Computerbildschirm mit Sicherheitswarnungen und Symbolen für Datenschutz und Sicherheit im Internet.

WordPress Sicherheitslücke durch Plugins und Themes

Über 90% der gehackten WordPress-Websites nutzen veraltete Plugins oder Themes. Diese Zahl ist erschreckend – und sie zeigt, dass die meisten Website-Betreiber unterschätzen, wie gefährlich ungepflegte Erweiterungen wirklich sind. Wenn du zu viele Plugins installiert hast oder Themes nutzt, die seit Monaten keine Updates mehr bekommen haben, öffnest du Angreifern Tür und Tor. Als WordPress Freelancer und Wartungsprofi von WP Helping Hand sehe ich täglich, wie veraltete Plugins und Themes zu Sicherheitslücken werden. In diesem Artikel zeige ich dir, warum zu viele Plugins ein Sicherheitsrisiko sind, welche Gefahren ungepflegte Themes mit sich bringen, wie du problematische Erweiterungen erkennst und was du sofort tun kannst, um deine Website zu schützen.

Das Problem: Warum Plugins und Themes zu Sicherheitslücken werden

WordPress selbst ist grundsätzlich sicher – wenn es regelmäßig aktualisiert wird. Das Problem entsteht durch die Erweiterungen: Jedes Plugin und jedes Theme ist Code, der auf deinem Server läuft. Und dieser Code kann Sicherheitslücken enthalten. Wenn Entwickler ihre Plugins oder Themes nicht mehr pflegen, bleiben diese Lücken offen – und Angreifer nutzen sie aus.

Die Realität ist hart: Die meisten WordPress-Hacks entstehen nicht durch Schwachstellen im WordPress-Core, sondern durch veraltete oder schlecht programmierte Plugins und Themes. Ein einziges veraltetes Plugin kann deine gesamte Website kompromittieren – egal wie viele Sicherheitsmaßnahmen du sonst getroffen hast.

Warum zu viele Plugins gefährlich sind

Jedes Plugin, das du installierst, erweitert die Angriffsfläche deiner Website. Mehr Plugins bedeuten:

Mehr Code, der Sicherheitslücken enthalten kann:
Jedes Plugin ist potenziell fehleranfällig. Je mehr Plugins du hast, desto höher ist die Wahrscheinlichkeit, dass eines davon eine Schwachstelle hat.

Mehr Abhängigkeiten:
Plugins hängen oft voneinander ab oder nutzen gemeinsame WordPress-Funktionen. Wenn ein Plugin veraltet ist, kann es andere Plugins oder sogar WordPress selbst beeinträchtigen.

Schwierigere Wartung:
Je mehr Plugins du hast, desto schwieriger wird es, den Überblick zu behalten. Welche Plugins sind veraltet? Welche bekommen keine Updates mehr? Welche haben bekannte Sicherheitslücken? Ohne regelmäßige Überprüfung verlierst du schnell den Überblick.

Höhere Komplexität:
Viele Plugins erhöhen die Komplexität deiner Website. Das macht es schwieriger, Probleme zu identifizieren und zu beheben. Wenn etwas schiefgeht, ist es oft schwer herauszufinden, welches Plugin das Problem verursacht.

Ein praktisches Beispiel aus meiner Praxis:
Eine Kunden-Website hatte 45 installierte Plugins. Davon waren 12 seit über einem Jahr nicht mehr aktualisiert worden. Eines dieser veralteten Plugins hatte eine bekannte Sicherheitslücke, die es Angreifern ermöglichte, schädliche Dateien hochzuladen. Die Website wurde gehackt, der Kunde verlor Kundendaten und musste mehrere tausend Euro für die Bereinigung zahlen. Hätte er regelmäßig seine Plugins geprüft und veraltete Erweiterungen entfernt, wäre das nicht passiert.

Warum ungepflegte Themes gefährlich sind

Themes sind genauso gefährlich wie Plugins – oft sogar gefährlicher, weil sie tief in deine Website integriert sind. Ein Theme steuert nicht nur das Aussehen deiner Website, sondern auch wichtige Funktionen wie Navigation, Header, Footer und oft auch Custom Post Types oder spezielle Funktionen.

Themes werden seltener aktualisiert:
Viele Website-Betreiber installieren ein Theme, passen es an und vergessen es dann. Themes werden oft jahrelang nicht aktualisiert – und das ist ein massives Sicherheitsrisiko.

Themes haben oft mehr Zugriff:
Ein Theme kann auf fast alle WordPress-Funktionen zugreifen. Wenn ein Theme eine Sicherheitslücke hat, kann ein Angreifer oft deutlich mehr Schaden anrichten als bei einem Plugin.

Custom-Themes ohne Support:
Viele Unternehmen nutzen Custom-Themes, die von Freelancern entwickelt wurden. Wenn der Entwickler nicht mehr verfügbar ist oder das Theme nicht mehr wartet, bleibt jede Sicherheitslücke offen.

Premium-Themes mit veralteten Abhängigkeiten:
Auch Premium-Themes können gefährlich werden, wenn sie nicht mehr aktualisiert werden. Viele Themes nutzen externe Bibliotheken oder Frameworks, die selbst Sicherheitslücken haben können.

Wie du problematische Plugins und Themes erkennst

Nicht jedes veraltete Plugin ist automatisch gefährlich – aber es ist ein Risiko. Hier sind die Warnsignale, auf die du achten solltest:

Warnsignale bei Plugins

Kein Update seit über 6 Monaten:
Wenn ein Plugin seit mehr als einem halben Jahr nicht aktualisiert wurde, ist das ein Warnsignal. Besonders kritisch wird es, wenn WordPress selbst aktualisiert wurde, aber das Plugin nicht.

Niedrige Installationszahlen:
Plugins mit sehr wenigen Installationen werden oft nicht mehr gepflegt. Wenn ein Plugin nur von ein paar hundert Websites genutzt wird, ist die Wahrscheinlichkeit hoch, dass der Entwickler es irgendwann aufgibt.

Schlechte Bewertungen oder keine Reviews:
Wenn ein Plugin viele negative Bewertungen hat oder gar keine Reviews, ist das ein Zeichen dafür, dass es nicht mehr aktiv genutzt oder gepflegt wird.

Inkompatibilität mit aktueller WordPress-Version:
Wenn ein Plugin als "nicht getestet mit der neuesten WordPress-Version" markiert ist, ist das ein klares Warnsignal.

Bekannte Sicherheitslücken:
Wenn ein Plugin in Sicherheitsberichten oder auf Websites wie WPScan oder Patchstack als gefährlich eingestuft wird, solltest du es sofort deaktivieren und entfernen.

Themes werden seltener aktualisiert:
Viele Website-Betreiber installieren ein Theme, passen es an und vergessen es dann. Themes werden oft jahrelang nicht aktualisiert – und das ist ein massives Sicherheitsrisiko.

Themes haben oft mehr Zugriff:
Ein Theme kann auf fast alle WordPress-Funktionen zugreifen. Wenn ein Theme eine Sicherheitslücke hat, kann ein Angreifer oft deutlich mehr Schaden anrichten als bei einem Plugin.

Custom-Themes ohne Support:
Viele Unternehmen nutzen Custom-Themes, die von Freelancern entwickelt wurden. Wenn der Entwickler nicht mehr verfügbar ist oder das Theme nicht mehr wartet, bleibt jede Sicherheitslücke offen.

Premium-Themes mit veralteten Abhängigkeiten:
Auch Premium-Themes können gefährlich werden, wenn sie nicht mehr aktualisiert werden. Viele Themes nutzen externe Bibliotheken oder Frameworks, die selbst Sicherheitslücken haben können.

Warnsignale bei Themes

Kein Update seit über 12 Monaten:
Themes werden seltener aktualisiert als Plugins, aber wenn ein Theme seit über einem Jahr keine Updates mehr bekommen hat, ist das ein Problem.

Nicht kompatibel mit aktueller WordPress-Version:
Wenn ein Theme nicht mit der neuesten WordPress-Version getestet wurde, kann das zu Sicherheitsproblemen führen.

Veraltete PHP-Version:
Wenn ein Theme eine sehr alte PHP-Version benötigt oder nicht mit PHP 8.x kompatibel ist, ist das ein Zeichen dafür, dass es nicht mehr gepflegt wird.

Keine Support-Antworten:
Wenn der Theme-Entwickler auf Support-Anfragen nicht mehr antwortet, ist das ein klares Zeichen dafür, dass das Theme nicht mehr gewartet wird.

Die konkreten Gefahren: Was Angreifer mit Sicherheitslücken machen können

Wenn ein Plugin oder Theme eine Sicherheitslücke hat, können Angreifer verschiedene Dinge tun:

1. Schädliche Dateien hochladen

Viele Sicherheitslücken ermöglichen es Angreifern, beliebige Dateien auf deinen Server hochzuladen. Das können PHP-Dateien sein, die als Backdoor dienen, oder Malware, die deine Website für Spam oder Phishing nutzt.

2. Admin-Zugriff erlangen

Einige Sicherheitslücken ermöglichen es Angreifern, sich als Administrator einzuloggen, ohne das Passwort zu kennen. Sobald ein Angreifer Admin-Zugriff hat, kann er alles auf deiner Website ändern, löschen oder manipulieren.

3. Datenbank-Zugriff

Schwerwiegende Sicherheitslücken können es Angreifern ermöglichen, direkt auf deine Datenbank zuzugreifen. Sie können dann Kundendaten stehlen, Passwörter ändern oder die gesamte Datenbank löschen.

4. Website für Spam oder Phishing nutzen

Oft installieren Angreifer nicht sofort sichtbare Schäden, sondern nutzen deine Website für Spam-Versand oder Phishing-Angriffe. Das kann dazu führen, dass deine Website auf Blacklists landet und von Google oder E-Mail-Anbietern blockiert wird.

5. SEO-Schäden

Angreifer können versteckte Links auf deiner Website platzieren, die zu Spam-Websites führen. Das kann dazu führen, dass Google deine Website abstraft und deine Rankings verloren gehen.

Sofort-Maßnahmen: Was du jetzt tun kannst

Wenn du veraltete Plugins oder Themes auf deiner Website hast, solltest du sofort handeln:

Schritt 1: Plugin-Audit durchführen

  1. Gehe in dein WordPress-Dashboard zu "Plugins" → "Installierte Plugins"
  2. Prüfe jedes Plugin:
    • Wann war das letzte Update?
    • Ist es mit der aktuellen WordPress-Version kompatibel?
    • Gibt es bekannte Sicherheitslücken?
  3. Erstelle eine Liste:
    • Welche Plugins sind veraltet (kein Update seit >6 Monaten)?
    • Welche Plugins nutzt du nicht mehr?
    • Welche Plugins haben bekannte Probleme?

Schritt 2: Veraltete Plugins entfernen oder ersetzen

  1. Nicht genutzte Plugins sofort löschen:
    Wenn du ein Plugin nicht mehr brauchst, deaktiviere und lösche es. Jedes nicht genutzte Plugin ist ein unnötiges Sicherheitsrisiko.
  2. Veraltete Plugins ersetzen:
    Wenn ein Plugin wichtig ist, aber nicht mehr aktualisiert wird, suche nach einer Alternative. Es gibt fast immer moderne Alternativen, die aktiv gepflegt werden.
  3. Kritische Plugins aktualisieren:
    Wenn ein Plugin veraltet ist, aber keine Alternative existiert, prüfe, ob es Updates gibt. Falls nicht, kontaktiere den Entwickler oder suche nach einem Ersatz.

Schritt 3: Theme-Status prüfen

  1. Gehe zu "Design" → "Themes"
  2. Prüfe dein aktives Theme:
    • Wann war das letzte Update?
    • Ist es mit der aktuellen WordPress-Version kompatibel?
    • Gibt es Support vom Entwickler?
  3. Prüfe auch inaktive Themes:
    • Lösche Themes, die du nicht mehr nutzt
    • Alte Themes sind oft veraltet und können Sicherheitslücken haben

Schritt 4: Sicherheits-Scan durchführen

  1. Nutze ein Sicherheits-Plugin wie Wordfence oder Sucuri, um deine Website auf bekannte Sicherheitslücken zu scannen
  2. Prüfe, ob es bekannte CVEs (Common Vulnerabilities and Exposures) für deine Plugins oder Themes gibt
  3. Nutze Tools wie WPScan, um deine Website auf bekannte Schwachstellen zu prüfen

Schritt 5: Backup erstellen

Bevor du größere Änderungen vornimmst, erstelle ein vollständiges Backup deiner Website. Falls etwas schiefgeht, kannst du sofort wiederherstellen.

Präventive Maßnahmen: So hältst du deine Website langfristig sicher

Regelmäßige Plugin- und Theme-Audits

Führe mindestens vierteljährlich einen kompletten Audit durch:

  • Prüfe alle Plugins auf Updates
  • Entferne nicht genutzte Erweiterungen
  • Ersetze veraltete Plugins durch moderne Alternativen
  • Prüfe dein Theme auf Aktualität

Nur seriöse Plugins und Themes nutzen

Bevor du ein Plugin oder Theme installierst, prüfe:

  • Letztes Update: Wurde es in den letzten 6 Monaten aktualisiert?
  • Bewertungen: Hat es gute Bewertungen und aktive Nutzer?
  • Entwickler: Ist der Entwickler aktiv und antwortet auf Support-Anfragen?
  • Installationszahlen: Wird es von vielen Websites genutzt?
  • WordPress-Kompatibilität: Ist es mit der aktuellen WordPress-Version getestet?

Minimales Plugin-Setup

Installiere nur die Plugins, die du wirklich brauchst. Jedes zusätzliche Plugin erhöht das Sicherheitsrisiko. Frage dich vor jeder Installation:

  • Brauche ich dieses Plugin wirklich?
  • Gibt es eine Alternative, die mehrere Funktionen abdeckt?
  • Kann ich diese Funktion auch anders lösen?

Professionelle Wartung nutzen

Wenn du keine Zeit oder keine Erfahrung mit WordPress-Sicherheit hast, lass es professionell machen. Ein WordPress-Wartungsplan übernimmt:

  • Regelmäßige Plugin- und Theme-Updates
  • Sicherheits-Scans und Monitoring
  • Backup-Erstellung und -Verwaltung
  • Schnelle Reaktion bei Sicherheitsvorfällen

## Vergleichstabelle: Plugin- und Theme-Risiken

Situation Risiko-Level Sofort-Maßnahme
Plugin ohne Update seit 6 Monaten Mittel Prüfen, ob Alternative existiert
Plugin ohne Update seit 12 Monaten Hoch Sofort ersetzen oder entfernen
Plugin mit bekannter Sicherheitslücke Kritisch Sofort deaktivieren und entfernen
Theme ohne Update seit 12 Monaten Hoch Prüfen, ob neues Theme verfügbar
Theme ohne Update seit 24 Monaten Kritisch Theme wechseln oder professionell prüfen lassen
Nicht genutztes Plugin/Theme Mittel Sofort löschen

Fazit: Plugins und Themes sind deine größte Sicherheitsherausforderung

Die meisten WordPress-Sicherheitsprobleme entstehen nicht durch den WordPress-Core, sondern durch veraltete oder schlecht gepflegte Plugins und Themes. Wenn du zu viele Plugins installiert hast oder Themes nutzt, die nicht mehr aktualisiert werden, machst du deine Website zu einem leichten Ziel für Angreifer.

Die Lösung ist einfach, aber erfordert Disziplin: Regelmäßige Audits, nur seriöse Erweiterungen nutzen, veraltete Plugins und Themes sofort entfernen oder ersetzen. Und wenn du keine Zeit oder keine Erfahrung hast, lass es professionell machen – ein WordPress-Wartungsplan übernimmt diese Aufgaben für dich.

Wenn du dir unsicher bist, welche Plugins oder Themes auf deiner Website problematisch sind, helfe ich dir gerne. Ich prüfe deine WordPress-Installation, identifiziere veraltete oder gefährliche Erweiterungen und zeige dir, wie du deine Website sicher hältst. Schreib mir einfach über die Kontaktseite auf WP Helping Hand und wir schauen gemeinsam, welche Maßnahmen für deine Website am wichtigsten sind.

Das willst du wissen

FAQ zu WordPress Sicherheitslücke durch Plugins und Themes

Es gibt keine magische Zahl, aber als Faustregel: Wenn du mehr als 20-25 Plugins hast, solltest du prüfen, ob du wirklich alle brauchst. Wichtiger als die Anzahl ist die Qualität: Besser 10 gut gepflegte Plugins als 30 veraltete Erweiterungen.

Zuerst solltest du prüfen, ob es eine Alternative gibt. Wenn nicht, kontaktiere den Entwickler oder suche nach einem Freelancer, der das Plugin weiterentwickeln kann. Als letzte Option kannst du das Plugin selbst pflegen – aber das erfordert Programmierkenntnisse.

Nein, das ist keine gute Idee. Auch wenn ein Theme optisch noch gut aussieht, können veraltete Themes Sicherheitslücken haben. Suche nach einem modernen Theme, das ähnlich aussieht, oder lass ein neues Theme basierend auf dem alten Design erstellen.

Mindestens vierteljährlich solltest du einen kompletten Audit durchführen. Bei kritischen Websites oder Shops empfehle ich monatliche Checks. In einem professionellen Wartungsplan wird das automatisch für dich übernommen.

Die Kosten variieren stark, aber typischerweise kostet die Bereinigung einer gehackten Website zwischen 500€ und 2.000€ – plus mögliche Umsatzverluste durch Downtime, SEO-Schäden und Reputationsverlust. Präventive Wartung ist deutlich günstiger.

Jetzt Sicherheitscheck anfordern

[forminator_form id="2093"]

Wartungspakete für deine Website

Entdecke unsere maßgeschneiderten Wartungspakete, die perfekt auf die Bedürfnisse deiner WordPress-Website abgestimmt sind. Egal, ob du grundlegende Sicherheitsupdates oder umfassende Performance-Optimierungen benötigst, wir haben das passende Paket für dich. Wähle das Paket, das am besten zu deinem Unternehmen passt, und erfahre mehr auf den jeweiligen Unterseiten.
Blog
480
/ Jahr
BackUp und Update alle 14 Tage
Dreifache Backup-Speicherung
Firewall Schutz
Website Monitoring 24/7
PHP Update
E-Mail Support
Mehr erfahren
Business
760
/ Jahr
Wöchentliche BackUp und Update
Dreifache Backup-Speicherung
Firewall Schutz
Website Monitoring 24/7
PHP Update
Telefon und E-Mail Support
Mehr erfahren
E-Commerce
1260
/ Jahr
Tägliche Backup
Wöchentliche Updates
Dreifache Backup-Speicherung
Firewall Schutz
Website Monitoring 24/7
PHP Update
Telefon und E-Mail Support
Mehr erfahren
E-Commerce Light
630
/ Jahr
Tägliche DB Backup
BackUp und Update alle 14 Tage von Plugin und Wordpress
Dreifache Backup-Speicherung
Firewall Schutz
Website Monitoring 24/7
PHP Update
E-Mail Support
Mehr erfahren

Mehr vom Wordpress Blog