Ich habe in den letzten Jahren eine Menge CM-Systeme gesehen. Typo3, Joomla, Drupal, Wordpress usw. Einige Projekte ware eigene, andere habe ich übernommen. Dabei bekommt man einen wunderbaren und gleichzeit z.T. haarsträubenden Einblick in die Arbeitsweise einiger Webtätigen. Ich kann es ja irgendwo nachvollziehen, daß manche Kollegen Ihrem Spieltrieb folgen und viele Erweiterungen ausprobieren.

Es gibt auch prinzipiell keine Einwände dagegen dies zu tun. Aber, dafür nutzt man eigene Testinstallationen der jeweiligen Systeme und kein Produktivsystem. Besonders erschreckend ist, daß sogar einige professionell auftretende Agenturen es hier nicht so genau zu nehmen. So sind mir im letzten Jahr Typo3 Installationen unter die Augen gekommen, bei denen scheinbar erstmal jede Erweiterung, die zum jeweiligen Zeitpunkt verfügbar war, installiert worde, obwohl sie im System gar nicht genutzt wird.

Warum macht man das? Gute Frage, auf die ich so allerdings auch keine Antwort habe. Ich könnte mir nur vorstellen, daß man hier aus Gründen der Vereinfachung einfach eine “Standardinstallation geschnürt hat, und diese dann in jedem Projekt verwendet hat. Dann ergibt sich aber anschliessend zwangsläufig die Frage, warum man vor Start des Livebetriebs diese überflüssigen Erweiterungen nicht entfernt hat.

Wenn ihr euch jetzt fragt, was daran so tragisch ist, und man könne die Erweiterung ja später vielleicht einmal gebrauchen, dem sei gesagt: Jede Erweiterung eines CMS bedeutet neuen Code. Jeder zusätzliche Code bedeutet einerseits mehr (unnötige) Systemlast beim Betrieb der Seite. Schlimmer noch, jede zusätzliche Codezeile kann potentiell die Sicherheit des Systems gefährden! Insbesondere, wenn System und Erweiterungen nicht regelmäßig aktualisiert werden, steigte das Risiko für unbefugte Zugriffe auf die Seite stark an. Hat man Glück, toben sich nur ein paar Skript-Kiddies auf der Seite aus und machen das Layout kaputt. Hat man Pech, und es mit einem Profi zu tun, ist auch schnell der komplette Server, auf dem die Seite liegt in Gefahr.

Insbesondere komplexere Systeme wie Typo3 oder Wordpress mit hunderten verfügbarer und im schlimmsten Fall dutzenden installieren Erweiterungen sind meiner Einschätzung nach besonders anfällig. Dummerweise gibt es, im Gegensatz zu z.B. App Stores einiger Mobiltelefonhersteller keine tiefergehenden Qualitätskontrollen oder Zugangshürden für die Repositories der CMS Erweiterungen, wobei in neueren Typo3 Versionen zumindest darauf hingewiesen wird, wenn eine Erweiterung als potentiell gefährlich eingestuft ist.

Daher mein Tip an euch: Wenn ihr ein CMS benutzt, dann installiert nur die Erweiterungen, die ihr unbedingt braucht. Verzichtet auf unnötige Spielereien und fragt euch immer, ob ihr für diesen oder jenen Einsatzzweck wirklich eine Erweiterung braucht. Viele Dinge lassen sich – ein wenig Kreativität vorausgesetzt – auch mit “Bordmitteln” erledigen, ohne dafür eine extra Erweiterung installieren oder selbst schreiben zu müssen.

Haltet eure Systeme aktuell und kümmert euch regelmäßig um Backups der Dateien und Datenbanken. Wenn ihr dasd berücksichtigt, solltet ihr eure Seiten eigentlich relativ sicher betreiben können.