Content Management System Updates – Ist Ihre Website sicher?
In unserem Artikel WEBSERVER UPDATES – IST IHRE WEBSITE SICHER? haben wir bereits dargelegt, warum Webserver-Betriebssysteme und PHP-Versionen möglichst am aktuellen Stand gehalten werden müssen. Vor allem durch die Aktualisierung der PHP-Version müssen zwangsläufig auch die betriebenen Websites auf einen aktuellen Stand gebracht werden. Ein jahrelanger Betrieb von nicht mehr aktuellen PHP-Versionen und Websites ist mit einem großen Risiko behaftet.
Die Notwendigkeit, Software-Stände aktuell zu halten, endet jedoch nicht bei diesen Bestandteilen, sondern zieht sich bis in die Content-Management-Systeme (CMS) und die verwendeten Plug-Ins.
In diesem Beitrag führen wir die Herausforderungen als auch den Nutzen von Updates für zwei der bekanntesten CMS aus, wobei zu beachten ist, dass dieses Thema sinngemäß auf alle CMS Anwendung findet. Auch wenn der Erfolg von WordPress weltweit mit einem CMS-Marktanteil von geschätzt 60% unaufhaltbar erscheint, erfreut sich im deutschsprachigen Raum Typo3 aufgrund seiner Mächtigkeit weiterhin besonderer Beliebtheit.
Warum überhaupt laufende Updates, wenn doch alles gerade so gut funktioniert?
“Never change a running system!” ist in vielen Organisationen ein beliebtes Credo. Da sich aber die Umwelt, in der Websites bzw. CMS eingebettet sind, laufend ändert, müssen auch diese Komponenten ständig aktualisiert werden.
Content-Management-Systeme sind Softwareprodukte, welche natürlich wie jede andere Software auch, Fehler oder Sicherheitslücken enthalten können. Wird ein Bug behoben oder eine Sicherheitslücke geschlossen, so ist diese Korrektur im nächsten Update enthalten. Major-Releases werden aber nur über eine gewisse Zeitspanne mit diesen wichtigen kleineren Updates versorgt. Nach Ende dieser Versorgungsperiode ist es wichtig, auf eine aktuelle Version zu wechseln.
Aktualisiert man sein CMS nicht, läuft man Gefahr, dass die Website kompromittiert wird. Dies bedeutet, dass sich beispielsweise Schadsoftware einschleust, oder die Website die Besucher auf eine Seite mit schädlichem Inhalt umleitet.
Noch schlimmer ist es, wenn eigentlich nicht öffentlich einsehbare Daten von der Website durch Ausnutzung einer Sicherheitslücke in fremde Hände gelangen. In diesem Fall spricht man von einem Data Breach, welcher unter Umständen je nach Umfang und enthaltenen Daten auch bei der Datenschutzbehörde gemeldet werden muss. Insbesondere bei der Verwaltung von personenbezogenen Daten ist darauf zu achten, dass die verwendeten Softwarekomponenten (also auch das CMS, auf dem Besucher der Website ihre Daten angeben können) immer auf einem aktuellen Stand zu halten sind. Nicht zu vergessen sind auch Log-Dateien, welche bereits personenbezogene Daten in Form von IP-Adresse beinhalten können.
Um nicht für die Folgen einer fahrlässigen Verwaltung einer Website aufkommen zu müssen, ist es daher ratsam, die verwendeten Produkte und Systeme regelmäßig auf Aktualität überprüfen und ggf. aktualisieren zu lassen. Die meisten Komplettanbieter wie die Media Data IKT GmbH, haben daher CMS-Update-Checks im Portfolio, wodurch eine regelmäßige Überprüfung auf Updates, sowie deren Aktualisierung und ein grundlegender Kompatibilitätscheck durchgeführt werden.
Neben der verbesserten Sicherheit und der Kompatibilität mit den aktuellen Browsern, bringen aktuelle CMS-Versionen auch meist einen Geschwindigkeitsvorteil mit sich. Eine höhere Geschwindigkeit bietet eine bessere Nutzererfahrung und somit auch mehr Zugriffe und höhere Verweildauern.
WordPress
Das weltweit am verbreitetste CMS ist WordPress. Ursprünglich nur in der Blogger-Welt bekannt, ist es im Verlauf der letzten Jahre zu einem der beliebtesten CMS herangewachsen und verfügt über unzählige Erweiterungen. Diese Verbreitung hat aber natürlich auch zur Folge, dass WordPress-Seiten ein beliebtes Angriffsziel sind, und dadurch sollte jeder Website-Betreiber die regelmäßigen Aktualisierungen nicht vernachlässigen, da es sonst zu bösen Überraschungen kommen kann.
In der Vergangenheit wurden von WordPress eine bis 3 neue Major-Release-Versionen pro Jahr veröffentlicht. (Quelle: History | WordPress.org) Diese hohe Release-Geschwindigkeit bietet einerseits die Chance auf viele neue Funktionen, bring jedoch die Notwendigkeit mit sich, dass auch sämtliche Erweiterungen und Themes für die neuen Versionen kompatibel gehalten werden müssen.
Wer sorgsam auswählt, währt am längsten!
WordPress lässt sich – wie auch die meisten CMS – durch Plug-ins mühelos erweitern. Verwendet man viele Plug-ins, so müssen diese (insbesondere bei Major-Release-Wechsel) ebenso aktualisiert werden. Setzt man bei der Auswahl auf wenig verbreitete Plug-ins, kann man schnell in die Lage geraten, dass die Ausgewählte Erweiterung nicht mehr für eine aktuelle Version verfügbar ist. In diesem Fall muss eine Alternative für die gewünschte Funktion gesucht werden. Ein Umstellungsprozess von einem Plug-in auf ein anderes bringt einen beachtlichen Aufwand mit sich, da dies oft mit komplexen Eingriffen auf Daten verbunden ist.
Vor diesem Hintergrund ist daher bei der Auswahl der Plug-ins bereits auf gewisse Qualitätskriterien zu achten und auf Erfahrung zu setzen. Hat man ein interessantes Plug-in entdeckt, empfiehlt es sich, zumindest folgende Kriterien zu überprüfen:
- Verlauf der Code-Änderungen und letztes Aktualisierungsdatum
- Etablierter Anbieter (Wird Support angeboten?)
- Breite der Community
- Anzahl der Installationen
- Versionskompatibilitäten
Typo3
Im Gegensatz zu WordPress bietet Typo3 Versionen mit dem Zusatz “LTS”, der für “Long Term Support” steht. Dadurch kann bereits beim Erscheinen einer solchen Major-Version abgeschätzt werden, wie lange das Core-CMS mit Updates versorgt wird. Voller Support (inkl. neuen Features) wird dabei für 1,5 Jahre ab Erscheinungsdatum angeboten. Darüber hinaus werden noch weitere 1,5 Jahre Sicherheitsupdates geliefert. Nach diesen 3 Jahren besteht noch die Möglichkeit eines “ELTS” (“Extended Long Term Support”), welcher jedoch kostenpflichtig ist. Wer sich mit dieser Option jedoch über eine komplette Major-Release hinweg-schummeln möchte, wird dabei die Erfahrung machen, dass das “Überspringen” einer LTS-Version die Update-Aufwände in Summe gesehen nicht wirklich verringert, verglichen zu laufenden und schrittweisen Aktualisierungen.
Auch in Typo3 steht man vor den gleichen Herausforderungen in Bezug auf die Erweiterungen (“Extensions”) wie bei WordPress. Hier zählen neben den bereits erwähnten Qualitätskriterien bei der Auswahl auch die Erfahrung und Informationen aus der Typo3-Community, um nicht plötzlich von der Einstellung von Erweiterungen überrascht zu werden.
WAS GILT ES ALSO ZU TUN?
Als Eigentümer einer Website ist es unumgänglich, sich laufend um die Aktualisierung der Einzelkomponenten zu kümmern, bzw. diese Aufgabe durch einen kompetenten Fachpartner durchführen zu lassen.
Veraltete Website-Systeme können zu Image-Schäden und zu Verstößen gegen das Datenschutzgesetz führen. Die für laufende Aktualisierungen Ihrer Website erforderlichen Aufwände, sind verhältnismäßig gering im Vergleich zu den Kosten, welche eine kompromittierte Website oder ein Data Breach mit sich bringen kann.
Gerne beraten wir Sie in einem unverbindlichen Erstgespräch und übernehmen die laufenden Aktualisierungen in Ihrem Auftrag.