Welches CMS System ist das sicherstes?

Hallo Leute,

welches CMS System ist Eurer Meinung das sicherstes?
Grund dafür ist folgender.

Ich und ein paar Freunde haben vor kurzen eine Partei gegründet. http://www.dddoe.at
Unser System ist auf Joomla 1.5 CMS gebaut. Gestern wurde die Site gehackt.
Die Passwörter verändert.

Wir möchten die Seite auf einem sicheren CMS System aufbauen. Und wahrscheinlich von aon hierher übersiedeln.

Jetzt meine Frage welches System ist das sicherste und ist Eurer Meinung zu empfehlen.

Danke für Eure Hilfe.

LG
aw15000

Ersteinmal vorneweg: Ich benutze Joomla seit Version 1.0.3 und ich halte es für seeeeeehr sicher. Natürlich machst du es unsicher wenn du schlecht gescriptete und verbuggte 3rd-Party-Extensions installierst oder die Passwörter zu einfach bestimmst. Mein PW ist zum Beispiel mein Windows-Key rückwärts mit 1337-Abschnitten.

Also: Ich halte Joomla für sehr sicher, wenn man es vernünftig handhabt und umsichtig mit Erweiterungen umgeht. Wobei ich persönlich die 1.0.XX Versionen bevorzuge, aber das ist Geschmackssache.

Man hat einfach die Datenbank gehackt und die Passwörter ausgetauscht.

Bin mir im unklaren wie es passieren kann das auf Mysql Daten zuzugegriffen wird?

Bin zwar so halbwegs satellfest auf Joomla. Aber so was ist mir noch nie passiert?

Zum einen

es gibt keine absolut sichere CMS .

Es gibt aber schon Unterschiede in den dort verwendeten Scripten.

Bei nicht wenigen Titeln werden teils einfachste Grundregeln missachtet und somit ist häufig eine SQL Injection möglich.

Eine der schlechtesten Titel diesbezüglich ist das Produkt CMSMS, bei der ich, wenn ich wollte, auch noch in der aktuellsten Version innerhalb weniger Minuten die Userdaten erhalten könnte und das ganz simple über einen Browseraufruf, sprich allein über die URL Eingabe - also völlig harmlos und was rechtlich gesehen noch nicht einmal einen Angriff bedeutet.

Das aber eröffnet jemanden die Möglichkeit eine DB auslesen zu können.

Ist es denn die Tabellen mit den Userdaten kommt der nächste - allerdings selbst verursachte - Knackpunkt zum Einsatz - die Passwörter.

Die sind häufig so billig, das man sie , auch wenn sie md5 kodiert sind, ratz fatz im Klartext wieder gewinnen kann.

Hier sollte man einen großen Wert drauf legen , für jede Anwendung ein anderes Passwort, Groß-Kleinschreibung , Zahlen und Sonderzeichen verwenden und nicht unter 10 Zeichen lang - je länger desto besser.

Und - man sollte diese Passwörter öfters im Jahr ändern.

ein billiges Passwort mit md5 verschlüsselt ist z.B. solch eines:

c5d5a6f1aa3384c926d33dc99256bf42

Wer das mal unter

passcracking.com/index.php

eingibt , der kennt den Klartext in Sekunden.

Wer sein Passwort aber mal testen will der macht sich ein kleines Testscript:

<?php echo md5('Secret'); ?>

verwendet statt Secret mal sein Passwort und testet es selbst einmal.

Hinweis: es gibt andere Websites die bei der Rückgewinnung sehr viel stärker sind, auch wenn auf dieser Site möglicherweise keine Rückgewinnung möglich ist.

Die Frage des Jahrhunderts, welches das sicherste ist, Antwort ist schlicht und einfach: es gibt kein sicheres CMS, jedes hat seine Sicherheitslücken - beim einten sind diese grösser und beim anderen CMS halt kleiner. Meistens sind auch kleinere, nicht so bekannte CMS sicherer, weil die Initianten mehr Zeit reinstecken, aber die können auch genau das gegenteil sein - nämlich unsicher, da wenig Leute es nutzen, somit wenig Fehler aufgedeckt werden. Das ganze dreht sich wie du siehst im Kreis.

Ob jetzt Joomla das sicherste ist, ob Joomla das beste CMS ist, ob Joomla…
darüber lässt sich sicherlich streiten, ich bin der Meinung das Joomla für Einsteiger ein sehr gutes CMS ist, sobald du aber einen Schritt weitergehst (komerziell od. professioneller) dann ist Joomla keine Adresse mehr für mich. Für grössere Projekte baue ich ehner auf Contrexx (ein Schweizer CMS) oder auf Typo3, und am sichersten ist ein CMS sowiso wenn du es selber geschrieben hast. :wink: Denn ein CMS welches du nicht selber geschrieben hast, schaut noch auf 1000 andere Dinge die du bei deiner Seite gar nicht brauchst, somit mehr in dies und weniger in die Sicherheit gesteckt. Bei einem eigenen CMS haste genau das was du brauchst und kannst dich dort voll und ganz auf die Sicherheit konzentrieren.

[quote=“aw15000”]Man hat einfach die Datenbank gehackt und die Passwörter ausgetauscht.
Bin mir im unklaren wie es passieren kann das auf Mysql Daten zuzugegriffen wird?
[/quote]
Bist du dir indies sicher, dass das ganze via Joomla gehackt wurde, resp. wurden die Daten aus deinem Joomla rausgeholt? Es kann natürlich auch an deinem Hoster, FTP ect. liegen…

Joomla! ist von daher etwas sicherer, weil es mit typo3 zusammen sicherlich das bekannteste
und größte CMS ist. Sicherheitslücken fallen dort sofort auf und werden vom
Core-Developement-Team gleich behoben. Zudem wäre eine größere Sicherheitslücke
fatal, schließlich wären dann tausende Websites gefährdet.

[quote] sicherlich das bekannteste
und größte CMS ist[/quote]

Ich möchte davor warnen davon auszugehen.

Wer mit sicherheitslücken joomla googelt findet tausende Dokumente und Meldungen über Sicherheitslücken dort.

Die Frage ist doch einfach die, warum gibt es solche eigentlich alle paar Wochen ?

Doch nicht weil Joomla bekannt und verbreitet und damit sicher ist.

Das grundlegende Problem ist, das die Entwickler nie versuchen ihr eigenes Produkt zu hacken und somit auch selbst keine Zeit damit verschwenden entsprechende Regeln eisern zu verfolgen.

Die reagieren also immer nachträglich und das ist mehr als schlecht.

Ist eine Site erst einmal gehackt dann hat der Anwender das Problem an der Backe und nicht Joomla.

Bei meinen Projekten arbeite ich selbst mit ein paar Hackern zusammen die nichts weiter machen als mein Produkt zu hacken.

Und die haben da richtig etwas drauf und mir ziemlich schnell gezeigt wo die Mängel waren.

Aber auch das bewerte ich nur als eine Erhöhung der Sicherheit und nicht als Fakt.

ich denke die bekanntesten cms´s sind alle recht sicher

nur man muss mit 3rd party addons, mods oder wie auch immer sehr aufpassen…

die erfahrung habe ich ja selber letzte woche gemacht -> auch ich wurde gehackt
allerdings nur mein webspace… die mysql´s sind noch da
ich hatte ein uplaod script drin das sehr unsicher war ( man könnte ALLES) hochladen und da haben die wohl ne tolle hack.php reingehauen :S

soweit von mir lg Michi

Joomla 1.5.0 bis 1.5.5 haben eine schwere Sicherheitslücke drinnen, womit jeder Troll das Admin-PW zurücksetzen kann. Wer braucht ne Anleitung? (Spaß xD)

Wer aber auf joomla.org geht oder wenigstens oft im WWW aktiv ist, hat das sicher schon mitbekommen. Also schnell auf J1.5.6 (and later) updaten!!!

[quote=„videoandfun“]Joomla 1.5.0 bis 1.5.5 haben eine schwere Sicherheitslücke drinnen, womit jeder Troll das Admin-PW zurücksetzen kann. Wer braucht ne Anleitung? (Spaß xD)
[/quote]
Ich weiß es, da es mir jemand aus dem Forum hier vor kurzem gezeigt hat :ps:

[quote=„piratos“]Das grundlegende Problem ist, das die Entwickler nie versuchen ihr eigenes Produkt zu hacken und somit auch selbst keine Zeit damit verschwenden entsprechende Regeln eisern zu verfolgen.
[/quote]
Sicher? Du findest nur so viele Sicherheitslücken, weil es tausende Menschen gibt,
die ihr Leben damit verbringen diese zu finden. Gerade das ist ein Vorteil für Joomla!.
Irgendwelche Kaff-CMS, von denen du die ganze Zeit redest, sehen nur sicher aus. In
Wahrheit strotzen sie nur so vor Sicherheitslücken, aber da sie extrem selten eingesetzt
werden gibt es auch nicht viele Leute, die sich den Quellcode anschauen und versuchen
Sicherheitslöcher zu finden. Das ist bei Joomla! und Typo3 anders. Die stehen unter
einem viel größerem Druck.

[quote]Du findest nur so viele Sicherheitslücken, weil es tausende Menschen gibt,
die ihr Leben damit verbringen diese zu finden. Gerade das ist ein Vorteil für Joomla!.[/quote]

Die Hacker verfolgen nicht die Absicht ihre Erfolge öffentlich breit zu treten und - es gibt viele Leute die einen veröffentlichten Hack ausprobieren, aber es gibt relativ wenig Hacker die sich so etwas ausdenken.

Ein Hacker geht ganz anders vor als der Entwickler eines Titels, so schräg denkt kein normaler Entwickler - die Hacker haben richtig etwas drauf und kennen Details einer Programmierung besser als der Entwickler selbst und wissen exakt wo man ansetzen kann.

Und da reden wir nicht nur über PHP Kenntnisse , das Wissen ist sehr viel breit gefächerter - ich kann nur sagen Hut ab.

Wenn es also paar befreundeten Hackern nicht gelingt ein eigenes System zu hacken ist eine Zusammenarbeit mit denen genau das was man machen muss.

Ich möchte mal darauf hinweisen, das große IT Sicherheitsfirmen solche Leute gegen sehr hohe Bezahlung beschäftigen um Lücken aller Art zu entdecken.

Es ist heute Aufgabe und Pflicht eines Entwickler(teams) diese Sicherheitsseite einen genauso hohen Stellenwert zu geben wie der Entwicklung selbst und es kann nicht sein, das Titel wie Joomla sich praktisch zum Nachteil der Anwender darauf verlassen, das diese den Hintern her halten und sich dort rein beissen lassen um dann im Joomla Forum Aua zu schreien.

Agieren heisst das Zauberwort und nicht reagieren.

Ansonsten ist es schon verwunderlich das es solche Dinge gibt:

5 in Worten fünf Versionen haben diese Sicherheitslücke gehabt.

Der Schaden kann immens sein, der damit bereitet wird.

Ich wäre mir nicht sicher z.B. als gewerblicher Anwender ob Joomla da noch der geeigenete Titel für mich wäre.

Wenn man deiner Argumentation folgen würde dürfte das nie passieren , zeigt aber ganz deutlich bei einem großen Titel die Schwachstelle in der Organisation der Developer.

Wer heute mit einem Projekt nicht auf die Basis Sicherheit achtet ist morgen weg vom Fenster.

Ein riesiges Problem bei einigen Titeln sind die Third Party Einheiten, die in der Regel von Feierabendprogrammierer unterschiedlicher Qualität erstellt sind.

Diese Dinge werden ausprobiert bis zum abrauchen, egal ob man sich da zusätzliche Risiken einhandelt oder nicht.

Anwender sollten da schon erheblich kritischer sein oder es werden.

Auch wenn man solche Fragen wie die Ausgangsfrage hier nicht so konkret beantworten kann wie vielleicht erwünscht.

Moin,

Trekwork und piratos haben beide Recht.

Warum? Ganz simpel:

Sicherheit spielt ein bedeutende Rolle, das sollte wohl jedem klar sein. Natürlich sollte man alle Möglichkeiten durchgehen, doch machen wir uns nichts vor: Jedes System hat Schwachstellen. Ob man jetzt dafür professionelle Hacker bezahlt, um diese ausfindig zu machen und ein wenig zu stopfen, ist eine andere Sache.

Aber mit dem Bekanntheitsgrad an einem CMS steigt auch das Interesse daran und für die “Hobby”/“Ethik”-Hacker bekommt das Ganze mehr Reiz und die Sicherheitslücken werden vermutlich schneller bekannt, da mehr Leute diese versuchen auszunutzen bzw. zu finden.

Die Frage des TE kann man also überhaupt nicht klären und ihr solltet euch nicht sonderlich hochschaukeln, da beide hier durchaus nachvollziehbare Argumente bringen :wink:

Außerdem redet ihr glaube ich manchmal aneinander vorbei :slight_smile: - btw. Cracker <> Hacker (Begriffe könnt ihr selbst bei Google oder Wikipedia eingeben)

MfG
myPages

Genau das ist es , da die Ausnutzung eines “Erfolges” natürlich effektiver ist.

Aber auch deswegen ist es unverständlicher wenn solch bekannte Titel wie Joomla da offenbar zu wenig unternehmen.

Man kann also nicht einfach einen Schluss daraus ziehen - je bekannter desto sicherer, weil das Interesse der Angreifer größer ist und mehr Angriffspunkte dadurch entdeckt werden.

Das würde ja bedeuten, das man den Sicherheitstest einfach den Hackern überlässt und das zum Schaden der Anwender.

Es gibt eine ziemliche Vielzahl gewerblicher CMS die auch aus dem Grunde richtiges Geld kosten, weil natürlich auch Haftungsfragen und Image eine Rolle spielen und in Punkte Sicherheit sehr viel Zeit investiert wird.

Wenn ein Titel der z.B. bei Kommunen reichlich im Einsatz ist 12000 Euro und mehr kostet plus ein ziemlicher Jahresbeitrag an Wartungskosten, dann stecken auch solche Arbeiten drin, die sich ein gewerblicher Anbieter natürlich bezahlen lässt.

Die Anwender erkaufen sich damit aber einen ziemlich hohen Sicherheitsstandard.

Nun folgen natürlich solche Argumente Joomla und Co sind kostenfrei und dann muss man solche Dinge hin nehmen .

Das aber ist nicht so, wenn die Entwickler den Stellenwert mal ändern würden, denn das könnten sie auch.

Ist eine Site erst einmal gehackt können die direkten und indirekten Folgen enorm sein.

So können z.B. die Webseiten aus Google verschwinden.

mattcutts.com/blog/how-googl … ked-sites/

und damit wäre für manche der Supergau eingetreten.

Also das Thema wird nicht aufgeschaukelt es ist oder sollte allzeit in den Köpfen der Entwickler wie auch der Anwender präsent sein und deswegen ist die Eingangsfrage ja absolut berechtigt aber nicht beantwortbar nach dem Motto die ist es oder nehme das.

je größer und beliebter, desto interessanter für Hacker.
Bei Wordpress ist die 2.6.1 noch nicht richtig abgekühlt, da habe sie aus Sicherheitsgründen schon die 2.6.2 nachgeschoben (dabei hab ich noch nichtmal die normale 2.6 installiert).

@piratos

Ich gebe dir ja auch vollkommen recht und auch ich lege sehr hohen Wert auf Standards. Aber scheinbar hast du ein paar Aussagen missverstanden :wink:

Ich stecke nicht bei Joomla! drin und von dem her, lasse ich die Leute dort machen, was sie wollen :wink: Wenn du Joomla! etwas Gutes tun willst, kontaktiere doch die Entwickler und mache sie auf die Tatsachen aufmerksam (also das sie mir in Sicherheit investieren sollten :wink: )

Außerdem meinte ich nicht, dass das Thema aufgeschaukelt wird (braucht es nicht, war von vornerein brisant genug), sondern eher das sich manche Leute hier ein wenig hochschaukeln und ich kriege jedesmal das Gefühl beim Lesen, dass es besser wäre, wenn diese Menschen erstmal zurücklehnen würden und das Ganze etwas gelassener angehen - oder ist Gefahr im Verzug und dringende Eile geboten? Wir können ja gerne drüber diskutieren, aber manche schreiben als ob sie sich selbst überschlagen wollen beim Tippen :wink:

@snafu

Das Problem ist ja meistens, dass du einen Bug stopfst und damit wieder eine neue Tür öffnest. Traurig, aber leider meistens wahr. Schnell auf Sicherheitslücken reagieren, zeugt aber auch von Verantwortungsbewusstsein seitens der Entwickler.

MfG
myPages

Nun gut wir reden ja über CMS und Sicherheit allgemein, ausgehend von der Ausgangsfrage, Joomla kam da gerade in’s Gespräch - es gilt aber überwiegend für die meisten Titel aus der Opensource Szene auch.

Was das Thema Sicherheit bei einer CMS betrifft kann man es nur gelassen betrachten, wenn man keines verwendet, ansonsten wäre es in etwa so als wenn man ein Auto ohne Bremse fahren würde.

Natürlich denken die meisten nicht darüber nach.

So z.B. die Seite von Ansbach die, wie sich gerade heraus stelltem, von einem jungen Mann gelöscht wurde, der rein zufällig an die Zugangsdaten heran kam , also noch nicht einmal ein Hacker war - Sachschaden 10.000 Euro.

Auf der anderen Seite hat so mancher eine saftige Rechnung bekommen, weil er Datenvolumen bezahlen musste, die Hacker über seine Site ausgelöst haben.

Im Normalfall ist der Inhalt einer Site uninteressant, es geht darum Werbung und “Linkfarmen” aufzubauen oder Mails zu senden. Dann natürlich auch Userdaten, wenn sie in Mengen zu erwarten sind.

Die andere Seite der Medaille - der leichtsinnige Umgang nicht nur mit der Qualität eines Produktes bei dessen Auswahl, sondern auch der mit Zugangsdaten und Passwörtern, was allein den Anwender betrifft und der leichtsinnige Umgang so mancher Webdesigner, die nach der Erstausrüstung kassiert haben, nicht aber den Kunden davon in Kenntnis setzen, das man vielleicht aus Sicherheitsgründen ein Update fahren sollte.

Da gebe es viel zu reden.

Aber eines ist klar - man kann keine Aussage treffen welches die sicherste CMS ist, es gibt hunderte von Titeln die man dann auf den Prüfstein legen müsste.

Nimm das Underground CMS 1.8

Wird zwar hauptsächlich soviel ich weiss von illegalen Seiten verwendet scheint aber recht gut zu sein , kommt darauf an wofür du es brauchst.

Ein CMS in dem der “Hersteller” schon von Haus aus ein Backdoor installiert hat, würde unter dem Sicherheitsaspekt bei mir aber ziemlich weit unten rangieren …

Ich gebs auf. Jetzt wurde die HP das zweite mal gehackt, aber total Jetzt kommt was anderes drauf und Joomla geht in Pension. Weil ich koche.