Kontakt

0611 949 112 14
info@artmedia-jaeger.de
An den drei Weiden 25 65207 Wiesbaden
Kontakt anfragen

News Detail

Webdesign

Warum dein CMS darüber entscheidet, wie sicher deine Website wirklich ist

Warum dein CMS darüber entscheidet, wie sicher deine Website wirklich ist

Über 11.000 neue Sicherheitslücken allein bei WordPress im Jahr 2025, täglich gehackte Unternehmensseiten und Angreifer, die Schwachstellen binnen Stunden ausnutzen – die Bedrohungslage für Unternehmenswebsites hat sich deutlich verschärft. Wer ein Content-Management-System betreibt, muss die Sicherheitsarchitektur seines CMS verstehen. Dieser Beitrag zeigt, warum TYPO3 strukturell anders aufgestellt ist als WordPress – und mit welchen Maßnahmen du deine Website schützen kannst, bevor es zu spät ist.

Hackerangriffe auf Unternehmenswebsites: Die Zahlen sprechen eine deutliche Sprache

Website Schützen

Die Vorstellung, dass Cyberangriffe nur Großkonzerne treffen, hält sich hartnäckig. Die Realität sieht anders aus. Der Patchstack-Sicherheitsreport 2026 dokumentiert für das vergangene Jahr 11.334 neu entdeckte Schwachstellen im WordPress-Ökosystem ein Anstieg von 42 Prozent gegenüber dem Vorjahr. Von diesen Lücken stellten über 4.100 eine reale Bedrohung dar, knapp 2.000 wurden als hochkritisch eingestuft und in automatisierten Massenangriffen ausgenutzt.

Besonders alarmierend: Die durchschnittliche Zeitspanne zwischen der Veröffentlichung einer Schwachstelle und deren massenhafter Ausnutzung beträgt laut aktuellen Erhebungen nur noch fünf Stunden. Für ein mittelständisches Unternehmen ohne eigene IT-Sicherheitsabteilung ist dieses Zeitfenster praktisch nicht zu bewältigen.

TYPO3 taucht in vergleichbaren Angriffsstatistiken seit Jahren kaum noch auf. Das liegt nicht daran, dass TYPO3 unbekannt wäre – sondern an einer grundlegend anderen Sicherheitsarchitektur. Wer seine Website schützen will, sollte verstehen, worin dieser Unterschied genau besteht.

Was macht TYPO3 strukturell sicherer als WordPress?

Der Vergleich TYPO3 vs. WordPress-Sicherheit beginnt nicht bei einzelnen Sicherheitspatches, sondern bei der Architektur beider Systeme. Drei Faktoren machen den entscheidenden Unterschied.

Ein kontrolliertes Extension-Ökosystem statt Plug-in-Wildwuchs

91 Prozent aller WordPress-Sicherheitslücken entstehen in Plugins, nicht im Kernsystem selbst. Das WordPress-Plug-in-Verzeichnis umfasst über 60.000 Erweiterungen, die von Entwicklern unterschiedlichster Qualifikation stammen. Viele dieser Plug-ins werden nach kurzer Zeit nicht mehr gepflegt, bleiben aber auf tausenden Websites aktiv.

TYPO3 verfolgt einen restriktiveren Ansatz. Das TYPO3 Extension Repository (TER) umfasst rund 1.200 geprüfte Extensions. Das TYPO3 Security Team, ein dediziertes Gremium, das es in dieser Form bei WordPress nicht gibt – prüft nicht nur den Core, sondern auch die veröffentlichten Extensions auf Sicherheitsprobleme. Was viele übersehen: Dieses Review-Verfahren reduziert die Angriffsfläche nicht nur quantitativ, sondern sorgt auch für ein höheres Qualitätsniveau bei den verfügbaren Erweiterungen.

Ein Rollensystem, das den Namen verdient

WordPress wurde als Blogging-Plattform konzipiert und hat sein Rechtesystem über die Jahre erweitert. TYPO3 wurde von Beginn an als Enterprise-CMS entwickelt – mit einem granularen Berechtigungssystem, das den Zugriff auf einzelne Seiten, Inhaltselemente, Dateien und sogar Formularfelder separat steuern kann.

In der Praxis zeigt sich der Unterschied besonders bei Unternehmen mit mehreren Redakteuren: Während WordPress-Installationen häufig mit überdimensionierten Benutzerrechten arbeiten, erlaubt TYPO3 eine präzise Kontrolle darüber, wer welche Inhalte sehen und bearbeiten darf. Das minimiert die Folgen eines kompromittierten Benutzerkontos erheblich.

Sicherheitsaspekte im Detail: TYPO3 vs. WordPress

Sicherheitsaspekt

TYPO3

WordPress

Core-Sicherheit✅ Stark – Nur 2 Low-Severity-Schwachstellen im letzten Security-Audit✅ Stark – Core gut gehärtet, nur 6 Core-Schwachstellen in 2025
Plugin-/Extension-Sicherheit✅ Stark – Security Team prüft Extensions aktiv, ca. 1.200 kontrollierte Pakete❌ Schwach – 91 % aller Schwachstellen in Plugins, 46 % ohne Patch bei Disclosure
Reaktionszeit bei Schwachstellen✅ Stark – Koordinierte Disclosure, Patch erscheint zeitgleich mit Advisory❌ Schwach – Median 5 Stunden bis Massenexploitation, oft kein Patch vorhanden
Zugriffskontrolle / Rollen✅ Stark – Granulare Rechte bis auf Seitenbaum-, Element- und Feldebene⚠️ Mittel – 5 feste Rollen, feingranulare Kontrolle nur mit Zusatz-Plugins
Zwei-Faktor-Authentifizierung✅ Stark – TOTP nativ im Core seit v11⚠️ Mittel – Nur über Plugins wie WP 2FA oder Wordfence
Brute-Force-Schutz✅ Stark – Rate-Limiting im Core, Backend-URL nicht öffentlich bekannt❌ Schwach – /wp-admin weltweit bekannt, Schutz nur per Plugin
HTTP-Security-Header⚠️ Mittel – Über Site Configuration konfigurierbar, nicht per Default⚠️ Mittel – Über Plugins oder .htaccess, nicht per Default
SQL-Injection-Schutz✅ Stark – Doctrine DBAL, Prepared Statements als Standard⚠️ Mittel – wpdb mit Prepared Statements, aber Plugins nutzen sie nicht immer
XSS-Schutz✅ Stark – Fluid-Templating escaped Output standardmäßig⚠️ Mittel – Escaping-Funktionen vorhanden, korrekte Nutzung liegt beim Entwickler
Update-Management⚠️ Mittel – Composer-basiert, professionell aber anspruchsvoll⚠️ Mittel – Ein-Klick-Updates einfach, aber Plugin-Konflikte häufig
Datei-Upload-Sicherheit✅ Stark – FAL mit konfigurierbaren Dateityp-Filtern⚠️ Mittel – Basis-Prüfung vorhanden, erweiterte Kontrolle über Plugins
Angriffsattraktivität✅ Stark – Geringer Marktanteil, kaum lohnend für Massenangriffe❌ Schwach – 43 % Marktanteil, 97 % aller CMS-Angriffe zielen auf WordPress

Professionelle Sicherheitskommunikation statt Community-Chaos

Wenn eine Sicherheitslücke in TYPO3 entdeckt wird, folgt ein koordinierter Prozess: Das Security Team bewertet die Schwachstelle, entwickelt einen Patch und veröffentlicht ein Security Advisory mit klarer Handlungsanweisung. Die jüngsten Advisories TYPO3-CORE-SA-2026-001 bis 004 zeigen dieses Vorgehen exemplarisch, die betroffenen Versionen wurden zeitgleich mit der Veröffentlichung der Schwachstelle gepatcht.

Bei WordPress existiert zwar ebenfalls ein Security-Team, doch die Fragmentierung des Plug-in-Ökosystems führt dazu, dass 46 Prozent aller Schwachstellen zum Zeitpunkt ihrer Veröffentlichung keinen Patch haben. Für Website-Betreiber bedeutet das: Die Lücke ist bekannt, Angreifer nutzen sie aus, aber es gibt noch keine Lösung.

Warum gerade KMU-Websites im Visier stehen

Cyberkriminelle operieren ökonomisch. Sie suchen nach dem Weg des geringsten Widerstands, und den finden sie überproportional häufig bei mittelständischen Unternehmen. Der Grund: KMU betreiben ihre Website häufig mit knappen Ressourcen. Updates werden aufgeschoben, Plugins nicht überprüft, Passwörter wiederverwendet. 52 Prozent aller WordPress-Angriffe nutzen veraltete Plugins als Einfallstor, weitere acht Prozent basieren auf schwachen oder gestohlenen Passwörtern.

Die Folgen eines erfolgreichen Angriffs gehen weit über den technischen Schaden hinaus. Suchmaschinen wie Google stufen gehackte Websites innerhalb von Stunden herab oder entfernen sie komplett aus dem Index. Wer seine Website nicht aktiv schützen lässt, riskiert damit nicht nur Reparaturkosten, sondern den Vertrauensverlust bei Kunden und Geschäftspartnern, der sich in verlorenen Aufträgen niederschlägt.

So kannst du deine Website schützen – 6 Maßnahmen, die sofort wirken

Unabhängig davon, welches CMS du einsetzt: Mit den folgenden sechs Maßnahmen lässt sich deine Website schützen, ohne dass du dafür ein Informatikstudium brauchst:

  1. Halte dein CMS und alle Erweiterungen aktuell. Klingt selbstverständlich, wird aber in der Praxis am häufigsten vernachlässigt. Bei TYPO3 empfehlen wir, mindestens einmal im Monat die Security Advisories zu prüfen und Sicherheitsupdates innerhalb von 48 Stunden einzuspielen.
  2. Sichere den Backend-Zugang ab. Ändere die Standard-Login-URL, erzwinge starke Passwörter und aktiviere Zwei-Faktor-Authentifizierung. TYPO3 unterstützt TOTP-basierte 2FA nativ seit Version 11 – ohne zusätzliche Extension.
  3. Minimiere die Angriffsfläche. Deinstalliere Extensions und Plugins, die du nicht aktiv nutzt. Jede inaktive Erweiterung ist potenziell eine Schwachstelle, die niemand im Blick hat.
  4. Konfiguriere HTTP-Security-Header. Strict-Transport-Security (HSTS), Content-Security-Policy (CSP) und X-Frame-Options gehören zur Grundausstattung jeder professionellen Website. Bei TYPO3 lassen sich diese Header über die Site Configuration oder per .htaccess zentral steuern.
  5. Richte ein automatisiertes Backup ein. Ein aktuelles Backup verkürzt die Wiederherstellungszeit nach einem Angriff von Tagen auf Stunden. Teste regelmäßig, ob deine Backups tatsächlich funktionsfähig sind – ein Backup, das sich nicht wiederherstellen lässt, ist kein Backup.
  6. Lass deine Website regelmäßig prüfen. Ein professioneller Security-Audit deckt Schwachstellen auf, die automatisierte Scanner übersehen. Aus unserer Erfahrung mit über 50 TYPO3-Projekten zeigt sich: Die häufigsten Einfallstore sind nicht spektakuläre Zero-Day-Exploits, sondern vergessene Test-Zugänge, veraltete Extensions und fehlende Header-Konfigurationen.

Reicht ein CMS-Wechsel als Sicherheitsstrategie?

Eine Frage, die wir in Beratungsgesprächen regelmäßig hören: „Sollen wir einfach von WordPress zu TYPO3 wechseln, um sicherer zu sein?" Die ehrliche Antwort: Ein CMS-Wechsel allein macht deine Website nicht automatisch sicher. TYPO3 bietet durch seine Architektur einen strukturellen Vorteil – weniger Angriffsfläche, kontrolliertes Extension-Ökosystem, professionelles Security-Team. Doch auch ein TYPO3-System kann unsicher sein, wenn es nicht gepflegt wird.

Der entscheidende Faktor ist nicht das CMS, sondern die Kombination aus Technologie und Wartung. Ein professionell betreutes TYPO3-System ist schwer angreifbar. Ein vernachlässigtes System – egal ob WordPress oder TYPO3 – ist ein offenes Tor.

TYPO3 vs. WordPress: Pro und Contra im Überblick

Aspekt

TYPO3

WordPress

Grundarchitektur✅ Pro – Von Grund auf als Enterprise-CMS konzipiert, Sicherheit ist Teil des Systemdesigns❌ Contra – Als Blogging-System gestartet, Sicherheit nachgelagert erweitert
Extension-/Plugin-Risiko✅ Pro – Ca. 1.200 geprüfte Extensions, deutlich kleinere Angriffsfläche❌ Contra – 60.000+ Plugins, 91 % aller Schwachstellen aus Plugins
Verbreitung als Angriffsziel✅ Pro – Geringerer Marktanteil macht TYPO3 für Massenangriffe unattraktiv❌ Contra – 97 % aller CMS-Angriffe zielen auf WordPress
Patch-Verfügbarkeit✅ Pro – Security Team patcht Core und Extensions zeitgleich mit Advisory❌ Contra – 46 % der Schwachstellen bei Veröffentlichung ohne Patch
Benutzerrechte & Rollen✅ Pro – Granulares Berechtigungssystem bis auf Feldebene⚠️ Neutral – Basales Rollensystem, feingranulare Rechte nur über Plugins
2FA nativ✅ Pro – TOTP-basierte 2FA seit v11 im Core⚠️ Neutral – 2FA nur über Drittanbieter-Plugins
Kosten & Aufwand❌ Contra – Höhere Entwicklungskosten, weniger Dienstleister, steilere Lernkurve✅ Pro – Große Community, günstigere Entwicklung, riesige Plugin-Auswahl
Community & Ökosystem⚠️ Neutral – Kleiner, aber fachlich versierter Community-Kern (DACH-Raum)✅ Pro – Weltweit größte CMS-Community, schnelle Hilfe verfügbar
Wartung ohne Agentur❌ Contra – Updates erfordern technisches Know-how, selten ohne Dienstleister⚠️ Neutral – Einfachere Updates, aber Plugin-Kompatibilität bleibt Risiko
Langfristige Sicherheit✅ Pro – LTS-Versionen mit 3+ Jahren Support, planbarer Update-Zyklus⚠️ Neutral – Fortlaufende Updates, Plugin-Abhängigkeiten können Upgrades blockieren

Wenn du ohnehin über einen Relaunch nachdenkst oder dein WordPress-System an seine Grenzen stößt, lohnt sich der Blick auf TYPO3 allerdings nicht nur aus Sicherheitsgründen. Granulare Berechtigungen, ein professionelles Update-Management und native Enterprise-Funktionen machen TYPO3 zur fundierteren Wahl für Unternehmenswebsites, die langfristig stabil und sicher betrieben werden sollen.

Einschätzung von Artmedia Jäger

Die Sicherheitslage im CMS-Bereich hat sich in den letzten zwei Jahren spürbar verändert. Was wir bei Artmedia Jäger in der täglichen Projektarbeit beobachten: Unternehmen, die ihre Website als digitales Schaufenster betrachten und nicht als schützenswerte Infrastruktur, geraten zunehmend unter Druck. Die Angreifer werden schneller, die Angriffsflächen größer.

TYPO3 bietet für Unternehmenswebsites ein Sicherheitsfundament, das im CMS-Vergleich seinesgleichen sucht – aber nur, wenn es konsequent gepflegt wird. Wer seine Website schützen will, muss das als laufende Aufgabe begreifen, nicht als einmalige Investition. Mein Rat: Steck lieber regelmäßig in Wartung und Sicherheitsupdates als einmal in die Schadensbegrenzung nach einem Hack. Die Kosten stehen in keinem Verhältnis zueinander.

„Die größte Sicherheitslücke einer Website ist nicht die Technik – es ist die fehlende Wartung." – Christian Jäger, Gründer & SEO-Spezialist bei Artmedia Jäger

Du willst wissen, wie sicher deine Unternehmenswebsite wirklich ist?


Wir prüfen deine TYPO3- oder WordPress-Installation auf Schwachstellen und zeigen dir, wo akuter Handlungsbedarf besteht.

Quellen:

  1. Patchstack (2026): State of WordPress Security in 2026 – Whitepaper mit Analyse von 11.334 Schwachstellen im WordPress-Ökosystem, Exploitationszeiten und Patch-Abdeckung. patchstack.com/whitepaper/state-of-wordpress-security-in-2026
  2. TYPO3 Association (2026): Security Advisories TYPO3-CORE-SA-2026-001 bis 004 – Offizielle Sicherheitshinweise zu den Schwachstellen CVE-2025-59020, CVE-2025-59021, CVE-2025-59022 und CVE-2026-0859 inkl. gepatchter Versionen. typo3.org/help/security-advisories
  3. Nationales Zentrum für Cybersicherheit NCSC / NTC (2025): Security Analysis of Open Source Software – Unabhängiger Sicherheitsaudit des TYPO3-Cores mit Befund von 2 Low-Severity- und 6 Extension-Schwachstellen. en.ntc.swiss/news/2025-reports-oss-ncsc
  4. Colorlib (2026): 40+ WordPress Hacking Statistics & Security Data (2026) – Aggregierte Statistiken zu CMS-Angriffsverteilung (97 % WordPress), Plugin-Schwachstellen (91 %) und Passwort-basierten Angriffen (8 %). colorlib.com/wp/wordpress-hacking-statistics
  5. Search Engine Journal (2025): Report Shows WordPress Sites Are Getting Hacked At Faster Rate – Berichterstattung über die Beschleunigung von WordPress-Exploits und die Median-Reaktionszeit von 5 Stunden. searchenginejournal.com/report-shows-wordpress-sites-are-getting-hacked-at-faster-rate/568510
  6. TYPO3 GmbH: TYPO3 Security Team – Informationen zur Arbeitsweise des dedizierten Security Teams, das Core und Extensions prüft und koordinierte Advisories veröffentlicht. typo3.org/community/teams/security
Zurück zur Übersicht