Technologieführer

WordPress-Sicherheits-Scan: Leitfaden zum Finden und Beheben von Schwachstellen

7 min read Sicherheit Aktualisiert 28 Sep 2025
WordPress-Sicherheits-Scan: Leitfaden für Admins
WordPress-Sicherheits-Scan: Leitfaden für Admins

Symbolische Darstellung von Online-Sicherheit: Schloss und digitale Verbindungen

TL;DR

WordPress-Websites sind ein häufiges Ziel von Malware und Hacks. Regelmäßige Scans (kostenlos oder bezahlt) erkennen Schwachstellen, Malware und veraltete Komponenten. Folgen Sie diesem praktischen Playbook: prüfen, aktualisieren, härten, überwachen und einen Notfallplan bereithalten.

Kurzdefinitionen

  • Malware: Schadsoftware, die Systeme kompromittiert oder Daten stiehlt.
  • WAF: Web Application Firewall – filtert und blockiert schädlichen Webverkehr.
  • 2FA: Zwei-Faktor-Authentifizierung – erhöht die Login-Sicherheit.

Warum WordPress-Scans wichtig sind

Online-Sicherheit ist kein Luxus, sondern Pflicht. Laut Sucuri hatten WordPress-Websites in einer Untersuchung einen Anteil von 83 % an infizierten Websites. 2016 waren 61 % der gehackten WordPress-Seiten wegen veralteter Sicherheits-Patches anfällig; dieser Anteil sank laut derselben Quelle auf 39,3 %. Diese Zahlen zeigen: veraltete Plugins, Themes oder Kerninstallationen erhöhen das Risiko massiv.

Ein kompromittiertes WordPress kann persönliche Daten, Kundeninformationen oder Zugangsdaten für andere Dienste preisgeben. Auch wenn Ihre Seite nur scheinbar keine sensiblen Informationen enthält, kann sie als Spam-Relay, Mining-Host oder Redirect-Plattform missbraucht werden. Scans sind der erste, praktische Schritt, Risiken zu erkennen.

Anzeichen dafür, dass Ihre Seite verwundbar ist

  • Standard-Loginnamen wie „admin“ oder „administrator“ sind aktiv.
  • Einfache oder wiederverwendete Passwörter.
  • Viele veraltete oder schlecht gewartete Plugins/Themes.
  • Der Theme- und Plugin-Editor ist im Dashboard aktiviert.
  • Öffentliche, ungeschützte Dateien oder Verzeichnisse.
  • Unsichere lokale Maschinen oder Hosting-Server.

Wichtig: Wenn Sie auch nur eines dieser Symptome sehen, planen Sie sofort eine Prüfung und eine minimale Härtung.

Kostenfreie Scanner: Was sie leisten und ihre Grenzen

Kostenlose Scanner liefern schnelle Erstchecks. Sie sind nützlich für Basis-Checks, ersetzen aber kein umfassendes Sicherheitsteam.

  • Sucuri SiteCheck – prüft auf Malware, bekannte schwarze Listen, defekte Links und veraltete Software.
  • WPScan – spezialisiert auf WordPress-Schwachstellen (Nutzer müssen die Kommerz-Nutzung beachten).
  • Norton Safe Web – meldet Bedrohungen und Reputationsfragen.
  • WordPress Security Scan – erkennt einfache Sicherheitslücken; erweiterte Funktionen sind kostenpflichtig.

Einschränkungen der kostenlosen Tools: Scan-Abdeckung ist begrenzt, Echtzeit-Überwachung fehlt oft, und tiefgehende Dateianalysen oder Log-Analysen werden normalerweise nicht angeboten. Für kommerzielle Seiten sind kostenpflichtige Lösungen oder professionelle Audits ratsam.

Erweiterte und kostenpflichtige Scans: Wann sie nötig sind

Nutzen Sie Premium-Scans bei kommerziellen, datensensitiven oder stark frequentierten Seiten. Kostenpflichtige Tools bieten: regelmäßige Signatur-Updates, tiefere Dateianalysen, Datei-Integritätsprüfungen, Patching-Unterstützung, Benachrichtigungen und Integration mit Security-Operations.

Beispiele für leistungsfähige Ansätze:

  • Total Security: scannt Kern- und Plugin-Dateien auf Malware und benachrichtigt bei Fund.
  • Vulnerability Alerts: identifiziert verwundbare Plugins/Themes und lokalisiert problematische Funktionen.
  • Plugin Inspector: durchsucht Code nach gefährlichen Funktionen oder Patterns, die Exploits nutzen.

Schritt-für-Schritt Sicherheits-Playbook (SOP)

Dieses Playbook ist eine praktische Reihenfolge, die sich für die meisten WordPress-Websites eignet.

  1. Backup erstellen
    • Vollständig: Dateien + Datenbank.
    • Aufbewahrung an mindestens zwei separaten Orten (z. B. Cloud + lokales Backup).
  2. Offline-Scan und Erstprüfung
    • Führen Sie einen externen Site-Scan (z. B. Sucuri SiteCheck, WPScan) aus.
    • Notieren Sie Warnungen: Malware-Funde, veraltete Komponenten, offene Ports, SSL-Probleme.
  3. Updates durchführen
    • WordPress-Core, Themes, Plugins aktualisieren.
    • Kommandozeile: wp-cli nutzen: 
wp core update
wp plugin update --all
wp theme update --all
  1. Nicht benötigte Plugins/Themes löschen
    • Deaktivieren reicht nicht. Entfernen Sie ungenutzte Komponenten.
  2. Passwörter und Nutzerkonten härten
    • Einmalige, starke Passwörter für alle Admins. Keine Wiederverwendung.
    • 2FA für Administratoren erzwingen.
  3. Login-Schutz
    • Limit Login Attempts aktivieren oder WAF-Rate-Limiting.
    • IP-Blocklisten für wiederholte Angriffe verwenden.
  4. Datei- und Code-Härtung
    • Datei-Editing im Dashboard deaktivieren (define(‘DISALLOW_FILE_EDIT’, true); in wp-config.php).
    • Dateiberechtigungen prüfen (z. B. 644 für Dateien, 755 für Verzeichnisse).
  5. Web Application Firewall (WAF) und Sicherheits-Plugins
    • WAF verwenden (Cloudflare, Sucuri, oder hostbasierte WAF).
    • Security-Plugins für Malware-Scanning und Härtung: Wordfence, Sucuri, iThemes Security.
  6. SSL/TLS erzwingen
    • HTTPS für die gesamte Website, HSTS nach Möglichkeit konfigurieren.
  7. Monitoring und File Integrity
  • Tägliche Dateiintegritätsprüfungen (Hashes), Log-Monitoring, Benachrichtigungen einrichten.
  1. Wiederkehrende Prüfung
  • Automatisierte Scans täglich/wöchentlich, manuelle Pen-Tests vierteljährlich oder vor Releases.

Wichtig: Testen Sie alle Änderungen zuerst in einem Staging-System, bevor Sie sie produktiv schalten.

Praktische Konfigurationsbeispiele

  • wp-config.php: Dashboard-Editing deaktivieren 

    // In wp-config.php hinzufügen
define('DISALLOW_FILE_EDIT', true);

  • Empfohlene Dateiberechtigungen (vereinfacht):

    • Dateien: 644
    • Ordner: 755
    • wp-config.php: 440 oder 400 (wenn vom Hosting-Provider unterstützt)

Merkmale eines guten Scanners

  • Erkennung von Malware-Signaturen und Anomalien.
  • Überprüfung auf bekannte CVEs in Plugins/Themes.
  • Datei-Integritätsprüfung.
  • Echtzeit- oder regelmäßige Scan-Planung.
  • Integrationsmöglichkeiten (Slack, E-Mail, SIEM).

Entscheidungsbaum: Welchen Scan wählen?

flowchart TD
  A[Neue/kleine Blog-Seite] --> B{Sensible Daten?}
  B -- Nein --> C[Kostenlose Scanner + Basis-Härtung]
  B -- Ja --> D[Professioneller Scan + Managed WAF]
  A --> E{Regelmäßiger Traffic?}
  E -- Hoch --> D
  E -- Niedrig --> C
  C --> F[Backup + Updates]
  D --> G[Incident Response Plan]

Rollenspezifische Checklisten

  • Website-Administrator
    • Tägliche Scan-Überprüfung, Updates durchführen, Backups überprüfen.
    • 2FA und starke Passwörter durchsetzen.
  • Entwickler
    • Code-Reviews auf unsichere Funktionen (eval, base64_decode, file_get_contents mit Remote-URLs).
    • Security-Header (Content-Security-Policy, X-Frame-Options) setzen.
  • Hosting-Provider / Ops
    • Server-Patches, PHP-Updates, Firewall-Regeln, Log-Retention sicherstellen.

Incident-Runbook und Rollback-Plan

  1. Erstmaßnahme
    • Site in den Wartungsmodus setzen. Besucher umleiten, keine weiteren Änderungen.
  2. Forensik
    • Logs sichern (Webserver, PHP, FTP, WordPress-Logs). Hashes der Dateien erstellen.
  3. Isolieren und Säubern
    • Identifizierte Schaddateien löschen oder ersetzen.
    • Betroffene Plugins/Themes prüfen und ggf. durch saubere Version ersetzen.
  4. Wiederherstellung
    • Sauberes Backup (vor dem Vorfall) auf Test-Umgebung wiederherstellen und ausgiebig prüfen.
  5. Root-Cause-Analyse
    • Einfallstor identifizieren (z. B. kompromittiertes Plugin, schwaches Passwort).
  6. Kommunikation
    • Interne Stakeholder informieren; Kunden/Betroffene gemäß Datenschutz-Bestimmungen benachrichtigen.
  7. Lessons Learned
    • Maßnahmen ableiten: härtere Policies, Monitoring, zusätzliche Tests.

Rollback-Kriterien

  • Stabile, saubere Test-Instanz nach vollständiger Prüfung.
  • Keine aktiven Erkennungen durch Malware-Scanner.
  • Überprüfte Nutzerkonten und geänderte Zugangsdaten.

Testfälle und Akzeptanzkriterien

  • Nach Updates darf keine Funktionalität in der Produktivumgebung verloren gehen.
  • Login-Schutz akzeptiert nicht mehr als X fehlgeschlagene Versuche (konfigurierbar).
  • Dateiintegritäts-Scan meldet keine unbekannten Änderungen nach Bereinigung.
  • WAF blockiert mindestens die identifizierten Exploits in Testszenarien.

Risiko-Matrix und Maßnahmen (qualitativ)

  • Hohe Wahrscheinlichkeit / Hoher Impact: veraltetes Plugin mit vielen Installationen.
    • Maßnahme: sofortiges Update oder Deaktivierung; Monitoring aktivieren.
  • Mittlere Wahrscheinlichkeit / Hoher Impact: kompromittierte Admin-Zugangsdaten.
    • Maßnahme: Passwörter zurücksetzen, 2FA erzwingen, Sitzungen beenden.
  • Niedrige Wahrscheinlichkeit / Mittlerer Impact: unsichere Dateiberechtigungen.
    • Maßnahme: Berechtigungen anpassen; regelmäßige Prüfung.

Datenschutz und GDPR-Hinweise

  • Identifizieren Sie personenbezogene Daten (z. B. Kunden-Emails, Bestelldaten).
  • Bei einem Datenleck: Meldepflicht an Aufsichtsbehörde und Betroffene prüfen (innerhalb der gesetzten Frist).
  • Beschränken Sie Zugänge nach dem Need-to-Know-Prinzip.
  • Dokumentieren Sie Vorfälle und Schutzmaßnahmen für Audits.

Wichtig: Rechtsverpflichtungen können je nach Land und Branche variieren. Holen Sie bei Unsicherheit rechtlichen Rat.

Wann kostenlose Tools nicht ausreichen

  • Sie betreiben ein Online-Shop, Sammeln Zahlungsdaten oder haben hohe Nutzerzahlen.
  • Sie benötigen gesetzliche Nachweise über regelmäßige Sicherheitstests.
  • Sie wollen aktive Schutzmaßnahmen (WAF, patch management, 24/7-Monitoring).

In diesen Fällen sind SLA-gebundene, kostenpflichtige Services oder ein externer Security-Audit empfehlenswert.

Alternative Strategien

  • Managed WordPress-Hosting: Hosting-Provider übernehmen Patches, Backups und oft WAF. Gut für Teams ohne dedizierte Ops-Ressourcen.
  • Containerisierte Deployments und Immutable Releases: reduziert Drift zwischen Staging und Produktion.
  • Bug-Bounty oder externe Pen-Tests: finden komplexe Logikfehler, die Scanner übersehen.

Checkliste für eine 30-Minuten-Quick-Session

  • Backup erstellen.
  • Core + Plugins + Themes auf den neuesten Stand bringen.
  • Admin-Passwörter aller Admins zurücksetzen.
  • 2FA aktivieren.
  • Dashboard-Editor deaktivieren.

FAQ

Wie oft sollte ich meine WordPress-Seite scannen?

Regelmäßig: mindestens wöchentlich automatisiert und nach jedem Update manuell prüfen. Für kommerzielle Seiten: tägliche Checks und Echtzeit-Warnungen.

Reicht ein Security-Plugin aus?

Ein Security-Plugin ist hilfreich, deckt aber nicht alle Aspekte ab. Kombinieren Sie Plugins mit WAF, Backups, Host-Härtung und Prozessen.

Was tun, wenn ich Malware finde?

Sofort isolieren (Wartungsmodus), Backup sichern, infizierte Dateien reinigen oder aus sauberen Backups wiederherstellen, Passwörter ändern und Forensik betreiben.

Schlussfolgerung

Regelmäßige Sicherheits-Scans sind ein unverzichtbarer Bestandteil der WordPress-Wartung. Kostenlose Scanner helfen beim schnellen Check; für geschäftskritische Websites sind kostenpflichtige Services, WAFs und ein dokumentierter Incident-Response-Plan notwendig. Investieren Sie Zeit in Updates, Härtung und Monitoring. So reduzieren Sie Risiko, verbessern Leistung und schützen Nutzer.

Wichtig: Testen Sie Änderungen in einer Staging-Umgebung und dokumentieren Sie alle Maßnahmen.

Teilen: X/Twitter Facebook LinkedIn Telegram
Autor
Redaktion

Ähnliche Materialien

WhatsApp: Bild rückwärts suchen — Anleitung
Anleitung

WhatsApp: Bild rückwärts suchen — Anleitung

Android-Daten ohne Root wiederherstellen
Datenwiederherstellung

Android-Daten ohne Root wiederherstellen

Call of Duty Mobile auf Android installieren
Mobile Spiele

Call of Duty Mobile auf Android installieren

Microsoft Store: Automatische App‑Updates blockieren
Windows

Microsoft Store: Automatische App‑Updates blockieren

YouTube‑Wiedergabeverlauf ansehen & löschen
Datenschutz

YouTube‑Wiedergabeverlauf ansehen & löschen

Asterisk installieren: Erste PBX einrichten
Telekommunikation

Asterisk installieren: Erste PBX einrichten