WordPress-Check: Plugins, Themes und Sicherheit

Der Friseur und die russischen Casino-Werbungen

Ein Friseur hat seine WordPress-Seite 2019 bauen lassen. Elementor, 34 Plugins, Contact Form 7. Seitdem hat niemand mehr reingeschaut — warum auch, die Seite lief ja.

Bis letzte Woche. Da stand auf seiner Startseite Werbung für Online-Casinos. Auf Russisch.

Ein veraltetes Formular-Plugin war seit über einem Jahr das Einfallstor. Stille, automatisierte Angriffe. Keine sichtbaren Spuren — bis die Angreifer entschieden, dass leise langweilig ist.

Kein Einzelfall. Über 40 % aller gehackten WordPress-Seiten werden durch veraltete Plugins kompromittiert.

WordPress ist wie ein Haus mit 50 Türen

Solide Wände, gutes Fundament. Dann installierst du 12 Türen von 12 verschiedenen Herstellern. Eine hat einen Konstruktionsfehler. Eine hat seit drei Jahren kein Update. Eine steht einfach offen.

Genau das ist ein WordPress mit einem halben Dutzend Plugins.

Wir kennen WordPress in- und auswendig. Carsten baut seit über 20 Jahren damit. Wir wissen, wie gut es funktioniert, wenn man es richtig aufstellt. Wir wissen auch, wo es wehtut.

Warum WordPress besonders im Fadenkreuz steht

Angriffe passieren nicht manuell. Die laufen automatisiert, rund um die Uhr. Bots scannen das Netz nach bekannten Plugin-Versionen mit bekannten Schwachstellen.

Der Bäcker mit seinem WordPress-Blog ist genauso im Fadenkreuz wie ein Konzern. Nicht weil er interessant ist — sondern weil er erreichbar ist.

Was wir prüfen

WordPress-Version

WordPress verrät seine Version im Quellcode. Wer die Version kennt, weiß, welche Schwachstellen es gibt. WordPress 5.x bekommt keine Sicherheitsupdates mehr.

Plugin-Erkennung

Unser wichtigster Check. Wir erkennen Plugins über HTML-, CSS- und JavaScript-Fingerprints. Dazu Versionsnummern aus den ?ver=-Parametern.

Theme-Erkennung

Aktives Theme inklusive Version. Auch Themes können Schwachstellen haben — vor allem ältere Page-Builder-Themes.

REST-API offen?

WordPress hat einen öffentlichen Endpunkt, der alle Benutzerkonten auflistet — inklusive Login-Namen. /wp-json/wp/v2/users. Das ist die halbe Arbeit für einen Brute-Force-Angriff.

Login-Seite erreichbar?

/wp-login.php und /wp-admin sind die Standard-Adressen. Bots wissen das. Wer die Login-Seite nicht schützt, hält die Tür offen.

XML-RPC aktiv?

Ein alter Kommunikationskanal, heute hauptsächlich Angriffsfläche. Ermöglicht Amplification-Angriffe: Tausende Passwort-Versuche in einem einzigen Request.

Debug-Modus

WP_DEBUG = true auf einer Live-Website gibt Fehlermeldungen, Datenbankabfragen und Dateipfade im Browser aus. Gold für Angreifer.

Die gefährlichsten WordPress-Fehler

Veraltete Plugins. "Läuft doch noch." — Bis es nicht mehr läuft. Ein einziges Plugin hat 2023 über 500.000 Seiten gleichzeitig infiziert.

Nulled Themes. Kostenpflichtige Themes aus dubiosen Quellen, gratis. Was mitkommt: Backdoors und Malware.

Standard-Benutzername "admin". Der beliebteste Name in Brute-Force-Listen.

Keine Zwei-Faktor-Authentifizierung. Passwort leaked? WordPress-Seite kompromittiert.

Keine Backups. Seite weg. Wer kein Backup hat, fängt von vorne an.

Debug-Modus auf Live. Klingt nach Anfängerfehler. Passiert regelmäßig.

Häufige Fragen

WordPress richtig gemacht

Wir sind keine WordPress-Hasser. WordPress ist mächtig — wenn man weiß, was man tut. Aber es ist nur so sicher wie das schwächste Glied.

Probleme gefunden? Wir sind da.