Content-Management-System (CMS)

  • CMS sind kleine nette Spielerein.
    Um aber eine stabile und auch performante Seite zu bauen, sollte man seine eigene Website zusammen Code.
    Manche schwören sogar bei Wordpress auf das Plugin Interface, aber wenn man gerne mit PHP 4.0 programmiert und in der Vergangenheit lebt, kann man das auch machen.
    Wie @jacboy schon erwähnt hat, sieht die Installationen und Updates viel zu aufgebläht!

    Die Aussage ist so nicht korrekt. CMS haben oft effiziente Cachingmethoden, die um einiges performanter sind als unsaubere gebastelte Systeme.

  • In Bereich von CMS habe ich einiges ausprobiert, mich in Typo3 mit Typoscript geärgert, in Wordpress experimentiert, was mit Drupal und Joomla spaßeshalber umgesetzt. Habe mir auch mal vor ca. 3 Jahren selber ein (mini)CMS entwickelt, was aber nur auf das wesentliche beschränkt ist. In meinem Studium musste ich mich ebenfalls mit Content Management Systemen ein Semester lang auseinandersetzen. Dort ging es Gott sei dank auch über den Tellerrand hinaus und nicht nur um "die großen 4".


    Wordpress ist in meinen Augen Fluch & Segen zugleich. Schätzen und lieben gelernt habe ich mittlerweile ProcessWire (flexible, schlank, mächtig), hier auch mal ein kleiner t3n-Artikel zu ProcessWire. In MODX habe ich auch mal kurz reingeschnuppert, dies sagt mir ebenfalls zu. Allerdings habe ich damit bisher noch nichts umgesetzt.

  • Es wird auch nicht jede Zeit ein komplett neues System programmiert.
    Einmal ein bisschen Zeit reininvestieren und es steht.
    Wenn man sich einmal ein Grundgestell mithilfe von einem Framework erstellt hat, sind das nur noch Front-End Sachen die angepasst werden müssen.
    Das ist halt dann wiederum ein Vorteil von WordPress mit den tausenden vorgefertigten Designs und Templates.
    Aber dafür weiß man bei einer selbstgeschriebenen Version, was für Code da drin ist und nicht jeder "Hacker" der halbwegs fähig ist zu googlen kann deine WordPress Seite nach fast jedem 10. Update auseinander nehmen.


  • Aber dafür weiß man bei einer selbstgeschriebenen Version, was für Code da drin ist und nicht jeder "Hacker" der halbwegs fähig ist zu googlen kann deine WordPress Seite nach fast jedem 10. Update auseinander nehmen.

    Es mag zwar stimmen, dass CMS durch Plugins, u.ä. eine größere Angriffsfläche haben, dennoch ist deine Aussage so nicht ansatzweise korrekt.

  • Es mag zwar stimmen, dass CMS durch Plugins, u.ä. eine größere Angriffsfläche haben, dennoch ist deine Aussage so nicht ansatzweise korrekt.

    Es tümmeln sich hunderte von Bots auf Wordpress Seiten, die nach bestimmten Plugins und deren Schnittstellen suchen.
    Nicht nur Plugins sind anggreifbar sondern auch das CMS an und für sich, solang man die automatischen Updates eingeschaltet lässt und somit nicht genug getestete Versionen auf sein System spielt.
    Zu viele Negative Erfahrungen mit WordPress, für mich, reichen aus, dass ich lieber auf eigene Programme setzte als OpenSource CMS.

  • Wordpress Versionen sind nicht ungetestet, dafür gibt es schließlich release channels. Und wer PHP kann, kann Plugins selbst überprüfen, gar kein Thema.
    Deine eigenen Programme sind nicht sicher, nur weil sie nicht open source sind. Security through obscurity ist kein sonderlich sicheres Konzept.

  • Klar sind sie nicht ungetestet, aber jedem gehen mal Fehler durch die Finger keine Frage.
    Und auch nicht jeder Unit-Test kann Fehler feststellen.
    Zudem war es darauf bezogen, dass die Bugs erst im nachhinein beim Verbraucher festgestellt werden.
    Irgendjemand muss als erstes die neue Version herunterladen. Da ist es dann nur eine Frage der Zeit bis ein Fehler gefunden wird.
    Und das habe ich nie gesagt, dass meine eigene Systeme sicherer sind, wie WordPress o.ä.
    Das wahrscheinlich eher im Gegenteil, aber für meine Programme gibt es keine speziell angefertige Bots, welche aktuell regelmäßig Websiten lahmlegen.

  • Es gibt Tools um Websites auf XSS und SQL Injections zu prüfen. Dazu brauch es nicht erst einen Bot.
    Dann sind da genug Leute die keinerlei Ahnung von der Verwaltung eines Servers haben und dadurch jedem Tür und Tor aufstellen.


    Außerdem setzt man lieber auf WordPress und updated ständig als eigene Software online zu stellen und nie wegen Sicherheitslücken zu updaten.


    Du gehst schließlich auch nicht hin und schreibst deinen eigenen Webserver weil Apache oder Nginx etc. ggf. eine ungetestete Lücke haben könnten.

  • Bei Wordpress kam es in der Vergangenheit immer mal wieder vor das trotz getesteten Versionen kritische Sicherheitslücken im nachhinein entdeckt wurden. Somit hat @florianxolf letzten Endes auch nicht unrecht mit seiner Aussage, aber in so einem Fall bevorzuge ich dann doch lieber die neuere Version wo eventuelle Schwachstellen noch unbekannt sind, als eine Version wo die sicherheitsrelevanten Lücken mit der Welt geteilt wurden. Auch in Bezug auf Bots die es besonders auf WP abgesehen haben gibt es in Hülle in Fülle. Sogar großflächige Angriffe werden damit gestartet -> *siehe hier* (wobei es auch viele gibt die einfach stupide Requests an beliebige-domain.de/wp-login.php senden, unabhängig davon ob WP installiert ist oder nicht). Es bleibt leider nicht unbedingt bei Brute-Force-Attacken, oftmals scannen viele Bots WP-Seiten gezielt nach den eingesetzten Plugins ab, um dann nach bekannt werden von gewissen Exploits "automatisiert" angreifen zu können.


    Das WP bei vielen allgemein als unsicher gilt ist meiner Ansicht nach ein Trugschluss, WP ist bekannt für seine Einsteigerfreundlichkeit woran sich viele Laien erfreuen. Somit arbeiten viele mit diesem CMS ohne das nötige Hintergrundwissen zuhaben, wie man das System 'abhärten' kann und worauf man sonst achten muss. Auch die Gleichgültigkeit die viele Anwender haben spielt eine bedeutende Rolle (auch im allgemeinen). Ich habe mehrere Webseiten von Kunden betreut die "Dinosaurier Versionen" (auch bei Plugins) verwendeten. Nachdem man diese über die Sicherheitsrelavanz aufklärte spielten sie das Problem selber oftmals mit Äußerungen runter wie "Ach, bisher ist noch nie was passiert", "Warum sollte uns jemand Hacken?", "Die Webseite läuft doch stabil"... Die größte Gefahr ist nicht direkt WP selbst, sondern eher die indirekten Faktoren: Anwender, Plugins und Themes.

  • Die Sicherheit einer Webanwendung hängt zu großen Teilen von dessen Administrator ab. Wer klug ist, blockiert Zugriffe auf wp-admin zusätzlich mit HTTP-Auth und setzt auf 2-Faktor-Authentifizierung.
    Statistiken zum Thema gehackte WP-Instanzen enthalten meistens verwahrloste Installationen, die einfach Jahre lang nicht gewartet wurden und zudem meist auf angreifbaren Servern gehostet sind. Wer sein Wordpress aktuell hält und verantwortungsvoll damit umgeht, wird kaum Probleme damit bekommen.

  • Neu erstellte Beiträge unterliegen der Moderation und werden erst sichtbar, wenn sie durch einen Moderator geprüft und freigeschaltet wurden.

    Die letzte Antwort auf dieses Thema liegt mehr als 365 Tage zurück. Das Thema ist womöglich bereits veraltet. Bitte erstelle ggf. ein neues Thema.

    • :)
    • :(
    • ;)
    • :P
    • ^^
    • :D
    • ;(
    • X(
    • :*
    • :|
    • 8o
    • =O
    • <X
    • ||
    • :/
    • :S
    • X/
    • 8)
    • ?(
    • :huh:
    • :rolleyes:
    • :love:
    • :pinch:
    • 8|
    • :cursing:
    • :wacko:
    • :thumbdown:
    • :thumbup:
    • :sleeping:
    • :whistling:
    • :evil:
    • :saint:
    • <3
    • :!:
    • :?:
    Maximale Anzahl an Dateianhängen: 10
    Maximale Dateigröße: 50 MB
    Erlaubte Dateiendungen: bmp, doc, docx, gif, html, jpeg, jpg, mp3, mp4, odp, ods, odt, pdf, png, pptx, txt, xlsm, xlsx, zip