Warum CMS wie WordPress ungeeignet sind

WordPress hat seinen Siegeszug in den 2000er Jahren gestartet. Doch wird es den heutigen Anforderungen an die Datensicherheit noch gerecht?
Ein Programmierer, der Frameworks CMS vorzieht, hält einen Laptop und gibt einen Daumen runter.
© NDABCREATIVITY
Erstellt :ago

Es war wie ein kleines Beben in der Webentwicklung: Als Anfang der 2000er erste Content-Management-Systeme (CMS) erschienen, schossen eigens erstellte Webseiten geradezu aus dem Boden. Plötzlich war es nicht mehr nur Webagenturen und gelernten Programmierern vorbehalten, professionelle Webpräsenzen zu bauen – nun konnten auch Menschen ohne jegliche Programmierkenntnisse ihre Inhalte in einer Art Homepage Baukasten aufbereiten und der Welt präsentieren.

WordPress war hier der Vorreiter: Gestartet als Blogging-Plattform gehört es heute zu den meistgenutzten CMS, selbst Unternehmensseiten basieren auf WordPress oder werden von auf WordPress spezialisierten Webagenturen umgesetzt.

Der enorme Stellenwert von WorPress ist berechtigt: Eine saubere und aufgeräumte Oberfläche ermöglicht das Unkomplizierte Verwalten von textbasierten und multimedialen Inhalten. Die Ergebnisse der Webseite bieten nicht nur Besuchenden eine gute User Experience, sondern auch den Betreibenden eine einfache Administration.

WordPress und Sicherheit

Das große Problem an WordPress und anderen “schlüsselfertigen” CMS liegt in der Sicherheit. Sicherheit ist ein Thema, welches durch die DSGVO wieder ins öffentliche Interesse gerückt ist und kein notwendiges Übel, sondern ein wirtschaftliches Kerninteresse aller Parteien, insbesondere von Website-Betreibenden. Eine Webseite, zu der sich Unbefugte einen Zugriff verschafft haben, schädigt den Ruf und zieht nicht selten hohe Kosten nach sich.

In den letzten Jahren kam es in diesem Zusammenhang immer wieder zu Vorfällen mit WordPress, welche sich durch Entwicklungsfehler im Core und eine unnötig komplexe Architektur begründen. WordPress gehört zu den Open Source CMS. Der Quellcode wurde über die Jahre durch unzählige, teils relativ unerfahrene Entwickler frei von Standards und Best Practices aufgebaut.

Vor allem aber sind es die Plugins und Erweiterungen, die CMS wie WordPress so unsicher machen und eine große Angriffsfläche bieten. Die große Popularität von WordPress wird hier zusätzlich zum Verhängnis: Bots können WordPress-Webseiten durchgehend auf bekannte und unbekannte Schwachstellen testen und so mögliche Eingangstore identifizieren.

WordPress in der Webentwicklung

Nicht nur Laien, auch Agenturen setzen – entweder auf Kundenwunsch oder aus eigenen Stücken – auf WordPress. Doch die anfangs schnellen Ergebnisse sind ein Trugschluss, da sich der anschließende Entwicklungsprozess deutlich verlangsamt.

Zwar bieten Plugins eine Erweiterbarkeit, sind aber weil sie von Programmierern mit unterschiedlichen Erfahrungsniveaus entwickelt wurden und noch dazu aus verschiedenen Rechtszonen stammen, aus datenschutzrechtlicher Perspektive nicht vertretbar. Eine Überprüfung ist wegen des großen Umfangs der auf dem Marktplatz verfügbaren Plugins nicht möglich.

Zudem ist es selten, dass Plugins genau das gewünschte Feature bieten oder womöglich noch unnötigen Ballast mit sich bringen. Die unregelmäßigen oder teilweise ganz ausbleibenden Updates von Plugins stellen ein zusätzliches Risiko für das System im Backend oder die Besucherdaten dar.

Webentwicklung mit Programmiersprachen und Frameworks

Die Integration von gewünschten Features lässt sich daher viel unaufwändiger und sicherer mit einem geeigneten Entwicklungsframework umsetzen. Dies ermöglicht eine zielgerichtete und maßgeschneiderte Umsetzung und reduziert das Risiko durch Sicherheitslücken erheblich.

Zudem kann der Workflow in der Entwicklung durch Versionierungssoftware wie Git (oder vergleichbar) beibehalten und das System so zu jedem Zeitpunkt auf einen gewünschten Zustand zurückgesetzt werden.

Auch für Kunden, die eine Webagentur mit der Entwicklung einer Webseite beauftragen, bietet diese Vorgehensweise den Vorteil, dass nicht nur das Frontend, sondern auch die Administrationsoberfläche im Backend individuell gestaltet werden kann.

Ganz gleich, wie die Internetseite der Zukunft aussieht, Faktoren wie Datensicherheit stellen große Ansprüche an die Webentwicklung, denen Content-Management-Systeme nicht ausreichend gerecht werden können.