Rund 28 Prozent (Stand Mai 2017) aller Websites weltweit laufen heute mit WordPress. Das macht es zu dem System, das öfter als andere Attacken durch allerlei Schadsoftware ausgesetzt ist. Die Chancen, eine WordPress-Website zu knacken stehen statistisch gesehen also ziemlich gut.

Manche Webentwickler setzen auf eigene oder Außenseitersysteme, oder lehnen gängige CMS grundsätzlich ab, um ihre Kunden mit vorgeblich sichereren Webprojekten zu versorgen, die weniger attraktiv für Hacker sind. Doch kann man sich damit wirklich zurücklehnen? Das absolut sichere System gibt es nämlich nicht. Selbst reine HTML-Seiten können befallen werden, wenn sich jemand über eine Sicherheitslücke in einer Serverkomponente Schreibrechte darauf verschafft.

Die Sicherheit einer Website hängt nicht alleine vom CMS ab, sondern auch von der Serverumgebung und ihrer technischen Aktualität. Sie beginnt also bereits mit der Wahl des Webhosting-Anbieters und -Produkts und seiner Konfiguration. Der Qualitätsunterschied macht nur wenige EUR / Monat aus, und das nicht einmal immer zwingend. Gutes Hosting lohnt sich, denn es spart Zeit und Ärger. Suchmaschinen und Besucher wissen eine gute Performance außerdem zu schätzen.

Im Weiteren ist Sicherheit auch eine Frage der von den Webentwicklern getroffenen Vorkehrungen. Dafür ist es ein Vorteil, das System mit dem man arbeitet zu kennen. Jemand, der WordPress grundsätzlich ablehnt, wird auf seinem bevorzugten System Sicherheitsaspekte wahrscheinlich besser erfüllen können als würde er auf WordPress bauen.

Auch für alternative Systeme gilt: veraltete Technologien und offen gelassene Sicherheitslücken sind potentielle Einfallstore für jeden der versteht sie zu nutzen. Auf ein CMS zu verzichten, das sämtliche technischen Voraussetzungen erfüllt, die man sich wünscht, nur weil viele andere es auch verwenden, besteht also vielleicht doch kein so zwingender Grund.

Richtig ist, kaum genutzte oder gar individuelle Systeme sind für Malware-Autoren nicht so interessant, da sich mangels Verbreitung die Mühe Sicherheitslücken zu nutzen weniger auszahlt. Das bedeutet allerdings nicht, dass man sie gefahrlos stehen lassen kann, sofern man überhaupt davon erfährt bevor ein Schaden am eigenen Projekt entsteht. Falls ja, wer leistet und wer bezahlt den Aufwand? Wie steht die Site technisch in einem Jahr da, in drei oder in fünf? – Welcher Wartungsaufwand ist zu erwarten um den veränderlichen technischen Standards auch morgen noch zu entsprechen? Kann ein versierter Kunde das auch selber managen – wie bei WordPress?

Hinter WordPress steht eine große Entwicklergemeinschaft. Sicherheitsprobleme bleiben dadurch nicht lange im Verborgenen. Alleine mit dem Grundaufwand ein hinreichend funktionales System aktuell zu halten kann ein einzelnes Unternehmen kaum mithalten. Der Kunde bezahlt den Mehraufwand aber dennoch mit. Unterm Strich sieht es meistens so aus: man erhält weniger Funktionalität und Flexibilität bei gleichen oder sogar höheren Kosten. Ein permanenter sicherheitstechnischer Schutz ist hingegen nicht alleine über die Wahl des CMS herzustellen.

Versäumnisse seitens Plugin- oder Theme-Entwicklern, Nutzern und Website-Betreibern stellen das größte Risiko dar. Die Wahl der Quellen und Komponenten ist daher maßgeblich mitentscheidend, wie sicher eine Website läuft. Auch hierin unterscheidet sich WordPress nicht von anderen CMS.

Als Webmaster oder Betreiber einer WordPress-Site kann man viel dazu beitragen, das Risiko von Einbrüchen zu minimieren. Dann muss man auch nicht auf die Annehmlichkeiten eines CMS verzichten, das bei verantwortungsbewusster Anwendung bestimmt nicht anfälliger ist, als ein Außenseitersystem um dessen Sicherheit zu besorgen man sich befreit fühlt, weil man damit in sicherheitstechnischer Ungewissheit lebt, nicht etwa, weil es tatsächlich sicherer ist.