Her er hullerne i dit CMS: Sådan rammer hackerne dig

En ny rapport afslører, hvor der findes flest sårbarheder i populære CMS'er som Drupal, Wordpress og Joomla.

Artikel top billede

Der er ikke noget nyt i, at systemer til indholdsstyring, CMS'er, kan have kritiske sårbarheder, men en ny rapport giver alligevel et interessant indblik i sårbarhedernes karakter.

De tyske myndigheders sikkerhedskontor, BSI, konkluderer ifølge it-sitet The H-Online, at det først og fremmest er de mange add-ons til CMS'erne, der rummer sårbarhederne.

Efter at have undersøgt populære systemer som Drupal, Joomla, Plone, Typo3 og Wordpress er BSI kommet frem til, at der er langt flere sårbarheder i de plug-ins, man anvender, end i selve systemkernen.

Konklusionen overrasker næppe CMS-kendere, men detaljerne i rapporten er alligevel tankevækkende. 

Her er akilleshælen

Ifølge artiklen hos H-Online er det i Wordpress kun 20 procent af de bugs, der findes, der er i selve systemet, mens 80 procent findes i de forskellige add-ons.

I Drupal er det endnu mere ekstremt - her findes 95 procent af sårbarhederne i tilføjelserne til systemer.

Hos Joomla er det 86 procent af sårbarhederne, der findes i de forskellige moduler, man kan føje til kernesystemet. 

Selvom rapporten fra BSI overordnet godkender sikkerheden i de undersøgte CMS'er, råder sikkerhedsforskerne ifølge The H-Online til, at man aldrig anvender systemerne med standard-instillingerne. 

Det betyder blandt andet, at man bør undgå at køre med standard admin-konti, benytte HTTPS og slå automatiske sikkerheds-opdateringer til.

BSI konkluderer også, at Cross-site scripting (XSS) er det hyppigst forekommende problem i CMS'erne generelt.


Sårbarhedstyper i de undersøgte CMS'er ifølge BSI.

Hele CMS-sikkerhedsrapporten kan læses på tysk her (PDF)

Følg @kimstensdal på Twitter

Læs også:

Open source CMS'er har alvorlige sikkerhedsproblemer

Verdens mest udbredte CMS fylder 10 år

CMC: Det bruges indholdsssystemerne til

Læses lige nu

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    SAP Bruger- og rolleadministrator ved Forsvarsministeriets Regnskabsstyrelse

    Nordjylland

    Octocube Games ApS

    CIFI Developer

    Region Sjælland

    Banedanmark

    Teknisk Arkitekt – Netværk og Firewall

    Københavnsområdet

    JP/Politikens Hus

    Udvikler til integrationsteam i JP/Politikens Hus

    Københavnsområdet

    Navnenyt fra it-Danmark

    Pinksky ApS har pr. 1. maj 2026 ansat Jeppe Spanggaard, 29 år,  som Rådgivende konsulent, Partner. Han skal især beskæftige sig med Digitalisering med Microsoft-platformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Nyt job

    Jeppe Spanggaard

    Pinksky ApS

    Pinksky har pr. 1. maj 2026 ansat Alexander Skou Henkel, 39 år,  som Rådgivende konsulent. Han skal især beskæftige sig med optimering af forretningsprocesser i Microsoft platformen. Han kommer fra en stilling som IT forretningskonsulent hos Evobis ApS. Han har tidligere beskæftiget sig med forretningsudvikling i Microsoft platformen. Nyt job
    Renewtech ApS har pr. 1. april 2026 ansat Boris Sudar som Senior IT Specialist. Han skal især beskæftige sig med at sikre, at Renewtech cloudbaseret infrastruktur fortsætter på sit højeste niveau, mens han også skal drive system udvikling. Han kommer fra en stilling som Senior IT Specialist hos Eurowind Energy. Han har tidligere beskæftiget sig med Microsoft 365, Intune og sikker endepunktsstyring for hybrid og cloudbaseret infrastrukturer. Nyt job

    Boris Sudar

    Renewtech ApS

    Tinne Schjoldan Gyllich, Director, CX & Services (Customer Adoption) hos TDC Erhverv, er pr. 1. juni 2026 forfremmet til Senior Director, Head of Partnerships. Tinne skal fremover især beskæftige sig med at drive strategiske partnerskaber, styrke økosystemet og skabe vækst gennem partnerbaseret omsætning. Forfremmelse