Wird es Zeit, WordPress zu verlassen?

Sicherheit, WordPress, Oktober
Quelle: Primakov / Shutterstock.com

Am Anfang des Jahres 2022 meldet die internationale Umfrageplattform W³Techs, dass ca. 65,3 % aller Websites WordPress als Content-Management-System (CMS) nutzen. Das mag vor allem daran liegen, dass das CMS kostenlos zur Verfügung steht. Doch kann etwas, das nichts kostet, mit der raschen Entwicklung des Internets und allen dazu benötigten Technologien mithalten? Kurz gesagt: Nein – vor allem nicht in puncto Sicherheit.

Anzeige

Sie fragen: “Warum?” Das erklärt Dominik Angerer, CEO und Mitgründer von Storyblok, in diesem Beitrag.

Ein Problem, das WordPress den Kopf kosten könnte

WordPress ist eine “monolithische Lösung”. Das heißt, dass Editor:innen über WordPress sowohl Content managen, als auch die Anzeige des Contents auf Nutzerseite definieren. Viele sprechen bei der Unterscheidung von Backend und Frontend, wobei letzteres die Ausgabe auf dem jeweiligen Nutzer-Gerät im sogenannten Head der Webseite beschreibt. Viele Editor:innen stoßen jedoch bei der Nutzung von WordPress’ hauseigenen Frontend-Funktionen schnell an die Grenzen. Ein Glück, dass es Erweiterungen für jedes mögliche Vorhaben gibt, oder?

Tatsache: WordPress lebt allein von seinen Plugins. Viele WordPress-User nutzen bereits Plugins, wenn Sie die Seiten mit Inhalten füllen und bspw. dazu den bekannten Gutenberg-Editor nutzen. Manche der Plugins sind kostenlos, andere schlagen gehörig zu Buche. Wenn auch teilweise ernüchternd, ist dieser Umstand noch nicht das eigentliche Problem: Jedes installierte Add-On macht die Website angreifbar, da durch mehr Code auch mehr Sicherheitslücken entstehen.

Anzeige

Erst im Januar 2022 berichtete die englischsprachige Website The Hacker News von zahlreichen Plugins, die mit schädlichem Code versehen waren. Anbieter wie patchstack.com bieten alleine für WordPress-Plugins Sicherheitslösungen an und teilen ihre Erkenntnisse kostenfrei in den “Vulnerability News”.

Natürlich schließen neuere Plugin-Versionen diese Sicherheitslücken. Vorausgesetzt, dass der/die Besitzer:in der Website nicht bereits den Überblick über die Erweiterungen und somit auch die regelmäßigen Security-Updates verliert. Die beste Lösung ist hier, die Darstellung bei Website-Besucher:innen komplett von der Speicherung des Contents abzutrennen – oder anders ausgedrückt: ein Headless-CMS zu nutzen.

Also Kopf ab und alles ist gut?

Aus WordPress ein Headless-CMS zu machen, ist möglich, jedoch nur über Umwege. Verschiedene Lösungen bieten sich an – und keine von ihnen ist perfekt. Wir wollen WordPress an dieser Stelle aber nicht so dastehen lassen, als ob es eine schlechte Lösung für heutige Verwendungszwecke ist. Solange Ihnen bewusst ist, dass Sie mit WordPress meist nur über Plugins zum Ziel kommen, die Plugins seltener ausgereift sind und sie diese deshalb auch genau im Blick haben müssen, bietet sich das CMS weiterhin für Ihr Vorhaben an.

Zusätzlich sollte die Wahl des CMS auch stets an die gewünschte Skalierung Ihres Website-Projekts angepasst sein. Vielleicht haben Sie nur ein kleines Projekt oder machen sich wenig Sorgen um die Sicherheit der Website, da diese keine sensiblen Daten beinhaltet. Vielleicht ziehen Sie aber auch in Erwägung, zu einem Headless-CMS zu wechseln und fragen sich, wie es funktioniert.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Wie funktioniert also ein Headless-CMS?

Die Funktionsweise eines Headless-CMS dreht die Frontend-Problematik quasi auf links. Das bedeutet für Sie als Besitzer:in der Website, dass für die Anzeige keine Plugins mehr nötig sind, denn ein Headless-CMS ist “backend-only”. Durch verschiedene APIs, die auf den Endgeräten selbst bestehen, braucht es kein definiertes Frontend mehr. Die Website sendet den Content direkt in seiner Rohform aus und teilt über eine Schnittstelle der jeweiligen API mit, um welche Medien es sich handelt. Letztlich übernimmt die API die Darstellung auf dem Endgerät. Das bedeutet, dass ein Headless-CMS nur zur Verwaltung und zum Aussenden des Contents zuständig ist.

Natürlich können APIs nicht auf magische Weise Ihren Content ordentlich darstellen, sondern brauchen, ähnlich dem Frontend, eine Definition in der Schnittstelle. Diese findet hier aber nur ein einziges Mal pro Gerät bzw. Gerätegruppe statt. Manche Geräte, wie bspw. Sprachassistenten, liefern bereits eine vollständige API, die Sie direkt mit Content ansprechen können. Ein weiterer Vorteil: Ändern Sie im Nachhinein den Content, brauchen Sie sich um das Frontend keine Sorgen mehr machen – es interessiert sich nicht für den Inhalt, sondern nur für die Art des Contents den es gesendet bekommt. Also keine Plugins, deshalb keine Sicherheitslücken und obendrauf keine Sorgen um Updates, da die meisten Headless-CMS als SaaS daherkommen und somit immer automatisch auf dem neuesten Stand sind.

Nicht erweitern, sondern erleichtern

Sie sehen: Das Internet mit HTML und ein wenig CSS-Magie gibt es schon lange nicht mehr. Vielmehr wächst der Anspruch an Websites durch die Vielzahl vernetzter Geräte immer rasanter. Und selbst die responsive Entwicklung mancher monolithischer CMS reicht nicht mehr aus, um Barrierefreiheit zu gewährleisten. Deshalb sind WordPress-Plugins so gängig und für Hacker:innen als Mittel zum Zweck so interessant.

Um dem Ganzen die Krone aufzusetzen, entwickeln Hersteller täglich neue Geräte, die mit ihren eigenen Frontend-Anforderungen daherkommen. Grund mehr für Sie, sich Gedanken über die Art zu machen, wie Sie zukünftig all Ihren Content ausspielen möchten – anscheinend ist es nämlich im Internet von heute einfach besser, kopflos unterwegs zu sein.

Dominik

Angerer

CEO

Storyblok

Dominik Angerer (27) ist Co-Founder und CEO von Storyblok, ausgewiesener Web-Performance-Spezialist und Perfektionist. Nachdem er für große Agenturen als Full-Stack-Entwickler gearbeitet hatte, gründete er gemeinsam mit Alexander Feiglstorfer im Jahr 2017 Storyblok. Dominik ist aktives Mitglied in der Open-Source-Community und einer der Organisatoren von Stahlstadt und ScriptConf.
Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.