Argumente für Contao, gegen Wordpress (Kunden fragen immer)

[fastweb]

Contao ist das CMS meiner Wahl. Immer wieder werde ich gefragt, warum Contao und nicht Wordpress.
Ich möchte dazu Einladen, mir Argumente zu liefern, sicher auch für euch interessant. Bitte helft mir dabei.
Ich fange schon mal damit an:

Pro Contao:
von hause aus:
- multidomainfähig
- multilanguage fähig
- formulargenerator bereits vorhanden
- eventmodul bereits vorhanden
- sicherer (aber warum?): international nicht so verbreitet wie wordpress.
bei wordpress kann jedes template und jedes modul eine sicherheitslücke beinhalten.
- komplexe rechteverwaltung möglich, bei wordpress gibt es nur 3 rollen


pro Wordpress:
- unzählige schöne Templates, welche mit wenig aufwand angepasst werden können
- viele extensions unterschiedlichster art.


bin gespannt auf eure weiteren argumente

[the_scrat]

Das Thema wurde schon mehrfach besprochen und muss eigentlich nicht schon wieder eröffnet werden.

Hier z.B.:
https://community.contao.org/de/showthread.php?57683-Contao-vs-WordPress

https://community.contao.org/de/showthread.php?54599-Welches-CMS-ist-gut-f%FCr-mich-Und-welcher-Hoster-ist-das-beste-f%FCr-mein-Vorhaben

https://community.contao.org/de/show...Cndungen-bitte

https://community.contao.org/de/show...ress-zu-Contao

https://community.contao.org/de/showthread.php?39948-Contao-vs-WordPress


PS: Wenn Contao das CMS deiner Wahl ist, sollten dir eigentlich genügend eigene Argumente einfallen. Ist das nicht der Fall, ist Contao auch nicht das CMS deiner Wahl!

[dazzle89]

Ihm sind ja Argumente eingefallen

Zum Thema Sicherheit: Ich würde sagen dass es schon aus dem Grund sicherer ist, weil es nicht so verbreitet wie Wordpress ist. Dadurch gibt es weniger potentielle Angriffe.

Wordpress ist nun mal ein Blogsystem und für alles darüber hinaus ist es nicht immer optimal geeignet. Es gibt zwar viele Shop-Module, die können meiner Meinung nach aber kein richtiges Shopsystem ersetzen.

Bei großen Webseiten sollte Contao performanter als Wordpress sein. Wobei Contao natürlich auch hier seine Grenzen hat und man nicht unbedingt zehntausende Produkte darin verwalten sollte.

Mir gefällt an Contao, dass es universell einsetzbar ist. Während Wordpress hat ein Blogsystem ist, lässt sich mit Contao gefühlt fast alles umsetzen und bleibt dabei performant.

Und um mal Peter Müller zu zitieren: Die Inhaltselemente sind ein "Killer-Argument"

Achja und zusätzlich zu den von dir genannten Modulen sind noch viele weitere im Core enthalten, wie z.B. News, FAQ oder Newsletter.

Außerdem fällt mir noch das mobile Seitenlayout ein, du kannst also für mobil und desktop einen eigenen Seitenbaum anlegen sodass unterschiedliche Inhalte angezeigt werden.

[Thraile]

Ohne weitere Worte: http://m.heise.de/security/meldung/L...t-3116656.html


Gesendet von meinem D5803 mit Tapatalk

[mlweb]

Wobei ich mal bemerken muss, dass es neben Fehlern im CMS selbst, Fehlern bei der Serveradministration etc. auch auf die kriminelle Energie von Hackern ankommt.
Hundertprozentige Sicherheit gibt es nicht.
Ich kann mich entsinnen, dass vor ca. 1,5 Jahren auch irgendwo mal hämisch über Contao berichtet wurde, wegen den relativ kurz aufeinanderfolgenden Sicherheitsupdates.
Versteht mich nicht falsch, aber wenn ich salopp gesagt mein Administratorpasswort an den PC klebe, dann kann man mit Contao wahrscheinlich auch jede Menge Unfug anstellen.

[mlweb]

Immer wieder werde ich gefragt, warum Contao und nicht Wordpress.

Warum stellt Du die Frage nicht mal anders herum.
Warum will der Kunde Wordpress oder Joomla oder was auch immer.

Bei aller Überzeugung für Contao kann es nämlich z.B. auch den ganz banalen Grund geben, dass der Kunde mit einem System schon gearbeitet hat und aus seiner Sicht zufrieden war.

[Thraile]

Wobei ich mal bemerken muss, dass es neben Fehlern im CMS selbst, Fehlern bei der Serveradministration etc. auch auf die kriminelle Energie von Hackern ankommt.
Hundertprozentige Sicherheit gibt es nicht.

Natürlich gibt es keine 100%tige Sicherheit und ohne kriminelle Energie von anderen hätten wir die Sicherheitsprobleme auch garnicht . Aber wenn man sich bei einem "CMS", selbst in der aktuellsten Version und ohne Plugins, Sicherheitslücken ins Haus holt, weil man beim THEME nicht höllische genug aufgepasst hat - dann stimmt da was nicht. Oder kann mir hier irgend jemand sagen, was ich bei Contao (oder von mir aus auch TYPO3) mit einem reinen Core-System anstellen muss, damit man die Sicherheitsmechanismen des Systems umgehen kann?

BTW: Ist es eigentlich immer noch so, dass bei WP die Pfade als absolute Pfade in der Datenbank landen? Vor ca 1,5 Jahren war das noch so, das macht dann das Deployment zu einem echten Spaß

[the_scrat]

Oder kann mir hier irgend jemand sagen, was ich bei Contao (oder von mir aus auch TYPO3) mit einem reinen Core-System anstellen muss, damit man die Sicherheitsmechanismen des Systems umgehen kann?

Nichts leichter als das!

Drei Beispiele die mir Ad hoc einfallen:

1. var_dump($this); => TL_CONFIG
2. var_dump($GLOBALS); => TL_CONFIG ...
3. Ändere mal dein DB Passwort und ruf Contao mit Fehlermeldungen auf.... Conto verrät nämlich direkt die Zugangsdaten (diese Fehlermeldungen inkl. KOMPLETTER ZUGANGSDATEN findet man oftmals im Forum)!

Zu Beispiel 1. und 2. brauchst du nur einen unerfahrenen User nehmen, der "irgendwo" => "irgendwas" gelesen hat und einfach mal in irgendein Template schreibt!
Positiv: Fehlermeldungen anzeigen ist standardmäßig deaktiviert, wird aber denke ich häufig genug direkt aktiviert um die Fehlermeldung auch zu sehen!

[Thraile]

*lol* nette Beispiele, wobei man Beispiel 1 und 2 schon fast als bedingten Vorsatz ansehen kann . Das mit den "Fehlermedungen anzeigen" ist allerdings echt so ein Punkt, der nicht wirklich in Ordnung ist...

Vielleicht hätte ich Fehler ausschließen sollen, die man mit 5 Minute Ahnung einfach nicht macht. Natürlich ist mir bewusst, dass jeder Hinz-und-Kunz solche Systeme einsetzt, aber das Beispiel von Linux Mint zeigt ja, dass bei WP auch technisch versierten Leute (ich zähle die Entwickler einer Linux-Distribution einfach mal dazu) mit nur einfachen Theme-Anpassungen echte Sicherheitslücken ins System schustert können, ohne sich dessen bewusst zu sein. Und ich bin mir sicher, mit anderen Systemen wäre das einfach nicht passiert.

[FloB]

Natürlich gibt es keine 100%tige Sicherheit und ohne kriminelle Energie von anderen hätten wir die Sicherheitsprobleme auch garnicht .

Du brauchst keine kriminelle Energie um ein System hacken zu wollen (und auch zu können)

[FloB]

Contao bietet von Haus aus gute Sicherheits-Defaults und -APIs, außerdem filtert es standardmäßig alle Inputs. Wer in seiner Extension-Entwicklung nicht am Contao-Framework vorbei entwickelt, ist automatisch sicher (soweit diese Sicherheit halt trägt – wie gesagt gibt es keine 100%ige Sicherheit).

Vielleicht hätte ich Fehler ausschließen sollen, die man mit 5 Minute Ahnung einfach nicht macht.

Auch und grade die Profis machen verheerende Fehler, irren ist schließlich menschlich. Angenommen, du debuggst schnell was auf dem Live-System (manchmal musst du das machen), wirst dann abgelenkt – und schwupps, vergessen die Fehlermeldungen auszuschalten. Dir fällt das nicht auf, weil du in einem geschützten Bereich gearbeitet hast und die Website sonst problemlos und ohne Fehler läuft. Und dann passiert irgendwas und jeder kann die Fehlermeldungen lesen. Oder du vergisst ein var_dump, das du in ein Kommentar verpackt hast, damit deine Anzeige nicht gänzlich zerschossen wird, wieder aus dem Template rauszunehmen – schon sind Sicherheitsschlüssel und diverse System-Login-Daten für jedermann einzusehen. Hab' ich alles schon gesehen (und zugegebenermaßen z. T. auch selber verursacht).

[mlweb]

... aber das Beispiel von Linux Mint zeigt ja, dass bei WP auch technisch versierten Leute (ich zähle die Entwickler einer Linux-Distribution einfach mal dazu) mit nur einfachen Theme-Anpassungen echte Sicherheitslücken ins System schustert können, ohne sich dessen bewusst zu sein. Und ich bin mir sicher, mit anderen Systemen wäre das einfach nicht passiert.

Der Schluss ist so nicht ganz richtig. Jeder professionelle Wordpressler (Wordpress ist hier im Prinzip beliebig austauschbar) wird Dir wahrscheinlich sagen, dass so etwas zu verhindern einfach zum Grundwissen gehört.

Außerdem heisst technisch versiert nicht zwangsweise mit genau diesem CMS vertraut. Ich würde erwarten, dass der Fokus der Entwickler von Linux auf anderen Themen liegt. Außerdem könnte ja auch ein externer Dienstleister am Werk gewesen sein.

Es mag sein, dass genau an dieser Stelle ein anderes System nicht zu diesem Fehler geführt hätte und ich streite auch überhaupt nicht ab, dass die Codequalität der verschiedenen CMS unterschiedlich große Möglichkeiten für Hackerangriffe und Fehlbedinungen bieten. Dennoch finde ich es zu simpel die vielen, auch namhaften gehackten Wordpress-Seiten zu nehmen und daraus den Schluss zu ziehen, dass Contao zwangsweise sicherer ist.

Und bevor die Frage auftaucht: Ich arbeite nicht mit Wordpress.

[the_scrat]

@Thraile naja, "Fehler" kann man einfach nicht ausschließen, egal wie dumm dieser ist. Eine Sicherheitslücke wird geschaffen von einem Anfänger, genauso wie von einem Profi. Die o.g. Beispiele sind natürlich verherrend, zeigen aber, wie wenig notwendig wäre um eine grobe Sicherheitslücke zu schaffen.

@FloB
Ich habe in der Tat bereits Erweiterungen in Contao gehabt, die z.B. auf einer Ausgabeseite (z.B. nachdem ein Formular abgeschickt wurde) den Inhalt per var_dump() ausgegeben wurde. Jeder Entwickler nutzt var_dump(); Und ich selbst gebe zu, dass ich es teilweise nur auskommentiere, weil ich es einfach mehrfach brauche und zu faul bin um es jedesmal aufs Neue hinzuschreiben. Und genau diese Faulheit ist es doch, die gute Vorausetzungen für eine Sicherheitslücke birgt. var_dump() erkennt man zum Glück gleich.

Aber lasst nur mal den Fall eintreten, dass jemand folgende Konstruktion verwendet

PHP-Code:

<!--<pre>
<?php var_dump(....);?>
</pre>-->

Letztendlich ist es immer eine Sache der Konfiguration. Und jede Erweiterung kann selbst bei einer perfekten "sicheren" Konfiguration das Hintertürchen sein. Wenn ich mir teilweise (haarsträubend) ansehe wie manche "Experten" hier mit $_GET und $_POST arbeiten.
Jede Datei die mit <?php beginnt könnte eine gravierende Sicherheitslücke enthalten... egal ob core (zwar unwahrscheinlich aber möglich) oder von Usern (durch Erweiterungen)....

[Thraile]

Man kann natürlich jedes System kaputt machen, keine Frage. Auch kann man sich durch schlampige Plugins Lücken ins System holen, da ist sicherlich kein System vor gefeit. Aber wenn man ein aktuelles System, ohne Plugins einfach nur durch ein Theme kaputt machen kann, dann ist da was faul und zwar gewaltig.

Wenn einer der Secruity-Tipps auf Wordpress.org(!) lautet, dem Webserver-Prozess die Schreibrechte von Teilen des WP-Systems zu entziehen, dann frage ich mich echt ob ich lachen oder weinen soll - mal ganz abgesehen davon, dass man das auf wahrscheinlich 99,9% der Hostingpakete gar nicht kann.

Der OP fragte nach Gründen gegen Wordpress und Wordpress ist einfach ein Sicherheitsrisiko und eben ein deutlich größeres als Contao, Drupal oder TYPO3. Gerade die namhaften Seiten zeigen ja, dass es nicht nur kleine Vereine oder Privatpersonen trift, die vergessen die System zu aktualisieren.

@Fastweb: Wenn dich also beim nächsten mal jemand fragt, warum Wordpress böse ist:

• WP ist aus meiner Sicht sicherheitstechnisch kaputt und gehört auf keinen Server
• Ein auch nur ansatzweise anständiges Deployment ist mit WP nicht möglich (korrigiert mich hier, wenn das mittlerweile anders sein sollte)
• Wenn du Pech hast zerschießt das automatische Update dir deine Installation (oder nur das Kontaktformular, wie bei sonymobile.com geschehen*)

-----
*Ok, reine Spekulation. Es kann auch Zufall gewesen sein, dass das Formular 3 Tage nach Veröffentlichung des Updates kaputt war. Vielleicht war das Teil schon länger nicht mehr in Ordnung

[amimoto]

pro Wordpress:
- unzählige schöne Templates, welche mit wenig aufwand angepasst werden können
- viele extensions unterschiedlichster art.

Zurück zum Thema. In der Tat kommt die Frage immer wieder, WordPress wird wahnsinnig "gehyped", aber bestimmt nicht von Programmierern, sondern von denen die nur die Oberfläche sehen. Und da sind nun einmal die super vielen, teilweise auch super guten Themes, die schnell installiert werden können.
ABER:
Ich glaube, Du hast noch nicht ein WP Theme wirklich verändert, oder?? Das ist für mich im Grunde alles nur über Trickserei möglich, so eine API wie bei Contao gibt es da nicht wirklich. Und jedes Theme ist anders programmiert, von den Plug-Ins ganz zu schweigen. Ein einziges Chaos, würde ich sagen. Also mit "wenig Aufwand" kann man höchstens ein paar Bilder und Styles anpassen.
UND:
WordPress ist nun mal KEIN CMS! Es ist eine Blog-Software, die fürchterlich mißbraucht und überbewertet wird. Das Backend ist im Grunde trivial, das beste Beispiel für mich sind Bildergalerien, in WP ist es schon echt schwer in einer Bildergalerie, ein Bild zu tauschen, man muß es komplett löschen und neu hochladen. Oder habe ich das nach 15 Jahren CMS Erfahrung nur falsch verstanden?? ;-) Eine zweite Bildergalerie ist dann schon nur noch manuell über Code einzufügen. Bis vor kurzem hat WP für Bildergalerien sogar CSS im Core generiert, so ganz chic mittig ausgerichtet, das mußte man dann mit !important überschreiben... :-)
Eine ansprechende Webpräsenz für eine Firma mit WordPress zu machen ist wie aus einem VW Polo einen Sportwagen zaubern wollen... :-D

Aber naja, wie soll man das einem KUNDEN schon erklären?? Der will ja nun mal auch so einen schicken Sport-Polo wie die Konkurrenz-Firma... :-)

Jemand müsste einen WordPress-to-Contao-Theme-Converter bauen!!

[mlweb]

Aber naja, wie soll man das einem KUNDEN schon erklären?? Der will ja nun mal auch so einen schicken Sport-Polo wie die Konkurrenz-Firma... :-)

Jemand müsste einen WordPress-to-Contao-Theme-Converter bauen!!

Nein das braucht es m.E. nicht. Wo siehst Du da die Vorteile?
Der Kunde kann doch den schicken Sport-Polo bekommen, er muss Ihn halt nur bezahlen.
Wenn es darum geht ein vorhandenes Wordpress-Theme in Contao nachzubauen, dann ist das ja ohne weiteres möglich. Macht meiner Meinung nach nicht mehr Arbeit als einen Entwurf vom Grafiker umzusetzen.
Das Problem ist eher, dass manche Kunden nicht mal für den Leiterwagen bezahlen wollen, geschweige denn für den schicken Sport-Polo.
Und da muss man dem Kunden eben erklären, dass es so nicht funktioniert und das konsequent.
Das wird bei einigen potentiellen Kunden nicht klappen. Aber sind wir doch mal ehrlich, wer vor hat seine Webseite mit einem fertigen Theme aufzubauen und nach Möglichkeit nicht mehr als 100 € auszugeben, den werden wir auch mit kostenlosen Contao-Themes nicht dazu bringen, für den schicken Sport-Polo zu bezahlen.
Es gibt zwar diese unzähligen kostenlosen Themes bei Wordpress und auch bei Joomla, aber viele Kunden wollen mehr als Farben ändern. Damit sind die meisten dann überfordert - auch bei Wordpress.
Übrigens wenn bei Wordpress ein Profi die Theme-Anpassung vornimmt, dann verlangt der genauso für seine Leistung bezahlt zu werden.

Also ich bleibe dabei. Entscheidend ist die Frage: Warum möchte der Kunde Wordpress, Joomla, TYPO3 oder what ever.

[neophron]

Bitte mal in google »why not to use« eingeben und auf die Vervollständigung achten

why not to use.png