Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
WordPress 18.06.2026 · 2 min Lesezeit

WordPress-Sicherheit: Plugin-Risiken brauchen feste Update- und Prüfprozesse

WordPress bleibt durch seine Plugin-Landschaft ein häufiges Angriffsziel. Betreiber sollten Updates, Rechte, Backups und Plugin-Auswahl konsequent prüfen.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
IT News Grafik zu WordPress Sicherheit mit Plugin Risiken, festen Updateprozessen und Prüfprozessen für Administratoren.

WordPress bleibt das meistgenutzte Content-Management-System im Netz, und damit auch ein primäres Angriffsziel. Ein aktueller Lieferkettenangriff auf die Plugins OptinMonster, TrustPulse und PushEngage, der laut heise online über 1,2 Millionen Instanzen gefährdet, zeigt: Das Risiko sitzt nicht im WordPress-Kern, sondern in der Plugin-Landschaft. Administratoren und Betreiber brauchen feste Prozesse, um damit umzugehen.

Warum Plugins das größte Risiko sind

Plugins erweitern WordPress tiefgreifend: Formulare, Shops, SEO, Caching und Mediatheken laufen häufig mit weitreichenden Berechtigungen. Sicherheitslücken können deshalb schnell zu Datenabfluss, Spam-Injection, Malware-Hinterlegung, Weiterleitungen oder vollständiger Übernahme der Website führen. Die Angriffsfläche wächst mit jeder installierten Erweiterung, unabhängig davon, ob das Plugin aktiv verwendet wird oder nur deaktiviert herumliegt.

Besonders tückisch sind Supply-Chain-Angriffe, bei denen Angreifer nicht die Website direkt angreifen, sondern die Update-Pipeline des Plugin-Herstellers kompromittieren. Das betroffene Plugin liefert die Malware dann scheinbar legitím über den WordPress-eigenen Update-Mechanismus aus. Ein aktuelles Beispiel ist der Angriff auf ShapePlugin-Pro-Plugins, bei dem Backdoors über offizielle Update-Server verbreitet wurden. Für den Betreiber ist ein solcher Angriff schwer zu erkennen, weil das Update als vertrauenswürdig signiert war.

Konkrete Maßnahmen für Betreiber

Wer WordPress-Websites betreibt, sollte folgende Punkte systematisch angehen:

MaßnahmeBegründungEmpfohlene Häufigkeit
Plugin-InventoryAktive und inaktive Plugins erfassen, verantwortliche Personen benennenQuartalsweise
Inaktive Plugins löschenDeaktivierte Plugins bleiben angreifbar und erweitern die AngriffsflächeSofort, mindestens monatlich
Updates einspielenVorher Backup anlegen, dann Update im Staging oder direktWöchentlich, bei kritischen Lücken sofort
Quellen prüfenWordfence und Patchstack Feeds abonnieren, CISA-KEV-Katalog beobachtenWöchentlich
Admin-Konten schützenMFA aktivieren, starke Passwörter, minimale AdministratorzahlDauerhaft
Backups testenRestore-Prüfung durchführen, nicht nur Backup-Datei erzeugenQuartalsweise

Supply-Chain-Angriffe erkennen

Lieferkettenangriffe sind besonders schwer zu erkennen, weil die schädliche Software über den offiziellen Update-Kanal kommt. Folgende Signale können auf eine Kompromittierung hindeuten:

  1. Unerwartete Dateiänderungen im wp-content/plugins/-Verzeichnis
  2. Neue, unbekannte Administratorkonten in der WordPress-Benutzerverwaltung
  3. Verbindungen zu unbekannten externen Servern in den Webserver-Logs
  4. Auffällige Änderungen an wp-config.php oder .htaccess
  5. Plugin-Updates, die außerhalb des normalen Veröffentlichungszyklus des Herstellers auftreten

Wer eines dieser Signale entdeckt, sollte die Website sofort in den Wartungsmodus setzen, ein vollständiges Backup für die Forensik sichern, das betroffene Plugin deaktivieren und entfernen, und alle Zugangsdaten rotieren: WordPress-Admin, FTP/SFTP, Datenbank, Hosting-Panel.

Passende Anleitungen auf S-EDV

  1. WordPress nativ auf Ubuntu installieren – Saubere Installation mit LAMP-Stack, Härtung direkt ab dem Start.
  2. ShapePlugin Supply-Chain-Angriff – Konkretes Beispiel für einen Plugin-Lieferkettenangriff mit Backdoor.
  3. WordPress mit einem Klick im netcup Webhosting installieren – Managed Installation mit automatisierten Updates.

Quellen

  1. heise online: WordPress-Lieferkettenangriff gefährdet 1,2 Millionen Instanzen
  2. Wordfence Blog (Sicherheitsthemen zu WordPress)
  3. Patchstack Vulnerability Database
Verwandt

Weiter lesen

Alle Artikel →
Moderne IT-Grafik zur Anleitung für die native Installation von WordPress auf Ubuntu mit LAMP-Stack, Apache, MariaDB und PHP-FPM, inklusive Server, Terminal, Weboberfläche und wichtigen Konfigurationspfaden.
16.06.2026 ·10 min

WordPress nativ auf Ubuntu installieren: LAMP-Stack mit Apache, MariaDB und PHP-FPM (ohne Docker)

WordPress 7.0 direkt auf Ubuntu 24.04 LTS betreiben – ohne Docker, dafür mit Apache 2.4, MariaDB 10.11 und PHP 8.3-FPM als produktionsreifem LAMP-Stack. Diese Anleitung führt dich Schritt für Schritt von der Paketinstallation bis zu TLS, systemd-Services und korrekten Dateiberechtigungen.
Plesk WordPress Toolkit im netcup Webhosting zur Ein-Klick-Installation von WordPress mit Domainauswahl, Installationsassistent und erfolgreicher Einrichtung
13.06.2026 ·10 min

WordPress mit einem Klick im netcup Webhosting installieren (WordPress Toolkit in Plesk)

WordPress im netcup Webhosting in unter 15 Minuten betriebsbereit: Der integrierte App-Installer von Plesk Obsidian übernimmt die Installation, das WordPress Toolkit kümmert sich um Updates, Backups, Sicherheitshärtung und SSL – ganz ohne Kommandozeile.
Illustration einer kritischen WordPress-Angriffsserie mit CVSS-9.8-Warnung, roten Exploit-Wellen und mehreren kompromittierten Webseiten.
08.06.2026 ·4 min

Everest Forms Pro CVE-2026-3300: CVSS 9.8 – aktive Angriffswelle auf WordPress-Sites

Eine kritische RCE-Lücke im WordPress-Plugin Everest Forms Pro (CVSS 9.8) wird aktiv ausgenutzt. Über 29.300 Angriffsversuche wurden bereits blockiert. Betreiber sollten sofort auf Version 1.9.13 aktualisieren und ihre Installationen auf verdächtige Admin-Accounts prüfen.