

Es sind in dem Test also 8,4 mal mehr WordPress-Installationen in den Test eingeflossen als Joomla! Seiten. Das hier entsprechend eine größere Anzahl gehackter WordPress Seiten das Ergebnis ist, ist da wenig verwunderlich.

Um einen realistischen Vergleichswert zu haben müssen wir also die Joomla! Seiten mit dem Faktor 8,4 multiplizieren.

1318 infizierte Joomla!-Seiten x Faktor 8,4 = 11.071

Würden wir also genauso viel Joomla!-Seiten wie WordPress Seiten ins Rennen schicken, hätten wir statistisch als Ergebnis 11.071 gehackten Joomla! Seiten.

Vergleichen wir dies mit Magento, sieht dies noch dramatischer aus. Magento hat einen Marktanteil von 2,5 %.

Verhältnis WordPress zu Joomla!-Installationen: 1 : 23,56

Wir müssen also einen Faktor von 23,56 als Vergleichswert anlegen. Rechnen wir die 493 infizierten Seiten aus dem Test auf das gleiche Testvolumen wie bei WordPress:

493 infizierte Magenot-Seiten x Faktor 23,56 = 11.615

Würden wir also genauso viel Magento-Seiten wie WordPress Seiten ins Rennen schicken, hätten wir statistisch als Ergebnis 11.615 gehackten Magentor-Seiten.

Hier noch einmal im Überblick, wenn wir genauso viel WordPress Seiten von jedem CMS fair miteinander vergleichen würden:

WordPress: 5874 infizierte Seiten
Joomla!:11.071 infizierte Seiten (statistisch bei gleicher Anzahl von getesteten Seiten)
Magento: 11.615 infizierte Seiten (statistisch bei gleicher Anzahl von getesteten Seiten)

Damit würde das Ergebnis Magento auf den Thron heben und WordPress plötzlich in neuem Glanz erscheinen. Dann kommt noch hinzu, dass die meisten infizierten Seiten nicht durch Fehler im System gehackt werden, sondern durch Anwendungsfehler oder aufgrund veralteter oder schadhafter Plugins. Über 60 % der getesteten infizierten Seiten hatten kein aktuelles System installiert, sodass bekannte Sicherheitslücken nicht geschlossen waren.

Zudem fallen rund 20 % der Einfalltore auf die Plugins RevSlider, TimThumb und GravityForms ab. Wer diese beliebten Plugins nutzt und nicht aktuell hält, öffnet natürlich die Tür für alle Hacker.

  • Magento: 11.615 infizierte Seiten (statistisch bei gleicher Anzahl von getesteten Seiten)
  • Joomla!: 11.071 infizierte Seiten (statistisch bei gleicher Anzahl von getesteten Seiten)
  • WordPress: 5874 infizierte Seiten

Fazit

Statistiken sind immer nur so gut, wie man sie selber fälscht. In diesem Fall muss man sagen, dass die Aussagekraft der Statistik in der dargebotenen Form sehr gering ist. Zwar ist es richtig, dass in diesem Test am meisten WordPress Seiten gehackt wurden. Sieht man aber, dass um ein Vielfaches mehr WordPress Seiten in den Test einfließen, ist dies wenig verwunderlich.
Schickt man eine gleiche Menge an verschiedenen Content Managementsystemen ins Rennen, ist WordPress bei weitem nicht mehr das Problemkind im Test.

Die Frage müsste also nicht lauten: Wie viele Seiten mit WordPress werden gehackt? Die viel wichtigere Frage müsste lauten: Wie sicher ist WordPress? Und schaut man sich die Statistik unter diesem Blickwinkel an, muss man feststellen, dass WordPress in der Tat zu einem der sichersten Content Management Systeme gehört.

Kurzum: Sicherlich ist WordPress als populäres System im Visier der Hacker. Wie bei jeder Website gilt es auch hier, ein Auge auf die Pflege der Website zu behalten. Wer aber sein System regelmäßig gepflegt und aktuell hält und vor allen bei Plugins einen Blick auf die Aktualität hält, sollte sich nicht durch die zum Teil irreführenden Presseinformationen verrückt machen lassen.

Marco

Marco

Designer

Später lesen?

Diesen Artikel als
E-Book downloaden!

DOWNLOAD

Hey, schreib mir deine Meinung!

1 Kommentar

  1. Helen

    danke für diesen beitrag. besonders die begreifbarmachung der statistik fand ich toll. du hast das auf den punkt gebracht, da so viele leute gerne mit den absoluten zahlen um sich schmeißen, damit sie quasi angst und schrecken verbreiten können und es nicht in relation wie in diesem falle der tatsächlichen installationen sehen.
    ich bin jedenfalls happy mit wordpress und würde es und werde es auch jederzeit weiterempfehlen.

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Pin It on Pinterest

Share This