← Zurück zum Blog Sicherheit

WordPress-Schwachstellen 2025: Warum Ihre Website Immer Noch Gefahrdet Ist

Envestis Team 18 Min. Lesezeit

Warum WordPress das Grosste Angriffsziel im Web Bleibt

WordPress betreibt rund 43% aller Websites im Internet. Diese Zahl allein erklart, warum Angreifer es so intensiv ins Visier nehmen. Wenn Sie einen Exploit finden, der bei einer Standard-WordPress-Installation funktioniert, haben Sie potenziell Zugang zu Hunderttausenden von Websites. Fur einen Bedrohungsakteur ist das eine aussergewohnliche Rendite.

Dennoch behandeln viele Unternehmer in Lugano und in der ganzen Schweiz WordPress immer noch wie eine statische Broschure, die einmal eingerichtet und dann vergessen wird. Die Realitat ist weitaus komplexer. WordPress ist eine lebendige Software mit einer massiven Abhangigkeitskette: eine PHP-Laufzeitumgebung, eine MySQL- oder MariaDB-Datenbank, ein Webserver, der WordPress-Core selbst, ein Theme und zwischen funf und funfzig Plugins. Jede dieser Schichten ist ein potenzieller Eintrittspunkt.

In diesem Artikel gehen wir die kritischsten Schwachstellenklassen durch, die WordPress-Websites 2025 betreffen, referenzieren echte CVEs, erklaren, warum viele Webagenturen die Sicherheit vernachlassigen, und geben Ihnen eine konkrete Hartungs-Checkliste.

Veralteter Core und PHP-Versionen

Das WordPress-Core-Update-Problem

WordPress verfugt uber einen brauchbaren Auto-Update-Mechanismus fur Minor-Releases (z.B. 6.4.1 auf 6.4.2). Aber Major-Version-Upgrades (z.B. 6.4 auf 6.5) erfordern manuelles Eingreifen, und viele Website-Betreiber uberspringen sie aus Angst, dass etwas kaputt geht. Diese Angst ist nicht vollig unbegrundet: Plugins und Themes konnen mit neuen Core-Versionen inkompatibel sein. Aber die Alternative ist weitaus schlimmer.

Betrachten Sie CVE-2023-39999, eine Schwachstelle im WordPress-Core, die es Mitwirkenden ermoglichte, private oder Entwurfs-Beitrage uber die REST-API zu lesen. Sie wurde in WordPress 6.3.2 behoben, aber Websites mit alteren Versionen blieben monatelang exponiert. Oder CVE-2024-31210, die es Admin-Benutzern ermoglichte, bei Plugin-Uploads unter bestimmten Serverkonfigurationen beliebigen Code auszufuhren.

PHP End-of-Life: Ein Stiller Killer

PHP 7.4 erreichte sein Lebensende im November 2022. PHP 8.0 im November 2023. Trotzdem lauft ein erheblicher Teil der WordPress-Websites noch auf diesen nicht mehr unterstutzten Versionen.

PHP-VersionSicherheits-Support BisStatus (Jan 2025)
PHP 7.4November 2022End of Life
PHP 8.0November 2023End of Life
PHP 8.1Dezember 2025Nur Sicherheitsfixes
PHP 8.2Dezember 2026Aktiver Support
PHP 8.3Dezember 2027Aktiver Support

Wenn Ihr Hosting-Anbieter noch PHP 7.4 als Standard hat, ist das ein Warnsignal uber die gesamte Sicherheitslage. Sie sollten 2025 mindestens PHP 8.2 oder 8.3 verwenden.

Das Plugin-Okosystem: WordPress' Grosste Starke und Schwache

Eine Abhangigkeitskette, die Sie Nicht Kontrollieren

Das WordPress-Plugin-Verzeichnis beherbergt uber 60.000 Plugins. Viele davon werden von einem einzelnen Entwickler gewartet, der das Projekt jederzeit aufgeben kann. Wenn das passiert, bleiben Sie mit Code zuruck, der niemals einen weiteren Sicherheitspatch erhalten wird, der auf Ihrem Produktionsserver lauft und die Daten Ihrer Kunden verarbeitet.

Allein im Jahr 2024 verfolgte WPScan uber 5.000 neue Schwachstellen-Offenlegungen in WordPress-Plugins und -Themes. Einige der schwerwiegendsten:

  • CVE-2024-27956 (WP Automatic Plugin): SQL-Injection, die nicht authentifizierten Angreifern die Erstellung von Admin-Konten ermoglicht. CVSS-Score 9.8.
  • CVE-2024-2876 (Email Subscribers by Icegram Express): Nicht authentifizierte SQL-Injection mit vollstandiger Datenbankextraktion.
  • CVE-2024-4345 (Starter Templates by Brainstorm Force): Gespeichertes Cross-Site-Scripting fur Privilegien-Eskalation. Uber 1 Million Installationen.

Das Muster ist immer dasselbe: ein beliebtes Plugin mit Hunderttausenden von Installationen enthalt eine kritische, trivial ausnutzbare Schwachstelle. Mehr uber die Kaskadierung von Plugin-Schwachstellen erfahren Sie in unserer Analyse der CMS-Plugin-Schwachstellen.

wp-admin-Exposition und Brute-Force-Angriffe

Das Standard-Login-Seiten-Problem

Jede Standard-WordPress-Installation exponiert /wp-admin und /wp-login.php gegenuber dem gesamten Internet. Automatisierte Bots scannen IP-Bereiche und Domain-Listen rund um die Uhr und testen Anmeldedaten aus fruheren Datenlecks.

Eine typische WordPress-Website erhalt taglich zwischen 500 und 5.000 Brute-Force-Login-Versuche. Wir behandeln dieses Thema ausfuhrlich in unserem Artikel uber exponierte Admin-Seiten.

Credential Stuffing vs. Brute Force

Modernes Credential Stuffing ist intelligenter als traditionelle Brute-Force: Angreifer verwenden Benutzername/Passwort-Paare aus anderen Datenlecks (LinkedIn, Adobe, Dropbox usw.) und probieren sie gegen Ihr WordPress-Login. Da Menschen Passworter uber Dienste hinweg wiederverwenden, funktioniert dies beunruhigend oft.

XML-RPC: Der Vergessene Angriffsvektor

WordPress wird standardmassig mit aktiviertem XML-RPC ausgeliefert. Die system.multicall-Methode ermoglicht es einem Angreifer, Hunderte von Anmeldedaten-Kombinationen in einer einzigen HTTP-Anfrage zu testen und dabei die Rate-Limitierung des Login-Formulars effektiv zu umgehen.

SQL-Injection uber Plugins

Der WordPress-Core verwendet $wpdb->prepare() fur parametrisierte Abfragen. Das Problem ist, dass Plugin-Entwickler diesen Mechanismus haufig umgehen:

// Verwundbar - NIEMALS so machen
$results = $wpdb->get_results(
  "SELECT * FROM {$wpdb->prefix}custom_table WHERE id = " . $_GET['id']
);

// Sicher - immer prepare() verwenden
$results = $wpdb->get_results(
  $wpdb->prepare(
    "SELECT * FROM {$wpdb->prefix}custom_table WHERE id = %d",
    intval($_GET['id'])
  )
);

Reale SQL-Injection-Angriffskette

  1. Entdeckung: Der Angreifer sondiert jeden GET- und POST-Parameter mit automatisierten Tools.
  2. Bestatigung: Ein Parameter gibt einen Datenbankfehler bei Injektion eines Apostrophs zuruck.
  3. Extraktion: Der Angreifer verwendet UNION SELECT, um den Admin-Passwort-Hash aus wp_users zu extrahieren.
  4. Knacken: WordPress verwendet standardmassig phpass-Hashing. Schwache Passworter fallen innerhalb von Minuten.
  5. Zugang: Login in wp-admin mit den geknackten Anmeldedaten.
  6. Persistenz: Eine PHP-Backdoor-Shell wird uber den Theme-Editor hochgeladen.
  7. Exfiltration: Kundendaten und sensible Informationen werden extrahiert.

Datei-Upload-Schwachstellen

WordPress ermoglicht Datei-Uploads uber die Medienbibliothek und verschiedene Plugins. Wenn der Server so konfiguriert ist, dass er PHP im Upload-Verzeichnis ausfuhrt, kann ein Angreifer beliebige Befehle auf dem Server ausfuhren.

  • Dateierweiterung gegen eine Erlaubnisliste validieren
  • MIME-Typ serverseitig mit finfo_file() prufen
  • Hochgeladene Dateien umbenennen
  • Uploads ausserhalb des Web-Root speichern
  • PHP-Ausfuhrung im Upload-Verzeichnis deaktivieren
  • Web Application Firewall einsetzen

Warum Viele Agenturen Nicht Aktualisieren

Das Standard-Geschaftsmodell fur Webagenturen bietet keine Anreize fur Sicherheit. Eine typische Agentur erstellt eine WordPress-Website, ubergibt sie dem Kunden und macht weiter. Der Wartungsvertrag, falls vorhanden, deckt oft "Verfugbarkeitsuberwachung" statt tatsachliches Sicherheits-Patching ab.

Wir haben Schweizer Unternehmen mit WordPress 4.x-Installationen und PHP 5.6 gesehen, komplett ungepatcht seit Jahren. Nicht weil sie sich Updates nicht leisten konnten, sondern weil ihnen niemand gesagt hatte, dass es wichtig ist.

Konkrete Hartungs-Checkliste fur WordPress 2025

1. Alles Regelmassig Aktualisieren

  • Automatische Minor-Core-Updates aktivieren
  • Staging-Umgebung fur Major-Updates einrichten
  • Alle Plugins und Themes mindestens monatlich aktualisieren
  • Nicht aktiv genutzte Plugins und Themes entfernen
  • PHP 8.2 oder 8.3 verwenden

2. Authentifizierung Absichern

  • Starke, einzigartige Passworter fur alle Konten erzwingen
  • Zwei-Faktor-Authentifizierung aktivieren (TOTP, nicht SMS)
  • Login-URL umbenennen oder verschieben
  • Rate-Limiting auf Login-Endpunkten implementieren
  • XML-RPC deaktivieren, wenn nicht benotigt
  • Admin-Zugang per IP einschranken

3. Angriffsflache Minimieren

  • Jedes installierte Plugin auditieren
  • Standard-Plugins und ungenutzte Themes entfernen
  • Integrierten Datei-Editor deaktivieren (define('DISALLOW_FILE_EDIT', true);)
  • Directory-Listing deaktivieren

4. Server Harten

  • HTTPS uberall
  • Sicherheits-Header: X-Frame-Options, Content-Security-Policy, Strict-Transport-Security
  • Dateiberechtigungen: Verzeichnisse 755, Dateien 644, wp-config.php 400
  • PHP-Ausfuhrung in wp-content/uploads/ blockieren
  • Web Application Firewall einsetzen

5. Uberwachen und Reagieren

  • Dateiintegritats-Monitoring einrichten
  • Login-Versuche uberwachen und Wiederholungstater blockieren
  • Backups pflegen (extern, getestet, automatisiert)
  • Schwachstellen-Feeds abonnieren
  • Incident-Response-Plan haben

Wenn WordPress Nicht die Richtige Wahl Ist

Fur viele Unternehmen ist die Frage nicht, wie man WordPress absichert, sondern ob WordPress das richtige Werkzeug ist. Wenn Ihre Website hauptsachlich informativ ist, eliminiert ein statischer Site-Generator ganze Schwachstellenklassen. Keine Datenbank bedeutet keine SQL-Injection. Keine serverseitige Laufzeit bedeutet keine Remote-Code-Execution.

Wir behandeln dieses Thema ausfuhrlich in unserem Artikel uber Sicherheit statischer vs. dynamischer Websites. Fur Unternehmen in Lugano und der gesamten Schweiz, die eine sichere Webprasenz suchen, ist die Architekturentscheidung oft wirkungsvoller als jedes Sicherheits-Plugin.

Fazit

WordPress-Sicherheit ist keine einmalige Angelegenheit. Sie erfordert kontinuierliche Aufmerksamkeit, regelmassige Updates und ein klares Verstandnis der Angriffsflache, die Sie exponieren. Die hier behandelten Schwachstellen sind keine Randfalle; sie sind das tagliche Geschaft automatisierter Angriffe, die gerade jetzt gegen Websites wie Ihre stattfinden.

Wenn Sie eine WordPress-Website fur Ihr Unternehmen betreiben und deren Sicherheit kurzlich nicht uberpruft haben, kontaktieren Sie unser Team. Wir konnen eine grundliche Sicherheitsbewertung durchfuhren und Ihnen helfen zu entscheiden, ob die Hartung Ihrer bestehenden Installation oder die Migration zu einer sichereren Architektur der richtige Weg ist.

Wollen Sie wissen, ob Ihre Website sicher ist?

Fordern Sie ein kostenloses Sicherheitsaudit an. In 48 Stunden erhalten Sie einen vollständigen Bericht.

Kostenloses Audit Anfordern

Verwandte Artikel

Sicherheit

SPF, DKIM und DMARC: Schutzen Sie Ihr Unternehmen vor Email-Spoofing

Email-Spoofing kostet Unternehmen jahrlich Milliarden durch BEC-Betrug und Phishing. SPF, DKIM und DMARC sind drei Protokolle, die korrekt konfiguriert das Falschen Ihrer Domain nahezu unmoglich machen.

· 15 Min. Lesezeit
Sicherheit

Exponierte Admin-Seiten: Ein Geschenk fur Hacker

Ihre /wp-admin, /admin oder /login-Seite ist fur das gesamte Internet sichtbar. Bots scannen sie gerade. CAPTCHA allein wird Sie nicht retten. So nutzen Angreifer exponierte Admin-Panels aus und was Sie dagegen tun sollten.

· 13 Min. Lesezeit
Sicherheit

SSL/TLS-Zertifikate erklaert: Was sie sind und warum sie wichtig sind

Ein umfassender Leitfaden zu SSL/TLS-Zertifikaten: Wie der TLS-Handshake funktioniert, Unterschiede zwischen DV, OV und EV, Automatisierung mit Let's Encrypt, haeufige Fehlkonfigurationen und die Auswirkungen auf SEO und Vertrauen.

· 12 Min. Lesezeit

Schnellkontakt