Her er hullerne i dit CMS: Sådan rammer hackerne dig

En ny rapport afslører, hvor der findes flest sårbarheder i populære CMS'er som Drupal, Wordpress og Joomla.

Artikel top billede

Der er ikke noget nyt i, at systemer til indholdsstyring, CMS'er, kan have kritiske sårbarheder, men en ny rapport giver alligevel et interessant indblik i sårbarhedernes karakter.

De tyske myndigheders sikkerhedskontor, BSI, konkluderer ifølge it-sitet The H-Online, at det først og fremmest er de mange add-ons til CMS'erne, der rummer sårbarhederne.

Efter at have undersøgt populære systemer som Drupal, Joomla, Plone, Typo3 og Wordpress er BSI kommet frem til, at der er langt flere sårbarheder i de plug-ins, man anvender, end i selve systemkernen.

Konklusionen overrasker næppe CMS-kendere, men detaljerne i rapporten er alligevel tankevækkende. 

Her er akilleshælen

Ifølge artiklen hos H-Online er det i Wordpress kun 20 procent af de bugs, der findes, der er i selve systemet, mens 80 procent findes i de forskellige add-ons.

I Drupal er det endnu mere ekstremt - her findes 95 procent af sårbarhederne i tilføjelserne til systemer.

Hos Joomla er det 86 procent af sårbarhederne, der findes i de forskellige moduler, man kan føje til kernesystemet. 

Selvom rapporten fra BSI overordnet godkender sikkerheden i de undersøgte CMS'er, råder sikkerhedsforskerne ifølge The H-Online til, at man aldrig anvender systemerne med standard-instillingerne. 

Det betyder blandt andet, at man bør undgå at køre med standard admin-konti, benytte HTTPS og slå automatiske sikkerheds-opdateringer til.

BSI konkluderer også, at Cross-site scripting (XSS) er det hyppigst forekommende problem i CMS'erne generelt.


Sårbarhedstyper i de undersøgte CMS'er ifølge BSI.

Hele CMS-sikkerhedsrapporten kan læses på tysk her (PDF)

Følg @kimstensdal på Twitter

Læs også:

Open source CMS'er har alvorlige sikkerhedsproblemer

Verdens mest udbredte CMS fylder 10 år

CMC: Det bruges indholdsssystemerne til

Læses lige nu

    Annonceindlæg fra SuperOffice

    Succesfuld AI-implementering kræver langt mere end teknologien

    Hvis offentlige organisationer skal lykkes med AI, skal de først have styr på adoption, datakvalitet og datasuverænitet.

    Navnenyt fra it-Danmark

    Renewtech ApS har pr. 1. april 2026 ansat Boris Sudar som Senior IT Specialist. Han skal især beskæftige sig med at sikre, at Renewtech cloudbaseret infrastruktur fortsætter på sit højeste niveau, mens han også skal drive system udvikling. Han kommer fra en stilling som Senior IT Specialist hos Eurowind Energy. Han har tidligere beskæftiget sig med Microsoft 365, Intune og sikker endepunktsstyring for hybrid og cloudbaseret infrastrukturer. Nyt job

    Boris Sudar

    Renewtech ApS

    Guardsix har pr. 1. maj 2026 ansat Louise Sara Baunsgaard som Global Marketing & Communications Director. Hun skal især beskæftige sig med at positionere virksomheden som et europæisk alternativ i en tid, hvor cybersikkerhed i høj grad handler om geopolitik. Hun kommer fra en stilling som Co-Founder og CMO hos Get BOB. Hun er uddannet Ba.ling.merc fra CBS og har desuden en Mini MBA i marketing. Hun har tidligere beskæftiget sig med marketing og kommunikation i ledende nordiske roller hos bl.a. Meta og Nets. Nyt job
    Jakob Dirksen, SVP, Nordic Customer Delivery & Operations hos GlobalConnect, er pr. 1. maj 2026 forfremmet til EVP, Infrastructure Delivery & Operations. Han skal fremover især beskæftige sig med at lede Infrastructure Delivery & Operations, der har til opgave at drive og udvikle fibernetværket på tværs af virksomheden. Forfremmelse

    Jakob Dirksen

    GlobalConnect

    IFS Danmark A/S har pr. 2. marts 2026 ansat Marlene Gudman som HR Business Partner. Hun skal især beskæftige sig med HR i Danmark og Norden og lede udvalgte internationale HR-projekter. Hun kommer fra en stilling som Nordic Lead HR Business Partner hos Salesforce. Hun har tidligere beskæftiget sig med international HR med fokus på udvikling af og udfordringer i HR ud fra et forretningsperspektiv. Nyt job

    Marlene Gudman

    IFS Danmark A/S