Zum Inhalt springen
WordPress-Sicherheit

WordPress-Sicherheit: Die 5 häufigsten Angriffsvektoren

WordPress betreibt über 43% aller Websites weltweit, und ist damit das beliebteste Ziel für Hacker. Die gute Nachricht: 97% aller erfolgreichen Angriffe nutzen bekannte Schwachstellen, die sich mit den richtigen Maßnahmen verhindern lassen.

Von Dennis Theis · · 5 Min. Lesezeit

Laptop-Bildschirm mit Code in einer dunklen Entwicklungsumgebung

1. Veraltete Plugins: Einfallstor Nummer 1

Im Sucuri-Sicherheitsbericht ist die Zahl eindeutig: Veraltete Plugins sind für über 50% aller WordPress-Hacks verantwortlich. Nicht schwache Passwörter, nicht Server-Lücken. Plugins.

Ich sehe das regelmäßig bei neuen Wartungskunden: 8 von 20 Plugins haben offene Updates, davon 3 mit bekannten Sicherheitslücken. Besonders kritisch sind Plugins, die seit über 2 Jahren kein Update erhalten haben. WordPress zeigt das zwar an, aber die wenigsten Betreiber schauen auf dieses Datum.

Die Lösung ist kein Geheimnis: wöchentliche Updates, vorher auf einer Staging-Umgebung getestet, mit Rollback-Option falls etwas schiefgeht. In unseren Wartungspaketen ist genau das enthalten. Und: Inaktive Plugins nicht nur deaktivieren, sondern löschen. Ein deaktiviertes Plugin mit Sicherheitslücke ist genauso angreifbar wie ein aktives.

2. Schwache Passwörter und Brute-Force-Angriffe

Brute-Force-Angriffe sind automatisierte Login-Versuche mit häufig verwendeten Passwort-Kombinationen. WordPress-Seiten sind ein beliebtes Ziel, weil die Login-URL standardmäßig unter /wp-admin oder /wp-login.php erreichbar ist.

Ein Angreifer kann mit einfachen Tools tausende Passwörter pro Minute durchprobieren. Nutzt auch nur ein Benutzer „admin123“ oder „passwort2024“ als Passwort, ist die Website kompromittiert.

Schutzmassnahmen

  • Starke Passwörter: Minimum 16 Zeichen, zufällig generiert, Passwort-Manager nutzen
  • 2-Faktor-Authentifizierung (2FA): TOTP-basiert über eine Authenticator-App
  • Login-Versuche begrenzen: Nach 5 Fehlversuchen die IP temporär sperren
  • Login-URL ändern: /wp-admin auf eine individuelle URL umleiten
  • Admin-Username vermeiden: Niemals „admin“ als Benutzernamen verwenden

3. SQL Injection und Cross-Site Scripting (XSS)

SQL Injection und XSS sind die beiden häufigsten Angriffstechniken auf Webanwendungen, und WordPress-Plugins sind ein Hauptziel. Bei SQL Injection schleust der Angreifer schädliche Datenbankbefehle über Eingabefelder ein. Bei XSS wird schädliches JavaScript in die Seite eingebettet, das im Browser anderer Nutzer ausgeführt wird.

Beide Angriffe entstehen durch unsaubere Programmierung in Plugins oder Themes. Der WordPress-Core selbst ist gut abgesichert. Das Problem sind Drittanbieter-Erweiterungen.

Schutzmassnahmen

  • Input Validation: Alle Nutzereingaben serverseitig validieren und escapen
  • Prepared Statements: Datenbankabfragen immer mit $wpdb->prepare()
  • Output Escaping: In Twig-Templates konsequent |e (escape) nutzen
  • Security Headers: Content-Security-Policy (CSP) begrenzt, welche Scripts ausgeführt werden dürfen
  • Web Application Firewall: Cloudflare oder Sucuri als vorgeschalteter Schutz

Unser Block-Framework mit Timber/Twig nutzt konsequent Output Escaping: {{ variable|e }} ist Standard in jedem Template.

4. Veraltete PHP-Versionen

PHP 7.4 hat seit November 2022 keine Sicherheitsupdates mehr erhalten. Trotzdem laufen laut WordPress.org noch über 25% aller Installationen auf PHP 7.4 oder älter. Das ist so, als würden Sie Windows XP im Internet nutzen. Jede bekannte Lücke steht offen, und es kommt kein Patch mehr.

Das PHP-Upgrade auf 8.2+ ist oft in 30 Minuten erledigt, vorausgesetzt, alle Plugins sind kompatibel. Genau deshalb sollte man vorher auf einer Staging-Umgebung testen. Managed WordPress-Hoster wie Raidboxes oder Kinsta aktualisieren PHP automatisch und warnen rechtzeitig bei Inkompatibilitäten.

5. File Upload Vulnerabilities

Einer der fieseren Angriffsvektoren, weil er oft über scheinbar harmlose Funktionen läuft. Ich hatte einen Fall, wo ein Kontaktformular-Plugin Datei-Uploads erlaubte, aber nur die Dateiendung prüfte, nicht den tatsächlichen Inhalt. Der Angreifer hat eine PHP-Datei als .jpg getarnt hochgeladen. Die Datei lag dann in wp-content/uploads/ und war über den Browser aufrufbar. Fertig war die Backdoor.

Der einfachste Schutz: PHP-Ausführung im Upload-Verzeichnis per .htaccess komplett blockieren. Das ist eine Zeile Code und verhindert, dass hochgeladene Dateien als Scripts ausgeführt werden können, egal was der Angreifer hochlädt. Dazu: Erlaubte Dateitypen auf das Minimum beschränken und MIME-Types validieren, nicht nur Endungen.

Häufige Hack-Typen: So äußert sich ein erfolgreicher Angriff

Wenn eine der oben genannten Schwachstellen ausgenutzt wird, zeigt sich das in der Praxis meist in einem von drei Mustern. Je früher Sie die Symptome erkennen, desto geringer fällt der Schaden aus.

Redirect Hack: Weiterleitung auf Spam-Seiten

Der häufigste WordPress-Hack. Besucher werden auf Casino-, Pharma- oder Phishing-Seiten umgeleitet. Oft betrifft die Weiterleitung nur mobile Geräte oder nur den ersten Seitenaufruf, was die Erkennung erschwert. Die Malware versteckt sich typischerweise in der .htaccess, der wp-config.php oder in Plugin-Dateien. Eine detaillierte Anleitung zur Bereinigung finden Sie in unserem Guide zum WordPress Redirect Hack.

Japanese SEO Spam: Japanische Zeichen in Google

Bei diesem Hack erstellen Angreifer tausende Seiten mit japanischen Schriftzeichen auf Ihrer Domain. Das Ziel: die Autorität Ihrer Website zu missbrauchen, um Fake-Shops in den Google-Ergebnissen zu platzieren. Sie erkennen den Hack durch eine site:ihre-domain.de-Suche bei Google. Erscheinen japanische Ergebnisse, ist Ihre Website kompromittiert. Lesen Sie unsere Anleitung zur Bereinigung von Japanese SEO Spam.

Backdoor-Infektion: Versteckter Dauerzugang

Backdoors sind versteckte PHP-Dateien, die dem Angreifer dauerhaften Zugriff auf Ihre Website ermöglichen. Sie überleben oft sogar eine Neuinstallation, weil sie in wp-content/uploads/ oder als getarnte Core-Dateien abgelegt werden. Ohne professionelle Analyse werden Backdoors selten vollständig entfernt.

Wichtig bei jedem Hack: Wenn personenbezogene Daten auf Ihrer Website gespeichert werden (Kontaktformulare, Kunden-Logins, Bestelldaten), kann eine DSGVO-Meldepflicht innerhalb von 72 Stunden bestehen. Dokumentieren Sie den Zeitpunkt der Entdeckung.

Bonus: Security Headers einrichten

HTTP Security Headers sind eine zusätzliche Schutzschicht, die viele Website-Betreiber übersehen. Sie weisen den Browser an, bestimmte Angriffsvektoren zu blockieren:

  • Content-Security-Policy (CSP): Definiert erlaubte Script- und Style-Quellen
  • X-Frame-Options: Verhindert Clickjacking (Einbetten der Seite in fremde iframes)
  • Strict-Transport-Security (HSTS): Erzwingt HTTPS-Verbindungen
  • X-Content-Type-Options: Verhindert MIME-Sniffing
  • Referrer-Policy: Kontrolliert, welche Informationen bei ausgehenden Links mitgesendet werden

Updates, 2FA, Monitoring. Das war's.

WordPress-Sicherheit ist kein Hexenwerk. Wenn Sie drei Dinge konsequent umsetzen, sind Sie sicherer als 90% aller WordPress-Installationen: wöchentliche Updates (mit Staging-Test), 2-Faktor-Authentifizierung auf allen Admin-Konten, und ein Monitoring-Tool das Alarm schlägt wenn sich Dateien ändern. Klingt simpel? Ist es auch. Die meisten machen es trotzdem nicht.

Sie sind sich unsicher, wie gut Ihre Website aktuell geschützt ist? Ein professioneller WordPress-Sicherheitscheck deckt Schwachstellen auf, bevor Angreifer sie finden.

Unsere WordPress-Wartungspakete decken all das ab: von automatischen Updates über Malware-Scans bis hin zur Malware-Beseitigung im Ernstfall.

Bereits gehackt?

Lesen Sie unseren Erste-Hilfe-Guide für Sofortmaßnahmen, oder lassen Sie Ihre Website professionell bereinigen, zum Festpreis von 550 € inkl. MwSt. Für dauerhaften Schutz sorgt eine laufende Wartung ab 79 €/Monat.

Wartungspakete ansehen →