De Duitse overheid heeft een uitgebreid onderzoek naar de veiligheid van open source contentmanagementsystemen (CMS), zoals Drupal, Joomla en WordPress uitgevoerd. Naast deze drie pakketten werd ook naar Plone en Typo3 gekeken. Van elk open source CMS werd naar de systeemarchitectuur, plug-ins, functionaliteit, protocollen, datastromen en communicatie gekeken.

Ook werden verschillende scenario's besproken waarin de pakketten gebruikt kunnen worden, zoals voor privégebruik, maar ook door organisaties en overheidsdiensten. De veiligheid van CMS'en is erg belangrijk, want het zijn vaak de eerste applicaties waardoor aanvallers onderliggende systemen, netwerken of servers kunnen aanvallen.

Instellingen
Het Duitse Bundesamt für Sicherheit in der Informationstechnik (BSI) dat het onderzoek uitvoerde is zeer over de verschillende pakketten te spreken, ook op het gebied van ondersteuning middels updates, ontwikkelproces en standaard geboden veiligheid. De veiligheid van een CMS wordt vooral bepaald door het installeren van updates en de configuratie van het onderliggende platform.

Met name kwetsbaarheden in uitbreidingen en plug-ins zorgen ervoor dat CMS'en kwetsbaar voor aanvallers zijn. Daarnaast is het belangrijk om een CMS niet in de standaardconfiguratie te draaien, maar aanvullende beveiligingsmaatregelen in te stellen, zoals het gebruik van HTTPS, wijzigen van standaard admin-accounts en patchmanagement.

Wat betreft de gebruiksvriendelijkheid om dit soort pakketten te installeren en beheren stelt het BSI dat de software niet voor onervaren gebruikers geschikt is.