Security & Speed als wesentliche Faktoren für den Erfolg Ihrer Website
Teil 1/3: CMS-Lösungen in 2019: Headless, JAMstack, ReactJS
Website Security
Im Jahr 2012 waren 73,2 % aller mit WordPress betriebenen Websites aus der „Alexa Top 1 Million Sites”-Liste angreifbar. Das bedeutet, dass um die 30.000 Websites erhebliche Sicherheitsprobleme aufwiesen. Stellen Sie sich vor, dass von einer Million der schönsten Häuser in Deutschland 75 % ein nicht funktionierendes Türschloss haben. Ähnlich flächendeckend gibt es Security Exploits, die mit frei verfügbaren automatisierten Prozessen ausgenutzt werden können. Dabei sprechen wir hierbei nicht einmal über Plugins, sondern nur über die WordPress-Versionen, die im Jahr 2012 gefährdet waren. WordPress ist seither das am meisten gehackte Content-Management-System. Heute laufen noch 30,95% der Websites aus der „Top 1 Million Sites”-Liste auf der gefährdeten WordPress-Version 3.6.
Bei anderen serverbasierten CMSen sieht es nicht besser aus: Als die „Drupalgeddon” genannte Attacke gegen Drupal herauskam, hat es nur sieben Stunden gedauert, bis die ersten Sites gehackt waren. „Drupalgeddon 2” kam nur zwei Monate später. 115.000 weitere Drupal Websites waren auch dann immer noch angreifbar, weil sie nicht gepflegt oder gewartet wurden. Beim dritten Mal ging es sogar noch ein bisschen schneller. Nur 28 Tage nach Drupalgeddon 1 & 2 kam “Drupalgeddon 3” heraus. Diesmal hat es nur fünf Stunden gedauert, bis man einen Exploit frei herunterladen, fröhlich mit den Angriffen beginnen und die volle Kontrolle über angreifbare Websites erlangen konnte.
Gründe, warum das so ist, gibt es viele: Es kann sich um falsche Konfigurationen handeln, es könnte länger nicht mehr geupdatet worden sein, die Agentur wurde gewechselt und niemand weiß, wo der Server steht, oder das Passwort war gerade nicht auffindbar. Oftmals ist es auch nicht möglich, schnell zu updaten, da beispielsweise die neue Version das eine oder andere Plugin nicht unterstützt, wodurch etwa die Suchmaschinenoptimierung ausfallen würde. Es gibt verschiedenste Gründe dafür, dass solche Systeme veralten, die insgesamt zu genau zu diesen 30,95% der gefährdeten Sites führen. Sicherheit ist also offensichtlich ein großes Problem. Genauso wie die Langsamkeit von Websites.
Website Speed
78% aller Nutzer haben bereits Ärger oder Stress beim Laden einer Website empfunden. 71 % sind regelmäßig genervt, wenn Webseiten langsam sind. 70 % sind der Meinung, dass es immer schlimmer wird und der Stress, der damit einhergeht, zunimmt. 40 % entscheiden sich, eine Website nie wieder zu besuchen, wenn die Erfahrung sehr schlecht war und die Seiten nicht oder zu langsam geladen wurden. Die Hälfte aller Nutzer erwartet Ladezeiten von 2 Sekunden oder weniger. 18 % wollen, dass die Website sofort da ist. „Speed” ist also ganz eindeutig problematisch.
Bei Performance geht es darum, Nutzer zu behalten und die Conversion Rate zu erhöhen. Die Nutzer sind bis zu ungefähr 2,4 Sekunden lang gewillt zu warten, und jede weitere Sekunde sinkt die Conversion Rate bis hinab zur Performance Poverty Line. Wenn man es also nicht einmal schafft, seine Website nach fünf Sekunden auszuliefern, geht auch die Bounce Rate entsprechend hoch, da niemand gewillt ist, weiter zu surfen, wenn die Website zu langsam ist. 53% verlassen mobile Websites sofort, wenn sie nicht nach drei Sekunden geladen sind.
Die Auswirkungen: The struggle is real! 62% der Menschen verhalten sich mehr oder weniger normal. 23% der Menschen fangen an, ihr Telefon zu beschimpfen, 11% schreien ihr Telefon an, und 4% werfen sogar ihr Telefon in die Ecke, wenn die Website zu langsam ist oder überhaupt nicht lädt.
Nach dem tragischen Fall von Eurowings, bei dem ein Pilot Selbstmord begangen hat, waren 0% aller Website-Besucher in der Lage, eurowings.com aufzurufen. Die Site des Düsseldorfer Airports war ebenfalls down. Man war auf den Ansturm absolut nicht vorbereitet. Dies ist nicht nur ärgerlich, sondern kann im Ernstfall die Lage dramatisch verschlimmern. Websites sind für Kunden die erste Anlaufstelle, wenn irgendetwas schiefgeht. Wenn eine ohnehin stark frequentierte Website nicht mit einem explosiven Traffic-Anstieg umgehen kann, dann muss bei der Planung etwas Entscheidendes übersehen worden sein.
Bei genauerer Betrachtung solcher Fälle stellen wir also fest, dass es mit der aktuellen Website-Technologie offensichtlich häufig schwer ist, eine Website richtig zu bauen. Um sichere Sites zu entwickeln, benötigt man umfangreiches Wissen darüber, wie Datenbanken, Firewalls und Update-Prozesse funktionieren. Zuverlässige Sites zu bauen, also solche, die auch bei sehr vielen Besuchern funktionieren, ist anscheinend genauso schwierig wie schnelle Webseiten zu bauen.
Um zu verstehen, wie es soweit kommen konnte, blicken wir in Teil 2 auf die Entwicklung des World Wide Web zurück. In Teil 3 stellen wir Ihnen dann die vielversprechendsten Ansätze für Frontend, Backend und Content-Management-Systeme vor.
Hier gehts zu Thomas' Vortrag auf der OMR 2019.
Scrivito CMS: der Content-Hub für Ihre Websites und Apps
Scrivito CMS ist unsere komplette Unternehmenslösung für Digital-Experience-Plattformen, Websites und Webanwendungen der nächsten Generation. Als Software as a Service benötigt Scrivito keine IT-Wartung. Das Content-Management-System ist äußerst flexibel und erfüllt höchste Sicherheitsstandards.
Quellen:
- https://www.wpwhitesecurity.com/statistics-70-percent-wordpress-installations-vulnerable/
- https://www.codeinwp.com/blog/wordpress-statistics/
- https://www.drupal.org/forum/newsletters/security-public-service-announcements/2014-10-29/drupal-core-highly-critical
- https://research.checkpoint.com/uncovering-drupalgeddon-2/
- https://www.bleepingcomputer.com/news/security/hackers-dont-give-site-owners-time-to-patch-start-exploiting-new-drupal-flaw-within-hours/
- https://sucuri.net/reports/2018-hacked-website-report#
- https://www.oreilly.com/library/view/time-is-money/9781491928783/ch01.html
- https://developers.google.com/web/fundamentals/performance/why-performance-matters/
- https://developer.akamai.com/blog/2015/09/01/mobile-web-performance-monitoring-conversion-rate
- https://developers.google.com/web/fundamentals/performance/why-performance-matters/
- http://www.marketwired.com/press-release/tealeaf-announces-new-mobile-transaction-research-conducted-harris-interactive-shows-1419058.htm
- https://twitter.com/eurowings/status/580321550425026560
- https://www.itv.com/news/update/2015-03-24/germanwings-website-down-following-incident/
- http://www.corporatemediaservices.com.au/blog/online-crisis-communications-germanwings/
