Zum Inhalt springen
WordPress-Sicherheit

WordPress-Sicherheit: Die 5 häufigsten Angriffsvektoren

WordPress betreibt über 43% aller Websites weltweit, und ist damit das beliebteste Ziel für Hacker. Die gute Nachricht: 97% aller erfolgreichen Angriffe nutzen bekannte Schwachstellen, die sich mit den richtigen Maßnahmen verhindern lassen.

Von Dennis Theis · · 8 Min. Lesezeit

Laptop-Bildschirm mit Code in einer dunklen Entwicklungsumgebung

1. Veraltete Plugins: Einfallstor Nummer 1

Im Sucuri-Sicherheitsbericht ist die Zahl eindeutig: Veraltete Plugins sind für über 50% aller WordPress-Hacks verantwortlich. Nicht schwache Passwörter, nicht Server-Lücken. Plugins.

Ich sehe das regelmäßig bei neuen Wartungskunden: 8 von 20 Plugins haben offene Updates, davon 3 mit bekannten Sicherheitslücken. Besonders kritisch sind Plugins, die seit über 2 Jahren kein Update erhalten haben. WordPress zeigt das zwar an, aber die wenigsten Betreiber schauen auf dieses Datum.

Die Lösung ist kein Geheimnis: wöchentliche Updates, vorher auf einer Staging-Umgebung getestet, mit Rollback-Option falls etwas schiefgeht. In unseren Wartungspaketen ist genau das enthalten. Und: Inaktive Plugins nicht nur deaktivieren, sondern löschen. Ein deaktiviertes Plugin mit Sicherheitslücke ist genauso angreifbar wie ein aktives.

2. Schwache Passwörter und Brute-Force-Angriffe

Brute-Force-Angriffe sind automatisierte Login-Versuche mit häufig verwendeten Passwort-Kombinationen. WordPress-Seiten sind ein beliebtes Ziel, weil die Login-URL standardmäßig unter /wp-admin oder /wp-login.php erreichbar ist.

Ein Angreifer kann mit einfachen Tools tausende Passwörter pro Minute durchprobieren. Nutzt auch nur ein Benutzer „admin123“ oder „passwort2024“ als Passwort, ist die Website kompromittiert.

Schutzmassnahmen

  • Starke Passwörter: Minimum 16 Zeichen, zufällig generiert, Passwort-Manager nutzen
  • 2-Faktor-Authentifizierung (2FA): TOTP-basiert über eine Authenticator-App
  • Login-Versuche begrenzen: Nach 5 Fehlversuchen die IP temporär sperren
  • Login-URL ändern: /wp-admin auf eine individuelle URL umleiten
  • Admin-Username vermeiden: Niemals „admin“ als Benutzernamen verwenden

3. SQL Injection und Cross-Site Scripting (XSS)

SQL Injection und XSS sind die beiden häufigsten Angriffstechniken auf Webanwendungen, und WordPress-Plugins sind ein Hauptziel. Bei SQL Injection schleust der Angreifer schädliche Datenbankbefehle über Eingabefelder ein. Bei XSS wird schädliches JavaScript in die Seite eingebettet, das im Browser anderer Nutzer ausgeführt wird.

Beide Angriffe entstehen durch unsaubere Programmierung in Plugins oder Themes. Der WordPress-Core selbst ist gut abgesichert. Das Problem sind Drittanbieter-Erweiterungen.

Schutzmassnahmen

  • Input Validation: Alle Nutzereingaben serverseitig validieren und escapen
  • Prepared Statements: Datenbankabfragen immer mit $wpdb->prepare()
  • Output Escaping: In Twig-Templates konsequent |e (escape) nutzen
  • Security Headers: Content-Security-Policy (CSP) begrenzt, welche Scripts ausgeführt werden dürfen
  • Web Application Firewall: Cloudflare oder Sucuri als vorgeschalteter Schutz

Unser Block-Framework mit Timber/Twig nutzt konsequent Output Escaping: {{ variable|e }} ist Standard in jedem Template.

4. Veraltete PHP-Versionen

PHP 7.4 hat seit November 2022 keine Sicherheitsupdates mehr erhalten. Trotzdem laufen laut WordPress.org noch über 25% aller Installationen auf PHP 7.4 oder älter. Das ist so, als würden Sie Windows XP im Internet nutzen. Jede bekannte Lücke steht offen, und es kommt kein Patch mehr.

Das PHP-Upgrade auf 8.2+ ist oft in 30 Minuten erledigt, vorausgesetzt, alle Plugins sind kompatibel. Genau deshalb sollte man vorher auf einer Staging-Umgebung testen. Managed WordPress-Hoster wie Raidboxes oder Kinsta aktualisieren PHP automatisch und warnen rechtzeitig bei Inkompatibilitäten.

5. File Upload Vulnerabilities

Einer der fieseren Angriffsvektoren, weil er oft über scheinbar harmlose Funktionen läuft. Ich hatte einen Fall, wo ein Kontaktformular-Plugin Datei-Uploads erlaubte, aber nur die Dateiendung prüfte, nicht den tatsächlichen Inhalt. Der Angreifer hat eine PHP-Datei als .jpg getarnt hochgeladen. Die Datei lag dann in wp-content/uploads/ und war über den Browser aufrufbar. Fertig war die Backdoor.

Der einfachste Schutz: PHP-Ausführung im Upload-Verzeichnis per .htaccess komplett blockieren. Das ist eine Zeile Code und verhindert, dass hochgeladene Dateien als Scripts ausgeführt werden können, egal was der Angreifer hochlädt. Dazu: Erlaubte Dateitypen auf das Minimum beschränken und MIME-Types validieren, nicht nur Endungen.

Bonus: Security Headers einrichten

HTTP Security Headers sind eine zusätzliche Schutzschicht, die viele Website-Betreiber übersehen. Sie weisen den Browser an, bestimmte Angriffsvektoren zu blockieren:

  • Content-Security-Policy (CSP): Definiert erlaubte Script- und Style-Quellen
  • X-Frame-Options: Verhindert Clickjacking (Einbetten der Seite in fremde iframes)
  • Strict-Transport-Security (HSTS): Erzwingt HTTPS-Verbindungen
  • X-Content-Type-Options: Verhindert MIME-Sniffing
  • Referrer-Policy: Kontrolliert, welche Informationen bei ausgehenden Links mitgesendet werden

Updates, 2FA, Monitoring. Das war's.

WordPress-Sicherheit ist kein Hexenwerk. Wenn Sie drei Dinge konsequent umsetzen, sind Sie sicherer als 90% aller WordPress-Installationen: wöchentliche Updates (mit Staging-Test), 2-Faktor-Authentifizierung auf allen Admin-Konten, und ein Monitoring-Tool das Alarm schlägt wenn sich Dateien ändern. Klingt simpel? Ist es auch. Die meisten machen es trotzdem nicht.

Unsere WordPress-Wartungspakete decken all das ab: von automatischen Updates über Malware-Scans bis hin zur Malware-Beseitigung im Ernstfall.