Sicherheit 5 Min Lesezeit

WordPress-Sicherheit 2025 — die 5 häufigsten Angriffsvektoren

WordPress-Sicherheit 2025: Die fünf häufigsten Angriffsvektoren im Realitätscheck — Brute-Force, Plugin-Lücken, XSS, File-Uploads und Supply-Chain. Mit Gegenmaßnahmen.

Bild: Mark J. Fernandes · CC0

Thorsten Heß
Thorsten Heß MOLOTOW Web Development

WordPress treibt rund 43 Prozent aller Websites weltweit an — und genau deshalb steht es dauerhaft unter Beschuss. Wordfence hat 2024 allein über 48 Milliarden bösartige Anfragen gegen WordPress-Seiten blockiert, der Report „Limit Login Attempts Reloaded” dokumentiert 50 Milliarden abgewehrte Login-Angriffe in zwölf Monaten. Das sind keine abstrakten Zahlen: Jede Seite, die online geht, wird binnen Minuten von Bots aufgespürt und angegriffen — egal, wie klein oder unbekannt sie ist.

Wir sind MOLOTOW Web Development aus Lahr im Schwarzwald und betreuen seit Jahren WordPress-Installationen zwischen Handwerksbetrieb und Mittelstand. In diesem Beitrag zeigen wir Dir die fünf Angriffsvektoren, die 2025 den Großteil aller erfolgreichen Einbrüche ausmachen — und was Du konkret dagegen tust.

1. Brute-Force-Angriffe auf wp-admin

Der Klassiker und gleichzeitig der volumenstärkste Angriff: Bots probieren tausende Benutzername-Passwort-Kombinationen auf /wp-login.php und /wp-admin/. Fast jede neue WordPress-Seite sieht innerhalb der ersten Stunden solche Versuche. Besonders kritisch: Viele Installationen nutzen noch immer den Standard-Benutzer „admin” und schwache Passwörter.

Was hilft

  • Starke, einzigartige Passwörter über einen Passwort-Manager (Bitwarden, 1Password).
  • Zwei-Faktor-Authentifizierung für alle Admin-Accounts (z.B. über das Plugin Wordfence Login Security oder WP 2FA).
  • Login-Limitierung: Nach X fehlgeschlagenen Versuchen wird die IP temporär gesperrt — z.B. mit Limit Login Attempts Reloaded.
  • wp-login.php umbenennen oder schützen: Mit Plugins wie WPS Hide Login oder per Server-Konfiguration via HTTP-Basic-Auth.
  • Kein Benutzer „admin”: Nach der Installation einen eigenen Account anlegen, „admin” löschen.

2. Veraltete Plugins und Themes mit bekannten CVEs

Laut Wordfence und WPScan entfallen 97 bis 99 Prozent aller erfolgreichen WordPress-Einbrüche auf Lücken in Plugins und Themes — nicht im WordPress-Core selbst. Die WPScan-Datenbank listet inzwischen über 62.000 bekannte Schwachstellen. Viele davon sind ohne Anmeldung ausnutzbar, ein Angreifer braucht also nicht einmal einen Account.

Das Problem ist meist nicht, dass es keine Patches gäbe — es gibt sie. Das Problem ist, dass Updates nicht eingespielt werden. Entweder, weil der Betreiber „Angst hat, dass was kaputtgeht”, oder weil der ursprüngliche Entwickler längst weg ist und niemand mehr verantwortlich.

Was hilft

  • Automatische Minor-Updates aktivieren (sind seit WordPress 5.6 möglich).
  • Plugins konsolidieren: Jedes Plugin ist eine zusätzliche Angriffsfläche. Alles rauswerfen, was Du nicht aktiv brauchst.
  • Nur Plugins aus dem offiziellen Repository oder von etablierten kommerziellen Anbietern einsetzen. Finger weg von „nulled” Plugins aus dubiosen Quellen.
  • Monitoring mit Wordfence oder Patchstack: Benachrichtigung, sobald in einem installierten Plugin eine Lücke bekannt wird.
  • Wartungsvertrag: Bei unseren Kunden erledigen wir Updates wöchentlich inklusive Backup und Funktionstest. Lies mehr unter Sicher im Netz.

3. Cross-Site-Scripting (XSS) über Kommentare, Formulare und Suchfelder

2024 und 2025 war Cross-Site-Scripting mit rund 50 Prozent die häufigste Schwachstellen-Kategorie in WordPress-Plugins. Bei XSS schleust ein Angreifer JavaScript-Code in eine Seite ein, der dann im Browser anderer Besucher ausgeführt wird — zum Beispiel, um Session-Cookies zu stehlen oder Admin-Aktionen im Namen des Opfers auszulösen.

Typische Einfallstore: Kommentarfelder, Kontaktformulare, Suchleisten, Profilfelder — überall, wo Nutzereingaben ohne saubere Filterung ausgegeben werden.

Was hilft

  • Eingaben immer escapen: Wer selbst Plugins oder Themes entwickelt, muss esc_html(), esc_attr() und wp_kses() konsequent einsetzen.
  • Content Security Policy (CSP) im HTTP-Header konfigurieren — reduziert die Wirkung erfolgreicher XSS-Injektionen erheblich.
  • Kommentare moderieren oder deaktivieren, wenn sie nicht gebraucht werden.
  • WAF (Web Application Firewall): Cloudflare, Wordfence oder Sucuri filtern bekannte Angriffsmuster.

4. File-Upload-Lücken und Remote Code Execution

Jedes Feature, das Dateien hochladen lässt — Media Library, Formular-Uploads, Avatar-Funktionen — kann missbraucht werden, um ausführbaren Code auf den Server zu schleusen. Die übliche Methode: Eine vermeintliche .jpg-Datei mit eingebettetem PHP-Code, die über eine fehlerhafte Prüfung durchrutscht und dann direkt aufgerufen wird. Ergebnis: Eine Webshell, die dem Angreifer vollen Zugriff gibt.

Solche Lücken tauchen fast monatlich in kommerziellen Plugins auf — insbesondere in Formular-Plugins, File-Manager-Plugins und beliebten Page-Buildern.

Was hilft

  • Ausführungsrechte im Upload-Ordner abschalten: Per .htaccess oder Nginx-Konfig PHP-Ausführung unter wp-content/uploads/ komplett blockieren.
  • Datei-Typen strikt whitelisten: Nur erlauben, was wirklich gebraucht wird (JPG, PNG, PDF).
  • MIME-Type prüfen, nicht nur die Dateiendung.
  • Schreibrechte minimieren: PHP-FPM-User sollte keinen Schreibzugriff auf den Core haben, wo möglich.
  • File-Manager-Plugins vermeiden. Ernsthaft — die sind eine der verlässlichsten Quellen für Totalkompromittierungen.

5. Supply-Chain-Angriffe über Plugin-Updates

Der unangenehmste Angriffsvektor, weil er legitim aussieht: Ein Angreifer übernimmt das Account eines Plugin-Entwicklers im WordPress-Repository — per Phishing, geleaktem Passwort oder Kauf eines verwaisten Plugins — und veröffentlicht eine „normale” Update-Version, die heimlich eine Backdoor enthält. Automatische Updates spielen sie auf tausende Seiten aus, bevor das Repository reagiert.

Prominente Fälle der letzten Jahre: „Display Widgets”, „Social Warfare” und mehrere kleinere Plugins, die nach Übernahmen unerwartet bösartig wurden.

Was hilft

  • Plugin-Pflege prüfen: Wie aktiv ist der Entwickler, wie viele Installationen, wann war das letzte Update?
  • Critical Plugins manuell updaten: Bei sicherheitskritischen Plugins (Security, Backup, Shop) lieber einen Tag warten und Community-Feedback abwarten.
  • File Integrity Monitoring: Wordfence meldet unerwartete Änderungen am Dateisystem.
  • Staging-Umgebung: Updates zuerst auf einer Kopie testen, bevor sie live gehen.
  • Tägliche Backups mit Versionshistorie, damit Du im Ernstfall zurückrollen kannst.

Häufige Fragen

Reicht ein Security-Plugin wie Wordfence aus?

Ein Security-Plugin ist eine gute Grundlage, aber keine Komplettlösung. Ohne Updates, starke Passwörter, 2FA und sauberes Server-Setup bleibt jede Seite angreifbar. Wordfence blockiert viele Standardangriffe zuverlässig — aber wer den Rest vernachlässigt, wird trotzdem erwischt.

Sind Managed-WordPress-Hoster sicherer?

In der Regel ja. Hoster wie Raidboxes, Kinsta oder WP Engine nehmen Dir Core-Updates, Backups und Basisabsicherung ab. Du zahlst mehr als beim Shared-Hosting, sparst dafür viel Arbeit und Risiko. Für geschäftskritische Seiten fast immer die richtige Wahl.

Was tun, wenn meine Seite bereits kompromittiert ist?

Ruhe bewahren, Seite offline nehmen, frisches Backup einspielen, Passwörter und API-Keys rotieren, alle Plugins und Themes neu installieren, WordPress-Core ersetzen. Danach Root-Cause-Analyse: Wo kam der Angreifer rein? Ohne das schließt Du die Lücke nicht, sondern wirst binnen Tagen erneut befallen. Wir helfen bei solchen Vorfällen — Kontakt über unser Kontaktformular.

Wie oft sollte ich Backups machen?

Täglich, automatisiert, mit mindestens sieben Tagen Historie und einer Kopie an einem externen Ort (nicht auf demselben Server). Für kleinere Blogs reicht oft ein wöchentlicher Rhythmus, für Shops und lead-generierende Seiten sind tägliche Backups Pflicht.

Fazit

WordPress ist nicht unsicher — WordPress wird unsicher betrieben. Die fünf Angriffsvektoren von oben decken über 90 Prozent aller Vorfälle ab, die wir in der Praxis sehen. Die gute Nachricht: Jede einzelne Maßnahme ist bekannt, dokumentiert und mit überschaubarem Aufwand umsetzbar. Die schlechte Nachricht: Sie passieren nicht von alleine. Wenn Du Dir regelmäßige Wartung, Monitoring und Backups nicht selbst auf den Schreibtisch legen willst, übernehmen wir das gerne für Dich. Details auf unserer Seite Sicher im Netz oder direkt über unser Kontaktformular.

Beitrag teilen
Thorsten Heß — Gründer MOLOTOW Web Development

Über den Autor

Thorsten Heß

Gründer · MOLOTOW Web Development

Seit über 20 Jahren beschäftige ich mich mit dem Web — von der ersten handgeschriebenen HTML-Seite bis zu komplexen KI-gestützten Plattformen. Bei MOLOTOW Web Development in Lahr entwickeln wir für kleine wie für mittelständische Unternehmen Lösungen, die nicht nur gut aussehen, sondern auch nach Jahren noch wartbar sind. Seit 2024 ergänzen wir unser Portfolio um zertifizierte KI-Beratung nach dem EU AI Act. Wenn Du eine Idee, ein Problem oder nur eine kurze Frage hast — schreib uns.

Kontakt aufnehmen Alle Blog-Beiträge

Verwandte Beiträge

WooCommerce 9 Sicherheits-Checkliste 2025 — was Shop-Betreiber jetzt tun müssen
Sicherheit

WooCommerce 9 Sicherheits-Checkliste 2025 — was Shop-Betreiber jetzt tun müssen
Passkeys statt Passwörter — der Praxisstand 2025
Sicherheit

Passkeys statt Passwörter — der Praxisstand 2025
1m.al – Teile sensible Daten, aber nur einmal
Sicherheit

1m.al – Teile sensible Daten, aber nur einmal
Lieber direkt? +49 7821 509 4500 mail@molotow-web.com