Lücken in Content-Management-Systemen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine vor allem für Betreiber einer Website interessante Studie zur Sicherheit von Content-Management-Systemen (CMS) veröffentlicht. Untersucht wurden dabei mögliche Angriffsszenarien sowie in den Jahren 2010 bis 2012 gemeldeten Schwachstellen in den hierzulande gebräuchlichsten Open-Source-CMS Wordpress, Drupal, Joomla, Typo3 und Plone. Dabei stellte das BSI fest, dass jedes der geprüften CMS in der Vergangenheit schwerwiegende Sicherheitslücken aufwies, durch die sich eine entsprechende Website kompromittieren ließ.

Die drei häufigsten Schwachstellen waren Cross-Side-Scripting (XSS), Remote Code Execution und SQL-Injection. Das BSI hat unterschiedlich stark auftretende Sicherheitslecks festgestellt, etwa dass Plone nicht anfällig für SQL-Injections ist, da es keine entsprechende SQL-Datenbanken verwendet. Hingegen wurde bei Joomla und Typo3 eine größere Anzahl von Code-Execution-Schwachstellen entdeckt. Dieser Wert fiel bei Drupal sowie Wordpress weniger stark aus. Der Hauptteil der Bedrohungen geht jedoch nicht von der CMS-Grundinstallation aus, sondern von den Erweiterungen in Form von Plug-ins. Eine Ausnahme ist Plone, bei dem rund 70 Prozent der verzeichneten Sicherheitslecks in Modulen enthalten sind, die zur Basisinstallation gehören.

Jedes CMS bedarf einer sachgemäßen Konfiguration und kontinuierlichen Pflege. Die Betreiber einer Webseite auf CMS-Basis sollten daher ein besonderes Augenmerk auf angebotene Sicherheits-Updates legen. Als problematisch betrachtet der BSI dabei allerdings den Umstand, dass allgemein bei allen untersuchten CMS die Sicherheitslücken in den Plug-ins weniger umfassend beseitigt werden als die im CMS-Systemkern.

Bei der Nutzung eines Content-Management-Systems ist es ratsam, die Anzahl der installierten Erweiterungen so gering wie möglich zu halten. Außerdem empfiehlt es sich, nicht länger benötigte Plug-ins rasch aus der Basisinstallation zu entfernen.