Her er hullerne i dit CMS: Sådan rammer hackerne dig

En ny rapport afslører, hvor der findes flest sårbarheder i populære CMS'er som Drupal, Wordpress og Joomla.

Artikel top billede

Der er ikke noget nyt i, at systemer til indholdsstyring, CMS'er, kan have kritiske sårbarheder, men en ny rapport giver alligevel et interessant indblik i sårbarhedernes karakter.

De tyske myndigheders sikkerhedskontor, BSI, konkluderer ifølge it-sitet The H-Online, at det først og fremmest er de mange add-ons til CMS'erne, der rummer sårbarhederne.

Efter at have undersøgt populære systemer som Drupal, Joomla, Plone, Typo3 og Wordpress er BSI kommet frem til, at der er langt flere sårbarheder i de plug-ins, man anvender, end i selve systemkernen.

Konklusionen overrasker næppe CMS-kendere, men detaljerne i rapporten er alligevel tankevækkende. 

Her er akilleshælen

Ifølge artiklen hos H-Online er det i Wordpress kun 20 procent af de bugs, der findes, der er i selve systemet, mens 80 procent findes i de forskellige add-ons.

I Drupal er det endnu mere ekstremt - her findes 95 procent af sårbarhederne i tilføjelserne til systemer.

Hos Joomla er det 86 procent af sårbarhederne, der findes i de forskellige moduler, man kan føje til kernesystemet. 

Selvom rapporten fra BSI overordnet godkender sikkerheden i de undersøgte CMS'er, råder sikkerhedsforskerne ifølge The H-Online til, at man aldrig anvender systemerne med standard-instillingerne. 

Det betyder blandt andet, at man bør undgå at køre med standard admin-konti, benytte HTTPS og slå automatiske sikkerheds-opdateringer til.

BSI konkluderer også, at Cross-site scripting (XSS) er det hyppigst forekommende problem i CMS'erne generelt.


Sårbarhedstyper i de undersøgte CMS'er ifølge BSI.

Hele CMS-sikkerhedsrapporten kan læses på tysk her (PDF)

Følg @kimstensdal på Twitter

Læs også:

Open source CMS'er har alvorlige sikkerhedsproblemer

Verdens mest udbredte CMS fylder 10 år

CMC: Det bruges indholdsssystemerne til

Læses lige nu

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Tekniske specialister til ITSM og CMDB til opbygning af Forsvarets nye Digital Backbone

    Midtjylland

    Aller Leisure A/S

    Nyuddannet softwareudvikler til rejsebranchen

    Københavnsområdet

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    IT-sikkerhedsspecialist med fokus på Governance, risiko, compliance og akkreditering

    Københavnsområdet

    Netcompany A/S

    Data Management Consultant

    Midtjylland

    Navnenyt fra it-Danmark

    IFS Danmark A/S har pr. 2. marts 2026 ansat Marlene Gudman som HR Business Partner. Hun skal især beskæftige sig med HR i Danmark og Norden og lede udvalgte internationale HR-projekter. Hun kommer fra en stilling som Nordic Lead HR Business Partner hos Salesforce. Hun har tidligere beskæftiget sig med international HR med fokus på udvikling af og udfordringer i HR ud fra et forretningsperspektiv. Nyt job

    Marlene Gudman

    IFS Danmark A/S

    Netip A/S har pr. 1. maj 2026 ansat Ida Hyllested Friis som Key Account Manager ved netIP's kontor i Thisted. Hun kommer fra en stilling som Key Account Manager hos Københavns erhvervshus. Nyt job
    Tinne Schjoldan Gyllich, Director, CX & Services (Customer Adoption) hos TDC Erhverv, er pr. 1. juni 2026 forfremmet til Senior Director, Head of Partnerships. Tinne skal fremover især beskæftige sig med at drive strategiske partnerskaber, styrke økosystemet og skabe vækst gennem partnerbaseret omsætning. Forfremmelse
    Freja Egelund Grønnemose, junior automation developer hos WITRICS A/S, har pr. 16. juni 2026 fuldført uddannelsen diplomingeniør i softwareteknologi (B.Eng Software Technology) på Danmarks Tekniske Universitet - DTU. Færdiggjort uddannelse