Der er ikke noget nyt i, at systemer til indholdsstyring, CMS'er, kan have kritiske sårbarheder, men en ny rapport giver alligevel et interessant indblik i sårbarhedernes karakter.
De tyske myndigheders sikkerhedskontor, BSI, konkluderer ifølge it-sitet The H-Online, at det først og fremmest er de mange add-ons til CMS'erne, der rummer sårbarhederne.
Efter at have undersøgt populære systemer som Drupal, Joomla, Plone, Typo3 og Wordpress er BSI kommet frem til, at der er langt flere sårbarheder i de plug-ins, man anvender, end i selve systemkernen.
Konklusionen overrasker næppe CMS-kendere, men detaljerne i rapporten er alligevel tankevækkende.
Her er akilleshælen
Ifølge artiklen hos H-Online er det i Wordpress kun 20 procent af de bugs, der findes, der er i selve systemet, mens 80 procent findes i de forskellige add-ons.
I Drupal er det endnu mere ekstremt - her findes 95 procent af sårbarhederne i tilføjelserne til systemer.
Hos Joomla er det 86 procent af sårbarhederne, der findes i de forskellige moduler, man kan føje til kernesystemet.
Selvom rapporten fra BSI overordnet godkender sikkerheden i de undersøgte CMS'er, råder sikkerhedsforskerne ifølge The H-Online til, at man aldrig anvender systemerne med standard-instillingerne.
Det betyder blandt andet, at man bør undgå at køre med standard admin-konti, benytte HTTPS og slå automatiske sikkerheds-opdateringer til.
BSI konkluderer også, at Cross-site scripting (XSS) er det hyppigst forekommende problem i CMS'erne generelt.
Hele CMS-sikkerhedsrapporten kan læses på tysk her (PDF).
Læs også:
Open source CMS'er har alvorlige sikkerhedsproblemer
