← Zurück zum Blog Sicherheit

CMS-Plugin-Schwachstellen: Die versteckte Gefahr in Ihrer Website

Envestis Team 16 Min. Lesezeit

Das Plugin-Problem, ueber das niemand genug spricht

WordPress betreibt etwa 43% aller Websites. Joomla, Drupal und andere CMS-Plattformen decken einen weiteren erheblichen Anteil ab. Was diese Plattformen so beliebt macht, ist dasselbe, was sie so verwundbar macht: Plugins (oder Module oder Erweiterungen, je nach CMS).

Die durchschnittliche WordPress-Website hat 20-30 Plugins installiert. Jedes Plugin ist ein Stueck Drittanbieter-Code mit vollem Zugriff auf Ihre Datenbank, Ihr Dateisystem und die Daten Ihrer Benutzer. Einige dieser Plugins werden von gut finanzierten Unternehmen mit eigenen Sicherheitsteams gepflegt. Viele werden von einem einzelnen Entwickler in seiner Freizeit gepflegt. Manche wurden seit Jahren nicht aktualisiert. Und jedes einzelne ist ein potenzieller Einstiegspunkt fuer Angreifer.

Das Ausmass des Problems

Das WordPress-Plugin-Verzeichnis allein beherbergt ueber 60.000 Plugins. Laut der WPScan-Schwachstellendatenbank wurden allein 2024 ueber 4.000 bekannte Schwachstellen in WordPress-Plugins gemeldet. Das sind mehr als 10 pro Tag.

Warum Plugins so attraktive Ziele sind

  • Massive Installationsbasis. Ein beliebtes Plugin mit 500.000 aktiven Installationen bedeutet 500.000 potenzielle Ziele aus einer einzigen Schwachstelle.
  • Vorhersagbarer Code-Speicherort. Plugins befinden sich unter /wp-content/plugins/plugin-name/.
  • Langsame Update-Uebernahme. Selbst wenn ein Patch veroeffentlicht wird, aktualisieren viele Website-Besitzer wochen- oder monatelang nicht.
  • Variable Code-Qualitaet. Es gibt keine obligatorische Sicherheitspruefung, bevor ein Plugin im Verzeichnis gelistet wird.

Supply-Chain-Angriffe auf Plugins

Supply-Chain-Angriffe gehoeren zu den tueckischsten Bedrohungen im CMS-Oekosystem. Anstatt eine Schwachstelle in einem Plugin zu finden, kompromittiert der Angreifer das Plugin selbst oder seinen Vertriebskanal.

Wie Supply-Chain-Angriffe funktionieren

  1. Ein Angreifer identifiziert ein beliebtes Plugin, dessen Entwickler das Interesse verloren hat.
  2. Der Angreifer kauft das Plugin (oder bietet an, die "Wartung zu uebernehmen").
  3. Der Angreifer veroeffentlicht ein Update mit Schadcode, oft tief im Code verborgen oder verschleiert.
  4. Das WordPress-Auto-Update verteilt den Schadcode an jede Website, die das Plugin nutzt.

Reale Beispiele

  • Social Warfare (2019) war einer der fruehen hochkaraetigsten Faelle. Ueber 70.000 Websites waren betroffen.
  • Das Display Widgets-Plugin wurde von einem neuen Entwickler gekauft, der Spam-Link-Injektionscode einfuegte.
  • Mehrere Plugins im WordPress.org-Repository hatten kompromittierte Entwicklerkonten.

Der Supply-Chain-Angriff ist besonders gefaehrlich, weil er die Vertrauensbeziehung zwischen Plugin-Entwicklern und Website-Besitzern ausnutzt. Wenn WordPress Ihnen sagt, dass ein Update verfuegbar ist, aktualisieren Sie. Aber was ist, wenn das Update selbst der Angriff ist?

Aufgegebene Plugins: Die stille Bedrohung

Ein aufgegebenes Plugin wird nicht mehr aktiv gepflegt. Der Entwickler hat weitergezogen. Das Plugin funktioniert noch (mehr oder weniger), also verwenden Website-Besitzer es weiter. Aber niemand behebt Bugs oder patcht Schwachstellen.

Wie man aufgegebene Plugins erkennt

  • Letztes Update-Datum. Wenn ein Plugin seit ueber einem Jahr nicht aktualisiert wurde, seien Sie vorsichtig.
  • Support-Forum-Aktivitaet. Wenn der Entwickler nicht auf Support-Anfragen reagiert.
  • "Getestet bis"-Version. Wenn dort WordPress 5.x steht und Sie WordPress 6.x verwenden.

Reale CVE-Beispiele

CVE-2024-2879: LayerSlider SQL Injection

LayerSlider, ein Premium-Plugin auf ueber einer Million Websites, hatte eine kritische SQL-Injection-Schwachstelle.

CVSS-Score: 9.8 (Kritisch)

CVE-2024-1071: Ultimate Member Plugin

Das Ultimate Member Plugin (200.000+ aktive Installationen) hatte eine SQL-Injection-Schwachstelle im Sortierparameter.

CVSS-Score: 9.8 (Kritisch)

CVE-2023-6553: Backup Migration Plugin

Dieses Plugin hatte eine Remote-Code-Execution-Schwachstelle, die die Ausfuehrung von beliebigem PHP-Code ermoeglichte.

CVSS-Score: 9.8 (Kritisch)

Beachten Sie das Muster: Es sind alles nicht authentifizierte Schwachstellen. Fuer mehr Details lesen Sie unsere detaillierte Analyse der WordPress-Schwachstellen 2025.

Das Update-Paradoxon

Der Standard-Sicherheitsrat ist einfach: Alles aktuell halten. Grundsaetzlich richtig. Aber in der Praxis ist das Aktualisieren von CMS-Plugins komplizierter, als es sein sollte.

Warum Updates Dinge kaputtmachen

  • Plugin-Konflikte. Die Aktualisierung eines Plugins kann ein anderes kaputtmachen, das von seiner API abhaengt.
  • Theme-Inkompatibilitaeten. Themes enthalten oft angepasste Plugin-Integrationen.
  • Datenbankschema-Aenderungen. Einige Updates aendern die Datenbankstruktur.
  • Keine Staging-Umgebung. Die meisten kleinen Unternehmenswebsites haben keine Staging-Umgebung.

Ein besserer Ansatz

  1. Verwenden Sie eine Staging-Umgebung. Testen Sie alle Updates auf einer Kopie Ihrer Website.
  2. Automatisieren Sie Backups vor Updates.
  3. Priorisieren Sie Sicherheits-Updates.
  4. Ueberwachen Sie nach Updates. Pruefen Sie kritische Funktionen nach jedem Update.
  5. Reduzieren Sie die Plugin-Anzahl.

Plugins vor der Installation bewerten

Faktor Worauf achten Warnsignale
Aktive Wartung In den letzten 3 Monaten aktualisiert Keine Updates seit 12+ Monaten
Entwickler-Reputation Bekanntes Unternehmen oder etablierter Entwickler Anonyme oder neue Konten
Code-Qualitaet Sauberer, gut strukturierter Code Verschleierter Code, eval()-Aufrufe
Sicherheits-Track-Record Verantwortungsvolle Offenlegung, schnelle Patches Geschichte ungepatchter CVEs

Alternative Ansaetze

Der effektivste Weg, das Schwachstellenrisiko zu reduzieren, ist weniger Plugins zu verwenden.

Eine andere Architektur in Betracht ziehen

Statische Website-Generatoren (Astro, Hugo, Eleventy) und Headless-CMS-Setups eliminieren den Grossteil der serverseitigen Angriffsflaeche. Lesen Sie unseren Vergleich von WordPress vs. Jamstack-Architekturen.

Was tun, wenn ein Plugin kompromittiert ist

  1. Plugin sofort deaktivieren und loeschen.
  2. Nach Kompromittierungsindikatoren suchen.
  3. Die gesamte Website scannen. Wordfence, Sucuri oder WPScan verwenden.
  4. Alle Passwoerter aendern.
  5. Aus einem sauberen Backup wiederherstellen.
  6. Betroffene Benutzer benachrichtigen. Unter der DSGVO und dem Schweizer Datenschutzgesetz (nDSG) koennen Sie eine rechtliche Meldepflicht haben.

Praktische Empfehlungen

Basierend auf unserer Erfahrung bei Sicherheitsbewertungen fuer Unternehmen in Lugano und der Schweiz:

  1. Pruefen Sie Ihre Plugins regelmaessig. Mindestens vierteljaehrlich.
  2. Fuehren Sie ein Plugin-Inventar.
  3. Minimieren Sie die Plugin-Anzahl.
  4. Verwenden Sie eine Web Application Firewall (WAF).
  5. Ueberwachen Sie Schwachstellen-Datenbanken.
  6. Haben Sie einen Incident-Response-Plan.
  7. Ueberdenken Sie die Architektur. Wenn Sie 30+ Plugins verwalten, ist es vielleicht Zeit fuer einen Architekturwechsel.

Fazit

CMS-Plugins sind eines der groessten Sicherheitsrisiken im Web und gleichzeitig eines der am meisten uebersehenen. Das bedeutet nicht, dass Sie nie Plugins verwenden sollten. Es bedeutet, dass Sie jedes Plugin als bewusste Risikoentscheidung behandeln sollten. Wenn Sie Hilfe benoetigen, kontaktieren Sie unser Team.

Wollen Sie wissen, ob Ihre Website sicher ist?

Fordern Sie ein kostenloses Sicherheitsaudit an. In 48 Stunden erhalten Sie einen vollständigen Bericht.

Kostenloses Audit Anfordern

Verwandte Artikel

Sicherheit

WordPress-Schwachstellen 2025: Warum Ihre Website Immer Noch Gefahrdet Ist

WordPress betreibt uber 40% des Webs, aber seine Popularitat macht es zum grossten Ziel fur Angreifer. Wir analysieren die haufigsten Schwachstellenklassen, echte CVEs und konkrete Schritte zur Hartung Ihrer Installation.

· 18 Min. Lesezeit
Sicherheit

SPF, DKIM und DMARC: Schutzen Sie Ihr Unternehmen vor Email-Spoofing

Email-Spoofing kostet Unternehmen jahrlich Milliarden durch BEC-Betrug und Phishing. SPF, DKIM und DMARC sind drei Protokolle, die korrekt konfiguriert das Falschen Ihrer Domain nahezu unmoglich machen.

· 15 Min. Lesezeit
Sicherheit

Exponierte Admin-Seiten: Ein Geschenk fur Hacker

Ihre /wp-admin, /admin oder /login-Seite ist fur das gesamte Internet sichtbar. Bots scannen sie gerade. CAPTCHA allein wird Sie nicht retten. So nutzen Angreifer exponierte Admin-Panels aus und was Sie dagegen tun sollten.

· 13 Min. Lesezeit

Schnellkontakt