WordPress Sicherheit prüfen — Kostenlos

Warum solltest du deine WordPress-Sicherheit regelmäßig prüfen?

WordPress betreibt über 40 % aller Websites weltweit. Diese Verbreitung macht es zum beliebtesten Ziel für automatisierte Angriffe. Ein einzelner Exploit kann potenziell Millionen von Installationen treffen. Regelmäßige Sicherheitsprüfungen sind daher keine Option, sondern Pflicht.

Die häufigsten Einfallstore sind nicht WordPress selbst, sondern veraltete Plugins und Themes. Viele Website-Betreiber installieren Erweiterungen und vergessen anschließend, diese regelmäßig zu aktualisieren. Ein einzelnes veraltetes Plugin kann die gesamte Website kompromittieren.

Was prüft ThreatPulse bei WordPress?

ThreatPulse erkennt WordPress-Installationen automatisch und führt dann eine umfassende Sicherheitsprüfung durch:

WordPress-Core-Version

Die installierte WordPress-Version wird live gegen die aktuelle Version von wordpress.org abgeglichen. So erkennst du sofort, ob ein Update verfügbar ist und ob deine Version bekannte Sicherheitslücken enthält.

Plugin-Sicherheit

Bis zu 10 erkannte Plugins werden über die Wordfence Intelligence API und die WPVulnerability API auf bekannte CVEs (Common Vulnerabilities and Exposures) geprüft. Plugins sind für den Großteil aller WordPress-Kompromittierungen verantwortlich.

lightbulb

ThreatPulse erkennt Plugins passiv über öffentlich sichtbare HTML-Patterns und Dateipfade. Plugins ohne öffentliche Spuren können nicht erkannt werden.

PHP-Version

Falls die PHP-Version erkennbar ist (z. B. über den X-Powered-By-Header), prüft ThreatPulse, ob sie noch Sicherheitsupdates erhält. PHP-Versionen 5.x bis 8.1 gelten als End of Life. Sie erhalten keine Sicherheitspatches mehr.

JavaScript-Libraries

Viele WordPress-Themes und Plugins laden veraltete JavaScript-Bibliotheken. ThreatPulse erkennt jQuery (vulnerable unter 3.5.0), jQuery UI (unter 1.13.0), Bootstrap (unter 3.4.0) und Lodash (unter 4.17.21) und warnt bei bekannten Schwachstellen.

Security Headers

7 relevante HTTP Security Headers werden geprüft: Strict-Transport-Security, X-Frame-Options, Content-Security-Policy, X-Content-Type-Options, Referrer-Policy, Permissions-Policy und X-XSS-Protection. Fehlende Header werden je nach Kritikalität als kritisch oder als Warnung eingestuft.

SSL/TLS-Konfiguration

Das SSL-Zertifikat wird auf Gültigkeit, Ablaufdatum und korrekte Konfiguration geprüft. Zusätzlich testet ThreatPulse auf bekannte Schwachstellen wie Heartbleed, POODLE, BEAST, FREAK, DROWN und weitere.

Die häufigsten WordPress-Sicherheitsprobleme

Veraltete Plugins und Themes

Das häufigste Problem: Plugins werden installiert und nie wieder aktualisiert. Jedes Plugin ist ein potenzielles Einfallstor, besonders wenn der Entwickler keine Updates mehr bereitstellt. Deaktivierte Plugins, die noch auf dem Server liegen, sind ebenfalls ein Risiko.

WordPress-Core nicht aktuell

WordPress veröffentlicht regelmäßig Sicherheitsupdates. Besonders kritisch sind Major-Versionssprünge, die bekannte Sicherheitslücken schließen. Auto-Updates für Minor-Releases sind standardmäßig aktiv, aber Major-Updates müssen manuell angestoßen werden.

Fehlende Security Headers

Die meisten WordPress-Installationen senden keine HTTP Security Headers. Diese Header weisen den Browser an, Schutzmaßnahmen zu aktivieren. Ohne sie ist die Website anfälliger für Clickjacking, XSS und andere Angriffe.

Unsichere Zugangsdaten

Der Standard-Benutzername admin, schwache Passwörter und fehlende Zwei-Faktor-Authentifizierung machen Brute-Force-Angriffe einfach. ThreatPulse prüft das nicht direkt (passive Analyse), aber es ist einer der häufigsten Gründe für erfolgreiche Angriffe.

WordPress absichern: Schritt für Schritt

Die wichtigsten Maßnahmen, um deine WordPress-Installation abzusichern:

Updates konsequent einspielen: WordPress-Core, alle Plugins und das aktive Theme immer auf dem neuesten Stand halten
Unbenutzte Plugins löschen: nicht nur deaktivieren, sondern komplett entfernen
Starke Passwörter + 2FA: für alle Admin-Konten einzigartige Passwörter und Zwei-Faktor-Authentifizierung verwenden
Security Headers konfigurieren: mindestens HSTS und X-Frame-Options über die Server-Config oder ein Plugin setzen
SSL/TLS korrekt einrichten: TLS 1.0 und 1.1 deaktivieren, nur TLS 1.2+ erlauben
Login-Bereich schützen: Login-Versuche begrenzen, ggf. Login-URL ändern
Regelmäßige Backups: automatische tägliche Backups, getrennt vom Server gespeichert

rocket_launch

WordPress-Sicherheit verbessern?

Wir bringen deine WordPress-Installation auf den neuesten Stand. Core-Updates, Plugin-Updates, Security-Header und SSL-Konfiguration inklusive.

Kostenlos beraten lassen arrow_forward