Nicht zuletzt weil ich mich 2014 ausgiebig mit dem Thema Sicherheit auseinandersetzte, war mein Eindruck, noch nie so viele Berichte über Sicherheitslücken und sich ausbreitende Malware-Infektionen gelesen zu haben als in diesem Jahr. Da wundert es nicht, wenn sich Unsicherheit bei Websitebetreibern breit macht – sofern sie überhaupt davon erfahren. Nicht jeder Betreiber einer CMS-basierten Website steckt tief genug in der Thematik um sich eines Risikos bewusst zu sein. Umso schlimmer, wenn es ihn dann unvorbereitet (ohne Backup) erwischt.

Bis 2007 hatte ich Zweifel, ob ich mich auf das Arbeiten mit CMS einlassen sollte, weil ich wusste, dass häufig eingesetzte Systeme eher den Attacken von Hackern ausgesetzt sind als individuelle Entwicklungen. – Doch als ich mit fälligen Modernisierungen kaum noch hinterher kam, und darauf erkennen musste, dass auch Systeme die keiner kennt kein zureichender Schutz sind, revidierte ich meine Meinung, in „nichts ist schließlich so sicherheitserprobt wie ein System das ständig Angriffen ausgesetzt ist“.

Ein einmalig oder selten eingesetztes individuelles System ist nicht nur aufwendiger und teurer als auf einem CMS aufzusetzen. Es ist unflexibler, kann nicht mit demselben Funktionsumfang punkten, macht von einem einzelnen Entwickler abhängig, wird über kurz oder lang veralten, und hat mit hoher Wahrscheinlichkeit eine ganze Reihe von Sicherheitslücken, von denen man erst erfährt, wenn man direkt betroffen ist.

Wenn ein CMS gehackt wird, sind in den meisten Fällen nicht die Systeme „Schuld“, sondern der Umstand, dass jemand sie einrichtete, und danach einfach laufen ließ.

In der Zwischenzeit werden Sicherheitslücken bekannt, publiziert und behoben. Wer sein System nicht zeitnah aktualisiert, steht also nicht nur mit einer Sicherheitslücke da, sondern mit einer die bereits breit publiziert und dokumentiert wurde, und nach der automatisierte Skripte gezielt suchen um betroffene Systeme mit Schadcode zu infizieren.

Mein vorrangiges Ziel für 2015 ist es, WordPress-Websites die ich betreue sicherer zu machen und ggf. erforderliche Maßnahmen dafür weiter zu entwickeln. Dazu gehören auch regelmäßige Aktualisierungen, Sicherungen und Aktivitäts-Überwachung.