WordPress erkennen: Schritt für Schritt

Wer im Wettbewerb oder bei der Marktforschung eine fremde Website analysiert, möchte häufig wissen, welches Content-Management-System dahintersteckt. WordPress ist das meistgenutzte CMS weltweit, und es hinterlässt in der Regel deutliche Spuren. Dieser Ratgeber zeigt dir alle gängigen Methoden – vom schnellen Quelltext-Blick bis zum automatischen Scan.

Warum ist es wichtig, WordPress zu erkennen?

Die Frage klingt zunächst simpel, hat aber ernsthafte Hintergründe. Sicherheitsteams prüfen, ob bekannte WordPress-Schwachstellen auf einer Domain vorhanden sind. Agenturen kalkulieren Redesign-Projekte und müssen den Technologie-Stack kennen. SEO-Experten beurteilen, ob bestimmte Plugin-Abhängigkeiten oder Performance-Probleme auf WordPress zurückzuführen sind. Und nicht zuletzt hilft das Wissen dabei, den eigenen Marktbegleitern besser zu verstehen.

Methode 1: Quelltext im Browser prüfen

Der schnellste Weg führt über den Quelltext der Seite. Öffne eine beliebige Unterseite der Website und drücke im Browser die Tastenkombination für “Seite anzeigen” (in den meisten Browsern: Strg+U auf Windows oder Cmd+U auf macOS).

Suche dann nach folgenden Zeichenketten:

• /wp-content/ – dieses Verzeichnis enthält Themes, Plugins und Medien
• /wp-includes/ – hier liegen Kernbibliotheken von WordPress
• wp-json – der REST-API-Endpunkt von WordPress
• generator im Meta-Bereich, der häufig die WordPress-Version nennt

Findest du einen oder mehrere dieser Hinweise, ist WordPress mit sehr hoher Wahrscheinlichkeit im Einsatz.

Methode 2: Direkte URL-Prüfung

Einige WordPress-Pfade sind von außen erreichbar, sofern der Serverbetreiber sie nicht explizit gesperrt hat. Gib folgende Adressen direkt in die Browserzeile ein:

• https://beispieldomain.de/wp-login.php – die Standard-Anmeldeseite
• https://beispieldomain.de/wp-admin/ – das Admin-Dashboard, das bei WordPress-Installationen immer existiert
• https://beispieldomain.de/wp-json/ – die REST-API gibt bei WordPress eine JSON-Antwort zurück

Eine funktionierende Anmeldeseite unter /wp-login.php ist ein klares Signal. Erscheint ein 404-Fehler, könnte die URL umgeschrieben worden sein, was aber kein abschließender Beweis gegen WordPress ist.

Methode 3: HTTP-Header auslesen

WordPress hinterlässt manchmal Spuren in den HTTP-Antwortheadern. Öffne die Entwicklertools deines Browsers (F12), wechsle auf den Reiter “Netzwerk” und lade die Seite neu. Klicke auf die erste Anfrage und prüfe die Antwortheader.

Typische WordPress-Signale in den Headern:

• X-Powered-By: PHP in Kombination mit anderen Hinweisen
• Link: <https://beispieldomain.de/wp-json/>; rel="https://api.w.org/" – dieser Header erscheint bei WordPress-Seiten automatisch
• Set-Cookie-Einträge mit dem Präfix wordpress_

Der Link-Header mit dem api.w.org-Verweis ist besonders aussagekräftig, weil er von WordPress core automatisch gesetzt wird und sich ohne Code-Eingriff kaum unterdrücken lässt.

Methode 4: Robots.txt und Sitemap prüfen

Öffne die Datei unter https://beispieldomain.de/robots.txt. Viele WordPress-Installationen enthalten dort Einträge wie:

Disallow: /wp-admin/
Allow: /wp-admin/admin-ajax.php

Dieser Eintrag stammt aus dem WordPress-Standard und ist ein verlässlicher Hinweis.

Ähnliches gilt für die Sitemap: Nutzt die Seite das Plugin Yoast SEO oder Rank Math, erscheint die Sitemap typischerweise unter /sitemap_index.xml oder /sitemap.xml. Im Inhalt finden sich dann häufig WordPress-spezifische URL-Muster.

Methode 5: Automatischer Scan mit dem Analyzer

Wer alle Methoden auf einmal anwenden möchte, ohne manuell in Quelltexten zu suchen, nutzt am besten den Analyzer auf wordpress-analyzer.de. Das Tool prüft Quelltext, HTTP-Header, API-Endpunkte und weitere Signale automatisch und gibt ein übersichtliches Ergebnis zurück.

Der Vorteil gegenüber der manuellen Methode: Der Analyzer erkennt auch dann noch WordPress, wenn der Betreiber einige der offensichtlichsten Spuren verwischt hat, etwa durch das Umbenennen des Login-Pfades oder das Entfernen des Generator-Meta-Tags.

Was tun, wenn keine eindeutigen Signale vorhanden sind?

Einige WordPress-Betreiber setzen Sicherheits-Plugins ein, die viele der beschriebenen Merkmale verbergen. In diesem Fall hilft oft ein Blick auf eingebundene JavaScript-Dateien oder CSS-Dateien, deren Pfade sich ebenfalls in /wp-content/themes/ oder /wp-content/plugins/ befinden. Auch bei stark verschleielerten Installationen findet sich fast immer ein Hinweis, wenn man genau sucht.

Alternativ kann ein DNS-Lookup oder ein Blick auf den Hosting-Anbieter Hinweise geben. Einige Managed-WordPress-Hoster wie WP Engine oder Kinsta setzen spezifische Serverheader, die ihre WordPress-Infrastruktur verraten.

Zusammenfassung

WordPress erkennen ist in den meisten Fällen unkompliziert. Der Pfad /wp-content/ im Quelltext, eine erreichbare /wp-login.php oder der Link-Header mit dem API-Verweis reichen meist aus. Für eine umfassende und schnelle Analyse empfiehlt sich ein automatisches Tool, das alle Methoden kombiniert und das Ergebnis aufbereitet darstellt.