Snowi schrieb:
Sicherheit ist bei Wordpress ein großes Thema, daher frage ich mich, worauf genau du dich beziehst.
Das einzige was mir hier einfällt, sind Plugins. Da diese ja von "Wildfremden" Personen kommen, kann Sicherheit da nicht garantiert werden - ähnlich verhält es sich mit Themes. Ist bei jedem anderen CMS aber genau so.
Wordpress zeichnet sich vor allem durch eine wirklich grauenhaft schlechte Code-Basis aus (eine klare API ist kaum vorhanden, vieles ist prozedural, was sich OO gehört,...)
Sicher, das größte Sicherheitsrisiko ist (inzwischen, früher war der Core n wandelndes Loch) der Wildwuchs bei Extensions & Themes. Ich sehe das Problem aber hier deutlich schwerwiegender als bei anderen CMS. Jeder Piesepampel bietet für kleines Geld minderwertige Extensions an, und selbst sehr weit verbreitete Extension bestehen oftmals nur aus Löchern. Da WP selbst aber auf "Null-Plan-Seitenbetreiber" abzielt, wissen die gar nicht erst, dass sie a) den Extensions und Themes nicht im Ansatz trauen dürfen und b) haben sie nicht das Knowhow, um wenigstens grob über den Code zu gucken. Wenn einige Top50-Extensions tatsächlich noch SQL Injection Lücken aufweisen, dann springt das einem erfahrenen PHP'ler direkt ins Auge.
Fannon schrieb:
Wenn es sich vermeiden lässt, würde ich gar kein CMS nehmen und die Seiten statisch generieren (static site generation). Vorteil: Ist sehr performant und mit Sicherheitslücken hat man auch nicht so viel Ärger.
Das kommt aber nicht für alle Seiten / Zwecke in Frage.
Das kannste vielleicht für "Ferienhaus Müller" machen, die bestenfalls n Kontaktformular haben, aber sobald es auch nur ein Stück komplexer wird, landest du in der Hölle. Spätestens wenn deine Seite Such- oder Sortierfunktionen anbietet, wars das. Dasselbe gilt für Membership-Bereiche, Shops,...
Mit anderen Worten: Static Site kannst du nur bei Projekten einsetzen, die so lächerlich klein und anspruchslos sind, dass der mögliche Performance-Gewinn nicht ins Gewicht fällt und die Sicherheit auch darüber gewährleistet werden kann, dass mein an Longterm-Support-CMS verwendet und den Security-Newsletter abonniert.
Wenn man Performance-Sorgen hat, sollte man ein CMS mit nem gut implementierten Frontend-Cache wählen. Wenn das nicht reicht, sollte man über größere Webpakete, einen Dedicated Server und Fullpage Caches wie Varnish nachdenken.
Meine Waffenwahl ist und bleibt Contao.
- Sicherheit des Cores: ziemlich gut. Im Verlauf des letzten Jahres wurden ein paar Lücken (auch recht alte, tief verschüttete) gefunden und gefixt. Passiert... Durch die Contao Community Alliance gabs sogar einige Patches für Uralt-Releases, deren Support-Zeitraum vor Jahren ausgelaufen ist.
- Update-Qualität: Innerhalb eines Releases gibts zur Sicherheit nur Point Releases, die nichts an der API machen und keinerlei Probleme auslösen. Minor Upgrades (3.2 auf 3.3 oder sowas) können kleine API-Changes auslösen, aber die Seite wird trotzdem noch gehen, außer man hat sehr alte Extensions laufen. Major Releases reißen die API gern mal komplett ab, um alte Zöpfe abzuschneiden. Sehr wichtig, sehr nützlich, für Extension-Entwickler etwas frustrierend.
- Performance: Gut, wenn man den Frontend-Cache abschaltet. Höllisch gut, wenn man den FE-Cache korrekt konfiguriert. Hier kann Wordpress z.B. nur kläglich abschmatzen und von hinten zugucken.
- Bedienbarkeit: Ich hab schon allerhand Affen dazu dressiert, das Backend zu benutzen...
- User-Rechte: Relativ gut steuerbar, könnte teilweise etwas feingranularer sein
- Code-Quali: Das Model-System ist etwas mau, manche Querys sind ineffizient bzw. fehlen Indizes, der Autoloader ist manchmal etwas... speziell. Der Rest ist sehr ordentlich und gut strukturiert.
- Extensions: Die Auswahl ist groß, die Community aber sehr klein. Im Endeffekt stammen locker 90% der wichtigen Extensions von "den üblichen Verdächtigen". Daher existiert hier das Wildwuchs-Problem wie bei Wordpress quasi gar nicht
- Themes: Wenige kostenlose, und die kostenpflichtigen sind (verglichen mit den typischen WP-Preisen) recht happig. Dafür ist die Quali auch entsprechend hoch. Deutsche Wertarbeit kostet eben mehr als kasachischer Pfusch