WordPress-Plugin- und Theme-Schwachstellen: 3 Tests, die Ihre Angriffsfläche aufdecken

70 % der gehackten WordPress-Seiten werden über ein veraltetes Plugin kompromittiert. Orilyt scannt den HTML-Code, identifiziert jedes installierte Plugin und Theme und gleicht die Versionen mit der WPScan-Schwachstellendatenbank ab.

WordPress betreibt über 40 % des Webs. Diese Popularität macht es zum Ziel Nummer eins für Angreifer. Und die Schwachstelle ist fast nie der WordPress-Kern selbst — es sind die Plugins. Laut Daten von Patchstack und WPScan werden etwa 70 % der kompromittierten WordPress-Seiten über eine Schwachstelle in einem veralteten Plugin oder Theme gehackt.

Das Problem: Die meisten Seitenbetreiber wissen nicht einmal, welche Plugins von außen sichtbar sind. Jedes Plugin hinterlässt Spuren im HTML-Code: Pfade zu /wp-content/plugins/, CSS- und JavaScript-Dateien mit Versionsparametern. Für einen Angreifer ist das eine Landkarte.

Orilyt führt drei ergänzende Tests durch, um diese Angriffsfläche zu kartieren. Test #47 erkennt exponierte Plugins und ihre Versionen. Test #46 identifiziert das aktive Theme. Test #15 gleicht diese Informationen mit der WPScan-Schwachstellendatenbank ab, um bekannte CVEs aufzudecken. Zusammen verwandeln sie eine technische Prüfung in ein sofortiges Geschäftsargument.

Test #47: Welche Plugins sind von außen sichtbar?

Test #47 analysiert den HTML-Quellcode der Seite, um installierte WordPress-Plugins zu erkennen. Er verbindet sich nicht mit dem Back-Office — er schaut einfach, was öffentlich sichtbar ist. Die Methode:

1. Pfad-Scanning — jedes Vorkommen von /wp-content/plugins/{slug}/ im HTML wird extrahiert. Der Slug (eindeutiger Bezeichner des Plugins) wird gesammelt und dedupliziert. Beispiel: Wenn das HTML /wp-content/plugins/contact-form-7/css/styles.css enthält, wird das Plugin „contact-form-7" identifiziert
2. Versionsextraktion — WordPress-Asset-URLs enthalten oft einen ?ver=X.Y.Z-Parameter. Test #47 analysiert diese Parameter für jedes erkannte Plugin. Beispiel: /wp-content/plugins/elementor/assets/js/frontend.min.js?ver=3.18.2 verrät, dass Elementor Version 3.18.2 installiert ist
3. Zählung und Bewertung — die Anzahl erkannter Plugins und exponierter Versionen bestimmt die Bewertung. 8+ Plugins mit 3+ exponierten Versionen = Bewertung 40/100. 4+ Plugins oder 2+ Versionen = Bewertung 55. Wenige Plugins ohne Versionen = Bewertung 75

Der Test speichert bis zu 25 Plugins und ihre Versionen in den Rohdaten des Berichts. Für jedes Plugin werden bis zu 3 Belege (gefundene Pfade) aufgeführt. Es ist ein vollständiges Abbild der Angriffsfläche auf der Erweiterungsseite.

Test #46: Welches Theme ist exponiert?

Test #46 verwendet dieselbe HTML-Scan-Logik, zielt aber auf /wp-content/themes/-Pfade ab:

1. Erkennung des aktiven Themes — jedes Vorkommen von /wp-content/themes/{slug}/ im HTML wird extrahiert. Das häufigste Theme gilt als das aktive (ein Child-Theme kann neben dem Parent-Theme existieren)
2. Einfache Bewertung — wenn ein Theme erkennbar ist, beträgt die Bewertung 80/100. Wenn kein Theme sichtbar ist (selten), beträgt sie 100. Die Offenlegung des Theme-Namens ist keine Schwachstelle an sich, aber sie öffnet die Tür

Warum ist das Theme wichtig? WordPress-Themes führen serverseitigen PHP-Code aus. Ein „nulled" (raubkopiertes) Theme enthält fast immer Hintertüren. Ein von seinem Entwickler aufgegebenes Theme wird nie Sicherheitspatches erhalten. Und anders als Plugins wird das Theme auf jeder einzelnen Seite geladen — die Angriffsfläche ist maximal.

Test #46 liefert auch die Liste der Theme-Kandidaten und zugehörige Belege, sodass die Präsenz eines Parent-Themes (wie „flavor") und eines Child-Themes (wie „flavor-child") erkennbar ist.

Test #15: Bekannte Schwachstellen in Ihren Versionen?

Dies ist der Test, der eine einfache Erkennung in ein Alarmsignal verwandelt. Test #15 nutzt die WPScan-Datenbank — die weltweite Referenz für WordPress-Schwachstellen — um erkannte Versionen mit bekannten Sicherheitslücken abzugleichen:

1. WordPress-Kernversion — wenn die WordPress-Version erkennbar ist (über den Meta-Generator-Tag oder andere Hinweise), wird sie an die WPScan-API gesendet. Die Antwort enthält alle bekannten CVEs für diese Version, mit CVSS-Scores und der gepatchten Version
2. Schwachstellenbasierte Bewertung — keine bekannten CVEs = Bewertung 100. 1 bis 3 Schwachstellen = Bewertung 60 (verbesserungswürdig). Mehr als 3 Schwachstellen = Bewertung 30 (kritisch). Wenn die Version nicht erkennbar ist, steigt die Bewertung auf 90 (gute Verschleierungspraxis)
3. Schwachstellendetails — der Bericht zeigt bis zu 8 Schwachstellen mit Titel, CVE-Nummer, CVSS-Score und der Version, die das Problem behebt. Das ist konkret, überprüfbar und für einen Kunden unmöglich zu ignorieren

Die Stärke dieses Tests kommt aus der Kombination mit den Tests #47 und #46. Ein Kunde, der „Elementor 3.18.2 erkannt" sieht, macht sich vielleicht keine Sorgen. Aber wenn er zusätzlich „2 kritische CVEs für diese Version bekannt, behoben in 3.19.0" sieht, ist die Dringlichkeit sofort da.

Konkrete Risiken: Warum es dringend ist

Verwundbare Plugins und Themes sind kein theoretisches Risiko. Hier sind die häufigsten Szenarien:

1. Aufgegebene Plugins — ein Plugin, das seit über 2 Jahren nicht aktualisiert wurde, wird wahrscheinlich nie einen Patch erhalten. Wenn eine Lücke entdeckt wird, bleibt sie unbegrenzt offen. Die Seite ist ein permanentes Ziel
2. Veraltete Versionen mit CVEs — eine bestimmte Plugin-Version mit einer veröffentlichten CVE ist eine Einladung für automatisierte Skripte. Bots scannen das Web kontinuierlich nach genau diesen Version+Plugin-Signaturen
3. Raubkopierte Themes — Premium-Themes, die kostenlos von Drittanbieter-Seiten heruntergeladen werden, enthalten fast systematisch Hintertüren (Backdoors). Die Seite ist ab der Installation kompromittiert
4. Plugin-Anhäufung — jedes aktive Plugin vergrößert die Angriffsfläche. Eine Seite mit 30 Plugins hat 30 potenzielle Einstiegspunkte. Die Regel: Nur das unbedingt Notwendige installieren

Wie Sie sich schützen: Best Practices

Die gute Nachricht: Der Schutz vor Plugin-Schwachstellen ist weitgehend eine Frage der Disziplin, nicht des Budgets:

1. Regelmäßige Updates — automatische Updates für Plugins und Themes aktivieren (WordPress unterstützt dies nativ seit Version 5.5). Wöchentlich manuell auf größere Updates prüfen
2. Minimalismus — jedes ungenutzte Plugin deaktivieren und löschen. Ein deaktiviertes, aber vorhandenes Plugin kann weiterhin ausgenutzt werden. Ziel: weniger als 15 aktive Plugins
3. Nur offizielle Quellen — nie ein Theme oder Plugin von einer nicht verifizierten Drittanbieter-Seite installieren. WordPress.org und offizielle Marktplätze (ThemeForest, Elegant Themes) führen Sicherheitskontrollen durch
4. Kontinuierliches Monitoring — ein einmaliger Audit ist ein guter Anfang, aber kontinuierliche Wachsamkeit ist unerlässlich. Jede Woche werden neue CVEs veröffentlicht. Orilyt ermöglicht regelmäßige Audits, um Abweichungen zu erkennen

Für Freelancer und Agenturen, die Kundenseiten verwalten, sind diese Praktiken nicht nur Empfehlungen — sie sind eine berufliche Verpflichtung. Eine Kundenseite, die über ein veraltetes Plugin kompromittiert wird, das Sie hätten aktualisieren sollen, ist Ihre Verantwortung.

Geschäftswert: Der überzeugendste Befund

Von allen Orilyt-Tests ist die Erkennung verwundbarer Plugins wahrscheinlich der Befund, der die meisten Konversionen für Freelancer und Agenturen generiert. Der Grund ist einfach: Es ist konkret, es ist beängstigend, und es ist überprüfbar.

Im Orilyt-Bericht generieren die drei Tests sofortige FIA-Empfehlungen (Fakt-Impact-Aktion):

1. Fakt: „12 Plugins erkannt, 4 mit exponierten Versionen. 2 kritische CVEs über WPScan für Elementor 3.18.2 identifiziert"
2. Auswirkung: „Ein Angreifer kann diese exakten Versionen mit öffentlichen Exploits angreifen. Das Kompromittierungsrisiko ist hoch und unmittelbar"
3. Aktion: „Elementor auf 3.19.0+ aktualisieren, ungenutzte Plugins deaktivieren, Versionsnummern im Quellcode verbergen"

Wenn ein Kunde die Liste seiner verwundbaren Plugins mit den zugehörigen CVEs sieht, wechselt das Gespräch sofort von „brauche ich einen Audit?" zu „wann können Sie mit den Korrekturen beginnen?". Es ist das stärkste Verkaufsargument eines WordPress-Sicherheitsaudits.

Ihre WordPress-Angriffsfläche, kartiert in 2 Minuten

Plugins sind die größte Stärke von WordPress — und seine größte Schwäche. Sie erweitern die Funktionalität, aber jedes fügt Drittanbieter-Code hinzu, der gewartet und überwacht werden muss. Die Tests #47, #46 und #15 von Orilyt automatisieren diese Überwachungsarbeit.

Test #47 zeigt, welche Plugins sichtbar sind und welche Versionen exponiert werden. Test #46 identifiziert das aktive Theme. Test #15 gleicht alles mit der WPScan-Datenbank ab, um bekannte Schwachstellen zu identifizieren. Zusammen liefern sie eine vollständige Karte der Angriffsfläche.

Für Freelancer oder Agenturen ist dieses Triptychon das effektivste Werkzeug, um den Wert eines Sicherheitsaudits zu demonstrieren. Die Ergebnisse sind konkret, überprüfbar und erzeugen die Dringlichkeit, die nötig ist, um einen Korrekturauftrag auszulösen.