CMS-Marktanteile 2021 weltweit

Alle zwei Jahre werfen wir einen Blick in die aktuellen Statistiken von W3Techs:

In den Top 3 hat sich einiges geändert: WordPress führt nach wie vor mit einem gewaltigen Abstand und hat sogar noch weiter zugelegt, Joomla ist von Platz 2 auf Platz 3 gerutscht, Drupal von Platz 3 auf Platz 5 – verdrängt von Shopify (erstmals auf Platz 2) und Squarespace (nach wie vor auf Platz 4). Zugelegt haben neben WordPress auch Shopify, Wix und Blogger; verloren haben Joomla, Drupal, Squarespace und Magento; aus den Top 10 verschwunden sind PrestaShop und TYPO3 (dafür neu Bitrix und OpenCart).

Im Bereich „Web absolut“ hat WordPress wieder kräftig zugelegt und liegt jetzt bei 39,9%. Vor zwei Jahren waren es noch 33,3%.

Marktanteil CMS

WordPress 64,2%
Shopify 5,2%
Joomla 3,5%
Squarespace 2,5%
Drupal 2,4%
Wix 2,4%
Bitrix 1,7%
Blogger 1,6%
Magento 1,2%
OpenCart 1,0%

Anteil Web absolut

WordPress 39,9%
Shopify 3,3%
Joomla 2,2%
Squarespace 1,6%
Drupal 1,5%
Wix 1,5%
Bitrix 1,0%
Blogger 1,0%
Magento 0,7%
OpenCart 0,6%

State of the Word 2020

Matt Mullenweg spricht über das Corona-Jahr 2020, in dem „State of the Word“ nur online stattfinden konnte – und in dem WordPress massiv gewachsen ist.

Hier geht es zum State of the Word Q&A.

Und hier noch ein kleiner Hinweis auf die WordPress-Umfrage 2020.

Sicherheit: Aktualisierungen, Ausmisten und Schutz empfohlen, aktuell Häufung von Attacken

Die Zahl der Straftaten im Internet steigt in allen Bereichen stetig. Aktuell gibt es jedoch eine besonders massive Häufung von Attacken auf Websites.

Hier nur drei von vielen Schlagzeilen der letzten Tage aus dem Wordfence-Blog:

Bei diesem Beispiel handelt es sich nur um einen Angreifer:

Ab dem 28. April haben wir das 30-fache des Cross-Site-Scripting-Angriffsvolumens festgestellt, das von einem einzelnen Angreifer stammt und auf über eine Million WordPress-Sites abzielt.

Ab dem 12. Mai 2020 haben Angriffe dieses Bedrohungsakteurs alle anderen Angriffe auf Schwachstellen im gesamten WordPress-Ökosystem übertroffen.

Quelle

Die Attacken haben insbesondere das Ziel, ältere Sicherheitslücken auszunutzen (XSS / Cross-Site-Scripting).

In unserem Umfeld waren die Attacken bisher scheinbar nicht erfolgreich, allerdings haben bei mehreren Projekten die Firewalls auffällig viel zu tun.

Gegenmaßnahmen

  1. Aktualisierungen: WordPress, Themes, Plugins (und PHP)
  2. Ausmisten: nicht genutzte Themes und Plugins löschen (nicht nur deaktivieren!), nicht mehr weiterentwickelte austauschen
  3. Schutz: es gibt mehrere Security-Plugins, wir empfehlen insbesondere Wordfence

weitere Beiträge zum Thema Sicherheit in unserem Blog:
Fragen & Antworten zu WordPress-Updates und Sicherheit
Sicherheit bei WordPress: automatische Updates (auch für Plugins und Themes)
Hilfe: WordPress gehackt – was nun?
20 Tipps: WordPress sicherer machen

aktuell: Hack-Welle, unter anderem Weiterleitungen auf unseriöse Seiten

Aktuell scheint es eine größere Hack-Welle zu geben: In Seiten, Beiträgen, Produkten und ggf. anderen Post-Types von gehackten Websites befinden sich im Texteditor (nur sichtbar im Text- oder Code-Modus) Scripte, die Weiterleitungen auf (unseriöse) Gewinnspiel-Seiten verursachen.

Update 09.11.2019:

Weiterleitungen finden nicht nur auf unseriöse Gewinnspielseiten statt, sondern auch auf andere fragwürdige Seiten (möglicherweise Scam / Phishing).
Die Schadcodes befinden sich häufig schon länger auf den Websites, feuern offenbar aber erst seit Donnerstag besonders stark, also auffällig. Allerdings meistens nur auf Mobilgeräten, mit einigen Sekunden Verzögerung und nicht zu jeder Tageszeit (vor allem abends und nachts).

Ermöglicht wurden die Hacks scheinbar nicht durch eine Sicherheitslücke in WordPress: Es scheint sich um Datenbank-Hacks zu handeln. Auch Websites, die nicht mit WordPress betrieben werden, sind betroffen, sogar Ad-Server von Vermarktern. Dort gibt es das Problem schon länger (gelegentlich unseriöse Weiterleitungen auf eigentlich seriösen Nachrichtenportalen). Neu scheint das Problem, zumindest in dieser Stärke, auch auf normalen Websites zu sein. Leider werden diese Hacks (noch) nicht von gängigen Security-Plugins erkannt.

Alle uns bekannten Website-Hacks haben dieselbe Script-Source (URL), allerdings teils mit anderen IDs.

Zu dieser Script-Source sind im Web noch nicht viele Informationen zu finden. Google liefert zwar bereits knapp 1.000 Ergebnisse, dabei handelt es sich aber fast ausschließlich um indexierte gehackte Websites mit exakt dieser Source. Generell scheint es noch verhältnismäßig wenig diskutiert zu werden. Mehr dürften wir in den nächsten Tagen erfahren.

Zudem stellen wir momentan eine auffällige Häufung an weiteren Hacks fest, teils leider sogar in Kombination.

Update 11.11.2019:

Zitat von Sucuri, übersetzt:

In dieser Woche haben wir eine neue Welle von Website-Infektionen beobachtet, die sich hauptsächlich auf WordPress- und Magento-Websites auswirken. Wir haben festgestellt, dass Hacker Skripte von scripts.trasnaltemyrecords[.]com in mehrere Dateien und Datenbanktabellen eingefügt haben.

Quelle: https://blog.sucuri.net/2019/11/vulnerable-versions-of-adminer-as-a-universal-infection-vector.html

Laut Sucuri soll eine Sicherheitslücke im Datenbank-Tool Adminer die Ursache sein, wodurch das Auslesen der Konfigurationsdateien von CMS möglich wurde. Damit konnten sich die Hacker Zugriff auf Datenbanken verschaffen, dort Schadcode einfügen, Plugins installieren, Fake-Admins anlegen und Schadcode in Dateien einfügen.

Sucury empfiehlt folgende Schritte:

  1. Adminer entfernen
  2. das Datenbank-Passwort ändern
  3. das Plugin „Super Socialat“ löschen
  4. unbekannte WordPress-Administratoren löschen
  5. alle Passwörter von Administratoren ändern
  6. alle infizierten PHP-, JS- und HTML-Dateien löschen bzw. bereinigen
  7. Infektionen in der Datenbank entfernen

Wir betreuen aktuell fünf Fälle (mit der o.g. Script-Source), haben bisher aber noch kein Plugin „Super Socialat“ oder Fake-Admins gesehen. Die Hacks machen einen auffällig chaotischen und individuellen Eindruck. Es ist durchaus denkbar, dass mit den Zugängen gehandelt wurde. Ob immer die Sicherheitslücke in Adminer die Ursache ist, ist nicht abschließend geklärt.

Gutenberg Blocks: die 10 beliebtesten Plugins / Sammlungen

Für den WordPress-Editor Gutenberg gibt es inzwischen unzählige Block-Sammlungen: Plugins, die ganze Sets an Blöcken beinhalten. Nachfolgend die aktuell 10 beliebtesten Block-Plugins aus dem WordPress-Verzeichnis:

Gutenberg Blocks – Ultimate Addons for Gutenberg

ultimategutenberg.com
wordpress.org/plugins/ultimate-addons-for-gutenberg/
kostenlos
22 Blöcke
200,000+ Nutzer
4,9 Sterne bei 258 Bewertungen

Page Builder Gutenberg Blocks – CoBlocks

coblocks.com
wordpress.org/plugins/coblocks/
kostenlos
26 Blöcke
90,000+ Nutzer
4,7 Sterne bei 54 Bewertungen

Kadence Blocks – Gutenberg Page Builder Toolkit

kadenceblocks.com
wordpress.org/plugins/kadence-blocks/
kostenlos und Premium-Version
11 / 18 Blöcke
40,000+ Nutzer
5,0 Sterne bei 41 Bewertungen

Atomic Blocks

atomicblocks.com
wordpress.org/plugins/atomic-blocks/
kostenlos
15 Blöcke
30,000+ Nutzer
4,5 Sterne bei 32 Bewertungen

Gutenberg Blocks and Template Library by Otter

themeisle.com
wordpress.org/plugins/otter-blocks/
kostenlos
12 Blöcke
30,000+ Nutzer
4,8 Sterne bei 26 Bewertungen

Stackable – Gutenberg Blocks

wpstackable.com
wordpress.org/plugins/stackable-ultimate-gutenberg-blocks/
kostenlos und Premium-Version
24 Blöcke
10,000+ Nutzer
4,9 Sterne bei 181 Bewertungen

Advanced Gutenberg

joomunited.com
wordpress.org/plugins/advanced-gutenberg/
kostenlos
24 Blöcke
10,000+ Nutzer
4,5 Sterne bei 38 Bewertungen

Ultimate Blocks – Gutenberg Blocks Plugin

ultimateblocks.com
wordpress.org/plugins/ultimate-blocks/
kostenlos
40 Blöcke
4,000+ Nutzer
5,0 Sterne bei 17 Bewertungen

Premium Blocks for Gutenberg

premiumblocks.io
wordpress.org/plugins/premium-blocks-for-gutenberg/
kostenlos
12 Blöcke
4,000+ Nutzer
5,0 Sterne bei 23 Bewertungen

Gutenberg Blocks – Qubely

qubely.io
wordpress.org/plugins/qubely/
kostenlos und Premium-Version
26 Blöcke
2,000+ Nutzer
5,0 Sterne bei 11 Bewertungen