Grafik über CMS Systeme
Veröffentlichungsdatum April 22, 2025

Homepage CMS Sicherheit Stand April 2025

Letzte Aktualisierung am April 24, 2025

Die Sicherheit von Content Management Systemen (CMS) ist im April 2025 nach wie vor ein kritisches Thema, da sie die Grundlage für Millionen von Websites bilden und attraktive Ziele für Cyberangriffe darstellen. Dieser Überblick fasst den Sicherheitsstatus der drei populären Open-Source-CMS – Joomla, WordPress und Typo3 – zusammen, basierend auf Analysen von Schwachstellen, Updates und Sicherheitstrends.

Joomla: Solide Basis mit Extension-Risiken

Joomla pflegt weiterhin regelmäßige Updates. Im April 2025 stand die Veröffentlichung von Joomla 5.3 kurz bevor, während gleichzeitig wichtige Sicherheitsupdates (5.2.6 und 4.4.13) veröffentlicht wurden, die kritische Kern-Schwachstellen adressierten. Dazu gehörten eine SQL-Injection-Lücke (CVE-2025-25226) im Datenbank-Paket und eine Umgehungsmöglichkeit der Multi-Faktor-Authentifizierung (MFA) (CVE-2025-25227). Frühere Updates im Jahr 2025 behoben Probleme wie das Hochladen bösartiger Dateien und SQL-Injection in Kernkomponenten.   

Obwohl der Joomla-Kern generell als sicher gilt , zeigen diese Vorfälle die Notwendigkeit ständiger Wachsamkeit. Das größte Risiko geht jedoch, ähnlich wie bei anderen CMS, vom Ökosystem der Drittanbieter-Erweiterungen (Extensions) aus. Aktuelle Beispiele aus 2025 umfassen Privilege Escalation (CVE-2025-25225), zahlreiche SQL-Injection-Lücken (z.B. CVE-2025-22212, CVE-2025-2126 – letztere aktiv ausgenutzt), Cross-Site Scripting (XSS), Path Traversal und Remote Code Execution (RCE) in verschiedenen Extensions. Das Joomla Security Strike Team (JSST) und das Security Centre sorgen für Transparenz bei Kern-Schwachstellen , aber die Sicherheit von Extensions hängt primär von den Entwicklern ab. Das Joomla Extension Directory (JED) prüft Erweiterungen nicht proaktiv auf Sicherheit, entfernt aber gemeldete unsichere Extensions.   

WordPress: Dominant, aber stark vom Ökosystem abhängig

WordPress dominiert den Markt weiterhin mit über 40% aller Websites , was es zum Hauptziel für Angreifer macht. Der WordPress-Kern selbst gilt als relativ sicher und wird regelmäßig aktualisiert (Version 6.8 „Cecil“ im April 2025 veröffentlicht).   

Das mit Abstand größte Sicherheitsrisiko stellt das riesige Ökosystem an Plugins und Themes dar. Berichte zeigen, dass über 96% der Schwachstellen in diesen Drittanbieter-Komponenten gefunden werden. Wöchentlich werden Hunderte neuer Lücken gemeldet , und ein signifikanter Anteil bleibt oft über längere Zeit ungepatcht. Selbst populäre Plugins sind häufig betroffen. Die häufigsten Schwachstellentypen sind Cross-Site Scripting (XSS) und Cross-Site Request Forgery (CSRF), gefolgt von SQL-Injection, Autorisierungsproblemen und unsicheren Datei-Uploads.   

Aufgrund der oft langsamen Patch-Bereitstellung durch Entwickler hat sich „Virtual Patching“ durch Sicherheits-Plugins (wie Wordfence, Solid Security Pro, Patchstack) als wichtige, wenn auch diskutierte, Methode etabliert, um bekannte Angriffe auf ungepatchte Lücken zu blockieren.   

Typo3: Enterprise-Fokus mit starker Kernsicherheit

Typo3 positioniert sich als Enterprise CMS (ECMS), bekannt für Skalierbarkeit, Flexibilität und robuste Sicherheitsmerkmale, oft eingesetzt für komplexe Unternehmenswebsites. Es folgt einem klaren Long-Term Support (LTS)-Modell (alle 18 Monate neue LTS-Version, 3 Jahre kostenloser Support) und bietet kostenpflichtigen Extended Long-Term Support (ELTS) für bis zu 6-7 Jahre. Im April 2025 waren Typo3 13.4 und 12.4 die aktuellen LTS-Versionen, mit kürzlich veröffentlichten Sicherheitsupdates (13.4.3, 12.4.25).   

Obwohl für seine Kernsicherheit gelobt , ist auch Typo3 nicht immun. Im Januar 2025 wurde eine Serie von CSRF-Schwachstellen in Kernmodulen behoben (TYPO3-CORE-SA-2025-004 bis -010). Auch Extension-Schwachstellen treten auf, wie ein Account-Takeover-Risiko (CVE-2025-24856) und XSS/IDOR-Lücken in verschiedenen Erweiterungen. Das Typo3 Security Team veröffentlicht regelmäßig Advisories. Ähnlich wie bei Joomla und WordPress gibt es jedoch keinen dokumentierten, obligatorischen Sicherheitsprozess für Extensions vor der Aufnahme in das offizielle Repository (TER).   

Vergleich und Trends

  • Philosophie & Risiko: WordPress (Benutzerfreundlichkeit, höchstes Ökosystem-Risiko), Joomla (Mittelweg), Typo3 (Enterprise, Fokus auf Kernsicherheit, Komplexität).
  • Schwachstellen: WordPress hat das höchste Volumen (Plugins/Themes). Joomla und Typo3 haben geringeres Volumen, aber Kern- und Extension-Lücken. Typische Schwachstellen (XSS, SQLi, CSRF) sind plattformübergreifend.
  • Patching: Typo3 bietet mit LTS/ELTS die größte Planbarkeit. WordPress leidet unter inkonsistenter Plugin-Patching-Disziplin. Joomla liegt dazwischen.
  • Extensions: Kein CMS scheint einen obligatorischen Pre-Listing-Sicherheitscheck für Extensions zu haben. Das Risiko ist bei WordPress aufgrund der Masse am größten.
  • Eingebaute Sicherheit: Typo3 hat die stärksten nativen Funktionen (granulare Rechte, MFA-Unterstützung, Mehrsprachigkeit). Joomla bietet ebenfalls gute Kernfunktionen (ACL, 2FA, Mehrsprachigkeit). WordPress benötigt oft Plugins für vergleichbare Features (2FA, feine Rechte, Mehrsprachigkeit).
  • Trends 2025: Die Zahl der gemeldeten Schwachstellen (besonders bei WP) steigt weiter. Künstliche Intelligenz (KI) beschleunigt sowohl Angriffe (Schwachstellenfindung, Phishing) als auch Verteidigung (KI-gestützte Erkennung). Gängige Angriffsvektoren bleiben die Ausnutzung von Schwachstellen (oft in veralteter Software), Brute-Force-Angriffe, Malware-Infektionen (SEO-Spam, Redirects), Phishing und Supply-Chain-Angriffe.   

Best Practices und Empfehlungen

Unabhängig vom CMS sind grundlegende Sicherheitspraktiken unerlässlich:

  • Konsequente Updates: Core, Themes und Plugins/Extensions zeitnah aktualisieren.   
  • Starke Authentifizierung: Sichere Passwörter und Multi-Faktor-Authentifizierung (MFA/2FA).   
  • Minimale Rechte: Benutzern nur notwendige Berechtigungen erteilen.   
  • Regelmäßige Backups: Automatisiert und extern gespeichert, Wiederherstellung testen.   
  • Web Application Firewall (WAF): Zum Filtern von bösartigem Traffic.   
  • Überwachung & Logging: Aktiv nach verdächtigen Aktivitäten suchen.   
  • Sicheres Hosting & HTTPS: Vertrauenswürdigen Anbieter wählen, Verschlüsselung nutzen.   

Plattformspezifische Empfehlungen umfassen bei WordPress die sorgfältige Plugin-Auswahl, den Einsatz umfassender Sicherheits-Plugins und Virtual Patching. Bei Joomla geht es um die Nutzung von Sicherheits-Extensions und Konfiguration. Bei Typo3 steht die korrekte Konfiguration der mächtigen eingebauten Rechteverwaltung im Vordergrund.

Zusammenfassend:

Kein CMS ist per se unsicher, aber die Sicherheitsanforderungen und Risikoprofile unterscheiden sich erheblich. WordPress erfordert aufgrund seines Ökosystems die größte Wachsamkeit und proaktive Maßnahmen. Typo3 bietet die robusteste Basis für komplexe, sicherheitskritische Projekte, verlangt aber mehr Expertise. Joomla positioniert sich dazwischen. Unabhängig von der Wahl sind kontinuierliche Updates, starke Authentifizierung, sorgfältige Konfiguration, Überwachung und der Einsatz von Schutzschichten wie WAFs entscheidend, um den dynamischen Bedrohungen im Jahr 2025 zu begegnen.

Sylvio Mertsch

Sylvio Mertsch

IT-Sicherheit

CMS CyberSicherheit

Sei der Erste, der das kommentiert

Kommentare sind geschlossen, allerdings sind Trackbacks und Pingbacks möglich.