Sicherheit · WordPress · Website-Wartung

Veraltete Plugins:
Das offene Fenster in deiner Website.

Das starke Passwort schützt die Haustür. Aber was, wenn das Küchenfenster offen steht? Bei WordPress-Websites sind veraltete Plugins das Küchenfenster — und der häufigste Weg, auf dem Angreifer reinkommen.

WordPress-Plugins und Updates: Warum Sicherheitslücken gefährlich sind

Themen in diesem Artikel

WordPress-Sicherheit Plugin-Updates Sicherheitslücken Website-Wartung Hacking-Schutz DSGVO Backups

Im Januar 2024 wurde eine kritische Sicherheitslücke im WordPress-Plugin "Ultimate Member" bekannt — einem der meistgenutzten Mitglieder-Plugins weltweit, installiert auf über 200.000 Websites. Die Lücke ermöglichte es Angreifern, ohne Passwort vollständige Administrator-Rechte zu übernehmen. Das Plugin-Update, das die Lücke schließt, stand wenige Stunden nach Bekanntwerden zur Verfügung.

Wer das Update nicht eingespielt hat? Der war angreifbar — und wusste es in den meisten Fällen nicht einmal.

Das ist kein Einzelfall. Über 90 % aller gehackten WordPress-Websites werden nicht durch schwache Passwörter, sondern durch veraltete Plugins oder Themes kompromittiert. Das ist die Zahl, die die meisten Betreiber überrascht.

Warum veraltete Plugins so gefährlich sind

WordPress selbst ist sicher — wenn es aktuell gehalten wird. Das eigentliche Risiko liegt in den Erweiterungen. Die durchschnittliche WordPress-Website hat zwischen 15 und 25 installierte Plugins. Jedes davon ist eine eigene Software, die gewartet werden muss.

Wenn Entwickler eine Sicherheitslücke in ihrem Plugin entdecken, veröffentlichen sie ein Update. Gleichzeitig wird die Lücke — oft mit technischen Details — öffentlich dokumentiert, damit Sicherheitsforscher die Behebung verifizieren können. Das Problem: Diese öffentliche Dokumentation ist auch eine Anleitung für Angreifer. Wer sein Plugin nicht innerhalb weniger Stunden nach Veröffentlichung des Updates aktualisiert, gibt Angreifern ein präzises Werkzeug gegen seine Website.

Was konkret passiert, wenn du nicht updatest

Die Konsequenzen eines erfolgreichen Angriffs über eine Plugin-Lücke sind dieselben wie bei jedem anderen Angriff — nur dass sie ohne jede Warnung und oft schneller eintreten:

Vollständige Übernahme: Der Angreifer erhält Admin-Zugriff und kann alles sehen, ändern oder löschen.
Malware-Injektion: Schädlicher Code wird unbemerkt eingebaut — deine Website infiziert dann Besucher-Browser.
Datenbankzugriff: Alle Formulardaten, Kontakte, Bestellungen — in fremden Händen.
SEO-Spam: Angreifer platzieren versteckte Links zu fremden Seiten, zerstören dein Google-Ranking.
Komplette Löschung: Deine Website existiert von einem Moment auf den anderen nicht mehr.

Warum Updates angst machen — und was daran berechtigt ist

Viele Betreiber haben schon erlebt: Update eingespielt, Website kaputt. Das passiert, weil Plugins miteinander interagieren und eine neue Version manchmal mit anderen Komponenten kollidiert. Diese Angst ist nicht irrational — sie ist berechtigt.

Die Lösung ist nicht, Updates zu meiden. Die Lösung ist, Updates richtig durchzuführen:

Backup direkt vor jedem Update
Updates in einer Testumgebung testen, bevor sie live gehen
Updates nicht manuell und ad hoc, sondern systematisch nach einem festen Zeitplan

Das Risiko korrekt einschätzen: Kein Update einzuspielen, weil es die Website kaputt machen könnte, ist wie das Auto nicht zum TÜV zu bringen, weil es durchfallen könnte. Das eigentliche Risiko — ein Angriff — ist größer als das Risiko des Updates.

Die DSGVO-Dimension — die kaum jemand kennt

Veraltete Software ist nicht nur ein technisches Problem — es ist ein rechtliches. DSGVO Art. 32 verpflichtet Websitebetreiber explizit dazu, "ein dem Risiko angemessenes Schutzniveau" zu gewährleisten, "einschließlich der Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme dauerhaft sicherzustellen".

Im Klartext: Wenn du trotz bekannter Sicherheitslücke kein Update einspielst und es zu einem Datenleck kommt, hast du deine Schutzpflicht verletzt. Das ist meldepflichtig — und bußgeldbewehrt.

Was das bedeutet: Wer seine Plugins aktuell hält und Backups dokumentiert, kann im Ernstfall nachweisen, dass er seiner Sorgfaltspflicht nachgekommen ist. Wer das nicht tut, hat keine Verteidigung.

Veraltete Themes: Das vergessene Sicherheitsrisiko

Was für Plugins gilt, gilt gleichermaßen für Themes — und wird noch öfter vergessen. Das aktive Theme sowie alle installierten Themes (auch inaktive!) müssen regelmäßig aktualisiert werden. Inaktive Themes, die einfach auf der Installation liegen und nie genutzt werden, sind eine beliebte Angriffsfläche — weil niemand sie im Blick hat.

Sofortmaßnahme: Lösche alle Themes, die du nicht verwendest. Wenn du nur ein Theme nutzt, braucht trotzdem mindestens ein Standard-WordPress-Theme als Fallback installiert zu sein — aber lösche alles andere.

Dein Sicherheits-Check: Ist deine WordPress-Website aktuell?

Das prüfst du in 5 Minuten:

Logge dich im WordPress-Backend ein und gehe zu "Dashboard → Aktualisierungen"
Wie viele Updates stehen aus — für WordPress selbst, Plugins und Themes?
Wann wurde das letzte Backup deiner Website erstellt? Wo liegt es?
Gibt es inaktive Plugins oder Themes, die noch installiert sind?
Weißt du, wer neben dir Zugang zum Backend hat — und sind alle Passwörter stark?

Mehr als 5 ausstehende Updates und kein aktuelles Backup: Das ist eine offene Flanke.

Was das mit 2FA zu tun hat

Updates und 2FA schützen deine Website auf zwei verschiedenen Ebenen — und ergänzen sich. Updates schließen die technischen Einstiegspunkte. 2FA schützt den menschlichen Zugang. Eine Website, die beides konsequent umsetzt, ist kein attraktives Ziel mehr — weil der Aufwand für Angreifer zu groß ist.

Wenn du noch keinen Schutz hast, fang mit einem an. Dann kommt das zweite. Keines von beiden ist aufwendig — wenn man weiß, wie es geht.

Du willst, dass jemand das für dich übernimmt — Updates, Backups, Sicherheitschecks, monatlicher Report? Das ist genau das, wofür unser Wartungsvertrag da ist.

Mehr zur Website-Wartung →