Wie oft wird WordPress im Vergleich zu Joomla, Drupal, Magento gehackt?

In regelmäßigen Abständen taucht in meinen Kundengesprächen die Frage auf, ob WordPress wirklich sicher ist. Und schaut man sich im Netz ein wenig um, so kann man in der Tat den Eindruck gewinnen, dass das CMS WordPress im Vergleich zu Joomla!, Magento, Drupal oder anderen Systemen unglaublich unsicher ist. Wie kommt das? Und viel wichtiger: Stimmt das?

Schauen wir uns zunächst an, wo diese Information herkommt. Die meisten Websites beziehen sich auf den regelmäßigen Sucuti Report, der einen Überblick über die gehackten Seiten pro Quartal gibt. Dieser Report ist sehr beliebt, da er einen detaillierten Einblick in die Arbeitsweise einer auf Sicherheit spezialisierten Firma gibt. Die Ergebnisse sind in der Regel immer sehr ähnlich. Zwar lassen sich Trends ablesen, aber gerade was das angebliche Problemkind WordPress angeht, stellt Sucuti das CMS WordPress gern als das am meisten gehackte System in den Fokus.

Schauen wir uns im ersten Schritt die einfachen Zahlen an.

In dem Report von 2017 führt WordPress die traurige Liste der am meisten gehackten Plattformen mit 74 % an. Es folgt dann Joomla! mit 17 % und Magento mit 6 %. Nimmt man die einfachen Zahlen, entspricht das (in dem Test vom Quartal1-16) rund 5874 infizierte Seiten von WordPress, 1318 Seiten von Joomla! und 493 von Magento. Das Fazit, das nahezu jede etablierte Website daraus zieht, ist, dass WordPress das anfälligste CMS auf dem Markt ist.

  • WordPress: 5874 infizierte Seiten (74%)74%74%
  • Joomla!: 1318 infizierte Seiten (17%)17%17%
  • Magento: 493 infizierte Seiten (6%)6%6%

Schauen wir uns die Zahlen jetzt etwas genauer an

Um die Zahlen etwas besser verstehen zu können, muss man den Zusammenhang der Hacker-Angriffe mit der Popularität von WordPress in Verbindung setzen. Der Test werte nämlich nicht 10.000 WordPress-Seiten, 10.000 Joomla!-Seiten und 10.000 Magento-Seiten, sondern wertet die eingehenden Warnmeldungen auf der Sucuri-Plattform. Nun muss man berücksichtigen, dass WordPress den Markt der Content Management Systeme dominiert. Nach der Marktanalyse von W3Techs werden 58,9 % der Websites mit CMS mit WordPress gebaut, 7 % mit Joomla! Und 2,5 % mit Magento. Also rein Quantitativ dürften mehr WordPress-Seiten gehackt werden, weil es einfach mehr Seiten gibt.

Es kommt dann noch ein weiterer Gedanke hinzu: WordPress ist nicht nur das siebte Jahr in Folge das beliebteste CMS. Nein, auch große Websites wie die New York Post, TED, USA Today, CNN, time.com, Sportify, Facebook Blog, CBS und viele mehr nutzen WordPress für ihre Webinhalte. Diese Seiten sind natürlich für Hacker attraktiver, als irgendeine Privatseite. Der Angriff richtet sich da aber nicht gegen WordPress, sondern gegen die konkrete Website. Der Allgemeinverbraucher wird hiervon wenig spüren. Da vermutlich die meisten von uns nicht in der Liga CNN & Co spielen, haben wir es nicht mit gezielten manuellen Angriffen zutun, sondern mit botgesteuerten Attacken, die wahllos alles angreifen, was nicht bei drei auf den Bäumen ist. Die Qualität der Gefahr ist also nicht vergleichbar.

Was bedeutet dies für unseren Test von oben?

Um eine faire Aussage über die Sicherheit eines Systems treffen zu können, müssen wir selbstverständlich das Marktvolumen in die Betrachtung mit einbeziehen. Wir müssen uns fragen: Wie wäre das Ergebnis, wenn von jedem CMS gleich viele Websites verglichen werden?!

Ein Beispiel: Händler A verkauft mir 10 Äpfel. Darunter sind 2 Äpfel faul. Händler B verkauft mir 100 Äpfel. Darunter sind 3 Äpfel faul. Absolutes Ergebnis: Händler A ist besser. Ich habe nur 2 faule Äpfel bekommen. Relatives Ergebnis: Händler B ist besser. Bei ihm habe ich nur 3% faule Äpfel bekommen. Bei Händler A 20 %. Das Problem sind also nicht die 2 oder 3 faulen Äpfel, sondern der relative Vergleichswert. In unserem Test haben wir ca. 58,9 % Marktanteil und 5874 gehackten Seiten. Im Vergleich dazu hat Joomla! 7 % Marktanteil und 1318 gehackten Seiten.

Verhältnis WordPress zu Joomla!-Installationen: 1 : 8,4 Es sind in dem Test also 8,4 mal mehr WordPress-Installationen in den Test eingeflossen als Joomla! Seiten. Das hier entsprechend eine größere Anzahl gehackter WordPress Seiten das Ergebnis ist, ist da wenig verwunderlich. Um einen realistischen Vergleichswert zu haben müssen wir also die Joomla! Seiten mit dem Faktor 8,4 multiplizieren. 1318 infizierte Joomla!-Seiten x Faktor 8,4 = 11.071

Würden wir also genauso viel Joomla!-Seiten wie WordPress Seiten ins Rennen schicken, hätten wir statistisch als Ergebnis 11.071 gehackten Joomla! Seiten.

Vergleichen wir dies mit Magento, sieht dies noch dramatischer aus. Magento hat einen Marktanteil von 2,5 %. Verhältnis WordPress zu Joomla!-Installationen: 1 : 23,56 Wir müssen also einen Faktor von 23,56 als Vergleichswert anlegen. Rechnen wir die 493 infizierten Seiten aus dem Test auf das gleiche Testvolumen wie bei WordPress: 493 infizierte Magenot-Seiten x Faktor 23,56 = 11.615

Würden wir also genauso viel Magento-Seiten wie WordPress Seiten ins Rennen schicken, hätten wir statistisch als Ergebnis 11.615 gehackten Magentor-Seiten.

Hier noch einmal im Überblick, wenn wir genauso viel WordPress Seiten von jedem CMS fair miteinander vergleichen würden: WordPress: 5874 infizierte Seiten Joomla!:11.071 infizierte Seiten (statistisch bei gleicher Anzahl von getesteten Seiten) Magento: 11.615 infizierte Seiten (statistisch bei gleicher Anzahl von getesteten Seiten).

Damit würde das Ergebnis Magento auf den Thron heben und WordPress plötzlich in neuem Glanz erscheinen. Dann kommt noch hinzu, dass die meisten infizierten Seiten nicht durch Fehler im System gehackt werden, sondern durch Anwendungsfehler oder aufgrund veralteter oder schadhafter Plugins. Über 60 % der getesteten infizierten Seiten hatten kein aktuelles System installiert, sodass bekannte Sicherheitslücken nicht geschlossen waren. Zudem fallen rund 20 % der Einfalltore auf die Plugins RevSlider, TimThumb und GravityForms ab. Wer diese beliebten Plugins nutzt und nicht aktuell hält, öffnet natürlich die Tür für alle Hacker.

  • Magento: 11.615 infizierte Seiten (statistisch bei gleicher Anzahl von getesteten Seiten)
  • Joomla!: 11.071 infizierte Seiten (statistisch bei gleicher Anzahl von getesteten Seiten)
  • WordPress: 5874 infizierte Seiten

Fazit

Statistiken sind immer nur so gut, wie man sie selbst fälscht. In diesem Fall muss man sagen, dass die Aussagekraft der Statistik in der dargebotenen Form sehr gering ist. Zwar ist es richtig, dass in diesem Test am meisten WordPress Seiten gehackt wurden. Sieht man aber, dass um ein Vielfaches mehr WordPress Seiten in den Test einfließen, ist dies wenig verwunderlich. Schickt man eine gleiche Menge an verschiedenen Content Managementsystemen ins Rennen, ist WordPress bei Weitem nicht mehr das Problemkind im Test. Die Frage müsste also nicht lauten: Wie viele Seiten mit WordPress werden gehackt?

Die viel wichtigere Frage müsste lauten: Wie sicher ist WordPress? Und schaut man sich die Statistik unter diesem Blickwinkel an, muss man feststellen, dass WordPress in der Tat zu einem der sichersten Content Management Systeme gehört.

Kurzum: Sicherlich ist WordPress als populäres System im Visier der Hacker. Wie bei jeder Website gilt es auch hier, ein Auge auf die Pflege der Website zu behalten. Wer aber sein System regelmäßig gepflegt und aktuell hält und vor allen bei Plugins einen Blick auf die Aktualität hält, sollte sich nicht durch die zum Teil irreführenden Presseinformationen verrückt machen lassen.

Tool-Tipp:

Folgende Apps nutze ich in meinem Blog. Zu den meisten dieser Apps findest du auf meinem YouTube-Kanal oder direkt hier eine ausführliche Review.

Keyword-Strategie: WriterZen, LongTailPro, Link Assistant
Content-Erstellung: Frase, StoryChief, Bramework, NeuronWriter
Optimierung Pagespeed: WP Rocket, ShortPixel
Optimierung Conversion: Convertbox
Sicherheit: WPVivid

Du suchst nach einer Lösung für dein Marketing, deiner SEO- oder Content-Strategie? Dann schau auch gern in meiner Akademie vorbei: Businesserfolg.de

Deine Meinung ist gefragt!

Hat dir der Artikel gefallen? Oder fehlt etwas?
Hinterlasse mir gern einen Kommentar!

Platz für deinen Kommentar!

3 Kommentare

  1. Helen

    danke für diesen beitrag. besonders die begreifbarmachung der statistik fand ich toll. du hast das auf den punkt gebracht, da so viele leute gerne mit den absoluten zahlen um sich schmeißen, damit sie quasi angst und schrecken verbreiten können und es nicht in relation wie in diesem falle der tatsächlichen installationen sehen.
    ich bin jedenfalls happy mit wordpress und würde es und werde es auch jederzeit weiterempfehlen.

  2. stefan

    Hallo,
    sorry, aber auch so wird kein Schuh draus, denn vergleiche ich WordPress, Joomla! und Magento in ihren Core-Systemen, hinkt das bereits in der Sysstematik.
    Zunächst muß man mal unterscheiden:
    – wordpress, in der Standardversion ein Blogsystem
    – joomla, ein ausgefeiltes CMS mit diversen Features, wie die sehr differenzierte Benutzerrechte-Verwaltung, einem Backendediting uvm.
    – Magento, ein Shopsystem mit einer kleinen Content- und Benutzerverwaltung.

    Zusammengefasst kann man alle drei Systeme bedingt als Redaktionssystem bezeichnen. Inwieweit diese als CMS bezeichnet werden können ist fraglich und per Definition nicht geklärt. Um nun die gleichen Voraussetzungen zu schaffen, müssten WordPress und Magento zunächst auf die entsprechenden Funktionen, die ein CMS bietet, aufgebohrt werden. Magento ist hierzu, meines Wissens schon gar nicht in der Lage und fällt also bereits hier raus. Das soll keine Kritik an Magento sein, denn Magento ist, wie o.g. ein Shopsystem und zunächst nicht für CMS-Funktionen vorgesehen. WordPress hingegen kann weitestestgehend mit Plugins auf die Funktionen, über die das Joomla-CMS Core bereits verfügt, erweiteret werden. Erst wenn das erfolgt ist, kann ansatzweise ein Vergleich auf Augenhöhe stattfinden.

    Und hier liegt nun der Hase im Pfeffer:
    Eigentlich ist WordPress, mit allen installierten Updates ein sehr sicheres System. Davon geht auch der SUCUTI-Report eindeutig aus. Die Problematik der Unsicherheit entsteht nun aber durch den Einsatz diverser Plugins, welche für die weitestgehende Sicherheit, ebenso – z.T. arbeitsintensiv – auf auktuellem Stand gehalten werden müssen.

    Einige Plugins und WordPress selber ermöglichen ein automatisches Updaten der Extensions. Einige – bei Weitem aber nicht alle und da entstehen meist die Sicherheitslücken, denn jeder Betreiber eines solchen Systems muß diese – so oder so – regelmäßig auf den auktuellsten Stand halten. Würde sich nur jeder daran halten…

    Joomla bietet dieses Autoupdate im Core nicht. Nun fragt sich, ob es überhaupt sinnvol ist, dass diese Systeme automatisch upgedatet werden, denn kein System- oder Plugin-Entwickler garantiert, dass eine Seite anschließend an das Update noch korrekt läuft. Die Folge kann also sein, dass ein Seitenbetreiber über geraume Zeit nicht mitbekommt, dass ein Autoupdate seine Seite außer gefecht gesetzt hat.

    Fazit:
    Bisher kenne ich keinen Systemvergleich, der diese Aspkte berücksichtigt.
    Schlussendlich ist aber die Frage, welches System bietet die besten Voraussetzungen für die Anforderungen der Seitenbetreiber. Dabei spielt die Sicherheit eine führende Rolle, aber uva. auch die SEO-Kompatibilität und die Absprungraten, welche durch die Seitenladezeiten maßgeblich beeinträchtigt wird. Auch da sorgen zusätzliche Plugins in WP oft für Probleme.

  3. Marco Linke

    Hi Stefan, danke für deine umfangreiche Antwort. Am Ende ist jedes System nur so gut, wie es betrieben und gepflegt wird :-)

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Neue Themes

Neu: Scroll-Effekte, WooCommerce-Module u.v.m.

Galerie

Workshops

Workshops, Academy, Magazin, Masterclass

Starten

Geschenkt

Handbuch WordPress,
Workshop SEO & Marketing

Download

Überblick

Galerie

Features

Preise