Skip to content
· 6 Min. Lesezeit

Veraltetes WordPress: Die Sicherheitsrisiken, die Sie wirklich eingehen

Sobald eine WordPress-Schwachstelle öffentlich bekannt wird, erscheint Exploit-Code in der Regel binnen 24 bis 72 Stunden. Was veraltete Plugins, Themes oder Core für Ihr Unternehmen bedeuten, zeigen konkrete CVEs aus 2024-2025.

WordPressSecurityMaintenance
Teilen

Über 40 % aller WordPress-Seiten betreiben mindestens ein veraltetes Plugin mit einer bekannten Sicherheitslücke. Das ist keine Schätzung, sondern eine regelmäßig auditierte Zahl aus der WordPress-Sicherheitsforschung. Wer Plugins oder Themes in den letzten Wochen nicht aktualisiert hat, gehört mit hoher Wahrscheinlichkeit dazu.

Das Risiko ist greifbar. Wird eine Lücke gepatcht, offenbart der Patch selbst, wo das Problem lag. Sicherheitsforscher veröffentlichen technische Details. Automatisierte Scanner beginnen binnen Stunden, nach verwundbaren Seiten zu suchen. Ab Tag drei ist aktive Ausnutzung typischerweise im großen Maßstab im Gange.

Wie schnell Schwachstellen ausgenutzt werden

Die Zeit zwischen öffentlicher Bekanntmachung und massiver Ausnutzung hat sich deutlich verkürzt. 2023 betrug der Durchschnitt noch rund 15 Tage. Bis 2025 werden kritische Lücken in weit verbreiteten Plugins bereits 24 bis 72 Stunden nach Patch-Veröffentlichung aktiv angegriffen.

PhaseTypischer Zeitrahmen
Schwachstelle durch Forscher entdecktTag 0
Patch durch Plugin-Entwickler veröffentlichtTage 1-30 (wenn überhaupt)
Technische Details veröffentlichtGleicher Tag wie der Patch
Proof-of-Concept-Exploit veröffentlicht24-72 Stunden nach Patch
Automatisiertes Massenscanning beginnt24-72 Stunden nach Patch
Ungepatchte Seite aktiv gefährdetAb Tag 3

Eine Kompromittierung setzt kein gezieltes Angriffsszenario voraus. Angreifer betreiben automatisierte Scanner, die Millionen von Seiten gleichzeitig nach Versionsmerkmalen verwundbarer Installationen absuchen. Wer das Muster erfüllt, landet in der Angriffswarteschlange.

Reale Schwachstellen aus 2024-2025

Das sind keine Hypothesen, sondern konkrete Sicherheitslücken in Plugins, die auf Millionen von WordPress-Seiten installiert sind, alle öffentlich dokumentiert.

LiteSpeed Cache: 5 Millionen Seiten betroffen

Im August 2024 veröffentlichten Sicherheitsforscher CVE-2024-28000, eine kritische Schwachstelle im LiteSpeed Cache Plugin. Ein nicht authentifizierter Angreifer konnte damit Rechte eskalieren und Administrator-Konten auf jeder betroffenen Seite anlegen. LiteSpeed Cache ist auf über 5 Millionen WordPress-Seiten installiert. Seiten, die mehr als wenige Tage ungepacht blieben, erhielten innerhalb derselben Woche routinemäßig rogue-Admin-Konten durch automatisierte Bots, ein Muster, das in Wordfence- und Patchstack-Incident-Zusammenfassungen dokumentiert ist.

Really Simple Security: 4 Millionen Seiten betroffen

Im November 2024 wurde CVE-2024-10924 in Really Simple Security (vormals Really Simple SSL) bekannt, einem Plugin mit 4 Millionen Installationen. Die Lücke ermöglichte vollständige Authentifizierungsumgehung: Angreifer konnten sich ohne Kenntnis des Passworts als beliebige Nutzer einloggen, einschließlich Administratoren. WordPress.org bewertete dies als kritisch mit 9,8 von 10 Punkten. Innerhalb von 24 Stunden nach öffentlicher Bekanntmachung wurden massenhaft Ausnutzungsversuche dokumentiert.

WP Automatic: SQL-Injection im großen Maßstab

Anfang 2024 wurde CVE-2024-27956 in WP Automatic entdeckt, einem Plugin für automatisiertes Content-Publishing auf über 30.000 Seiten. Die SQL-Injection-Schwachstelle erlaubte Angreifern, Datenbankinhalt auszulesen und Admin-Konten anzulegen. Innerhalb weniger Wochen nach Bekanntmachung waren Tausende von Seiten kompromittiert und mit Backdoors versehen.

Was "veraltet" wirklich bedeutet

Bei WordPress-Updates denken die meisten zuerst an die Core-Version. Die eigentliche Angriffsfläche ist jedoch wesentlich größer.

KomponenteRelevanzRisiko bei veralteter Version
WordPress CoreDas Fundament, wird regelmäßig gepatchtHoch: bekannte Exploits zielen auf ältere Versionen
PluginsAngriffsvektor Nr. 1: Tausende Plugins, stark unterschiedliche QualitätKritisch: die meisten Exploits richten sich gegen Plugins
ThemesEnthalten häufig Schwachstellen, besonders Premium-Themes aus MarktplätzenMittel-Hoch
PHP-VersionDie serverseitige Sprache, auf der WordPress läuftHoch: PHP 7.4 (EOL 2022) erhält keine Sicherheits-Patches mehr

Ein erheblicher Teil der WordPress-Seiten läuft noch auf PHP 7.x, einer Version, die seit 2022 End-of-Life ist und keine Sicherheitsupdates mehr erhält. Schwachstellen in PHP selbst bleiben ungepacht und schaffen eine Sicherheitslücke unterhalb aller anderen Schichten.

Das Update-Paradox

Die naheliegende Reaktion auf all das: alles sofort aktualisieren. Das Problem ist, dass WordPress-Updates häufig etwas kaputtmachen.

Plugin-Konflikte nach größeren WordPress-Versionssprüngen sind an der Tagesordnung. Ein Theme, das unter WP 6.3 einwandfrei funktionierte, kann unter WP 6.5 Darstellungsprobleme zeigen. Ein Payment-Plugin-Update kann den Checkout-Prozess brechen. Die meisten Betreiber haben mindestens einmal erlebt, wie ihre Seite nach einem Update ausfiel. Das Ergebnis: Updates werden auf "kurz bis wir es testen können" verschoben, und aus Wochen werden Monate.

Automatische Updates verkleinern das Zeitfenster der Verwundbarkeit, bringen aber unvorhersehbares Breakage-Risiko mit sich. Viele Betreiber deaktivieren Auto-Updates nach einer schlechten Erfahrung. Innerhalb des WordPress-Modells gibt es keine saubere Lösung.

Was Angreifer mit dem Zugang machen

Nach einer Kompromittierung zerstören Angreifer eine Seite in der Regel nicht sofort, das würde den Einbruch verraten. Bevorzugt wird stiller, persistenter Zugang.

  • SEO-Spam-Injection: Tausende versteckter Links zu Pharma-, Glücksspiel- oder Adult-Seiten werden in Ihre Seiten eingeschleust. Ihre Google-Rankings sinken. Irgendwann setzt Google Ihre Domain auf die Blacklist.
  • Redirect-Hacks: Besucher werden lautlos auf bösartige Seiten weitergeleitet, ohne dass Sie es bemerken, weil die Weiterleitung auf bestimmte Traffic-Muster abzielt. Ihr organischer Traffic bricht ein.
  • Kundendaten-Diebstahl: Formulareingaben, Kontaktdaten und gespeicherte Nutzerdaten werden exfiltriert.
  • Phishing-Seiten: Gefälschte Login-Seiten werden auf Ihrer Domain gehostet, um Zugangsdaten von Besuchern zu stehlen.
  • Backdoor-Installation: Eine persistente Backdoor sorgt dafür, dass Angreifer auch nach Behebung der ursprünglichen Lücke Zugang behalten.

Ihre DSGVO-Haftung

Wer über Kontaktformulare, Newsletter-Anmeldungen oder Kundenkonten personenbezogene Daten erhebt und diese aufgrund einer bekannten, ungepatchten Schwachstelle offengelegt werden, hat ein DSGVO-Problem.

Artikel 32 DSGVO verpflichtet Organisationen, geeignete technische Maßnahmen zum Schutz personenbezogener Daten zu ergreifen. Software mit öffentlich dokumentierten kritischen Sicherheitslücken zu betreiben, ohne zu patchen, ist nur dann vertretbar, wenn nachweislich keine zumutbare Möglichkeit zur Aktualisierung bestand. Zurückhaltung beim Updaten wird von Datenschutzbehörden in der Regel nicht als Entschuldigung für datenschutzbezogene Verstöße akzeptiert.

DSGVO-Bußgelder können bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen, je nachdem, was höher ist. Selbst mittlere Durchsetzungsmaßnahmen sind für KMU spürbar.

Warum Patchen keine nachhaltige Strategie ist

2024 dokumentierten Sicherheitsforscher rund 8.000 neue WordPress-Plugin-Schwachstellen, mehr als 20 pro Tag. Diese Zahl steigt jedes Jahr weiter.

Schritt zu halten erfordert: Sicherheits-Advisories für jedes eingesetzte Plugin im Blick behalten, Updates in einer Staging-Umgebung testen, bevor sie auf Produktion eingespielt werden, kritische Patches schnell anwenden (innerhalb von 24 bis 72 Stunden), Seitenausfälle bei Update-Konflikten beheben und im Ernstfall Sofortmaßnahmen koordinieren.

Das ist ein dauerhafter Wartungsaufwand. Für ein Unternehmen, das schlicht eine funktionierende Website möchte, ist dieser Overhead ein erheblicher, versteckter Kostenfaktor des WordPress-Modells.

Die Alternative: Angriffsfläche eliminieren

Eine Next.js-Seite hat eine kleinere WordPress-spezifische Angriffsfläche, weil Plugin- und Theme-Schwachstellenklassen in dieser Form schlicht nicht existieren.

  • Keine dem Internet exponierte Datenbank: keine SQL-Injection-Angriffsfläche
  • Keine serverseitige PHP-Ausführung: keine PHP-Code-Execution-Schwachstellen
  • Kein Plugin-Ökosystem zum Patchen: Abhängigkeiten werden explizit verwaltet, nicht aus einem Marktplatz mit 60.000 Optionen bezogen
  • Keine wp-admin-Login-Seite: eine bekannte, universell angegriffene URL, die schlicht nicht existiert
  • Sicherheit auf Infrastrukturebene: DDoS-Schutz, SSL und Edge-Security werden durch Plattformen wie Vercel übernommen

Der Wechsel zu einer statischen oder server-gerenderten JavaScript-Seite bedeutet nicht null Sicherheitsüberlegungen. Aber das Wartungsteam hetzt nicht mehr täglich gegen neue Vulnerability-Disclosures in einem Plugin-Ökosystem an.

Aktuelle Gefährdung prüfen

Wer WordPress betreibt, sollte zunächst wissen, wo er tatsächlich steht. Das kostenlose Audit prüft sichtbare WordPress-Indikatoren, Server-Response-Header und Performance-Metriken in 60 Sekunden.

Das Audit läuft unter webvise.io/wp-health-report. Zeigen die Ergebnisse veraltete Software oder Sicherheitsprobleme, bespreche ich gerne realistische Optionen: ob das ein strukturierter Update- und Monitoring-Prozess ist oder eine Migration zu einer Architektur ohne das Update-Laufband.

Die Praktiken von webvise sind an den ISO 27001- und ISO 42001-Standards ausgerichtet.