Website Schwachstellen prüfen — Kostenlos

Was sind CVEs?

CVE steht für Common Vulnerabilities and Exposures, ein System zur eindeutigen Identifizierung von Sicherheitslücken. Jede CVE hat eine Nummer (z. B. CVE-2024-12345) und einen Schweregrad nach dem CVSS-System (Common Vulnerability Scoring System) auf einer Skala von 0 bis 10.

Wenn die Software auf deiner Website eine bekannte CVE hat, bedeutet das: Die Schwachstelle ist öffentlich dokumentiert, Angreifer wissen davon, und es gibt in der Regel bereits einen Patch. Wer die betroffene Version noch einsetzt, ist ein leichtes Ziel für automatisierte Angriffe.

Wie prüft ThreatPulse auf Schwachstellen?

ThreatPulse erkennt zunächst, welche Software auf deiner Website eingesetzt wird: CMS, Plugins, JavaScript-Libraries und serverseitige Technologien. Anschließend werden die erkannten Versionen gegen mehrere Schwachstellen-Datenbanken abgeglichen.

WordPress Core

Die erkannte WordPress-Version wird über die WPVulnerability API auf bekannte Schwachstellen geprüft. Zusätzlich wird die installierte Version live mit der aktuellen Version von wordpress.org verglichen.

WordPress Plugins

Bis zu 10 erkannte Plugins werden über die Wordfence Intelligence API geprüft. Zwischen den API-Aufrufen hält ThreatPulse 200ms Delay ein, um die kostenlose API nicht zu überlasten.

JavaScript-Libraries

Verbreitete JS-Libraries werden gegen bekannte Mindestversionen geprüft:

jQuery: unter Version 3.5.0: bekannte XSS-Schwachstellen
jQuery UI: unter Version 1.13.0
Bootstrap: unter Version 3.4.0
Lodash: unter Version 4.17.21: Prototype Pollution

Andere CMS (Joomla, Drupal, TYPO3, Contao)

Für nicht-WordPress-Systeme prüft ThreatPulse gegen hinterlegte Mindestversionen. Wenn die erkannte Version als veraltet gilt, wird das gemeldet. ThreatPulse behauptet aber nie, dass eine Version "aktuell" sei, da die Live-Prüfung gegen eine API nur für WordPress implementiert ist.

PHP-Version

Falls erkennbar, wird die PHP-Version auf End-of-Life geprüft. PHP 5.x, 7.x und 8.0/8.1 erhalten keine Sicherheitsupdates mehr und werden als veraltet gemeldet.

warning

ThreatPulse kann nur Schwachstellen erkennen, die in den abgefragten Datenbanken dokumentiert sind und deren betroffene Software-Versionen von außen erkennbar sind. Die Analyse ersetzt keinen vollständigen Penetrationstest.

CVSS-Schweregrade und Score-Auswirkung

Gefundene CVEs werden nach ihrem CVSS-Score bewertet und beeinflussen den ThreatPulse-Sicherheits-Score:

Kritisch (CVSS 9.0–10.0): oft aus der Ferne ausnutzbar, sofortiges Update nötig → −8 Punkte
Hoch (CVSS 7.0–8.9): ernste Schwachstelle mit konkretem Risiko → −5 Punkte
Mittel (CVSS 4.0–6.9): moderates Risiko, Update empfohlen → −3 Punkte
Niedrig (CVSS 0.1–3.9): geringes Risiko, dennoch dokumentiert → −1 Punkt

Was tun bei gefundenen Schwachstellen?

Die wichtigste Maßnahme ist einfach: Updates einspielen. Die meisten CVEs werden geschlossen, indem du die betroffene Software auf die neueste Version aktualisierst. Bei WordPress geht das direkt über das Dashboard, bei anderen CMS über den jeweiligen Update-Mechanismus.

Wenn ein Plugin keine Updates mehr erhält, solltest du es durch eine aktiv gepflegte Alternative ersetzen. Verwaiste Plugins sind eines der größten Sicherheitsrisiken im WordPress-Ökosystem.

rocket_launch

Schwachstellen beheben lassen?

Wir aktualisieren veraltete Software, schließen bekannte Sicherheitslücken und bringen deine Website auf den neuesten Stand.

Kostenlos beraten lassen arrow_forward