Warum WordPress-Updates unverzichtbar sind: Kern, Themes und Plugins

Das Kernproblem: Bekannte Schwachstellen werden aktiv ausgenutzt

Die meisten erfolgreichen Angriffe auf WordPress-Installationen nutzen keine unbekannten Zero-Day-Lücken. Sie setzen auf öffentlich bekannte Schwachstellen, für die seit Wochen oder Monaten Patches verfügbar sind. Systeme, die diese Updates nicht eingespielt haben, sind leichte Beute.

Sicherheitsforscher veröffentlichen Schwachstellen üblicherweise erst nach einer Sperrfrist, in der der Entwickler eine Korrektur herausbringen kann. Nach Ablauf dieser Frist werden Details öffentlich. Angreifer beobachten diese Veröffentlichungen und starten unmittelbar Massenangriffe auf noch ungepatchte Installationen.

Das Zeitfenster zwischen öffentlicher Schwachstellenmeldung und erstem automatisierten Angriff beträgt oft weniger als 24 Stunden.

WordPress Core aktuell halten

Der WordPress-Kern wird vom WordPress-Entwicklungsteam gepflegt. Sicherheits-Patches für aktuelle Versionen erscheinen regelmäßig und lassen sich direkt im Dashboard unter “Updates” einspielen.

Für Minor-Updates und Security-Releases empfiehlt sich die automatische Update-Funktion. Sie lässt sich in der wp-config.php aktivieren:

define('WP_AUTO_UPDATE_CORE', true);

Für Major-Versionssprünge (etwa von 6.4 auf 6.5) ist Vorsicht geboten. Solche Updates können Plugin-Kompatibilitätsprobleme verursachen. Hier sollte erst auf einer Staging-Umgebung getestet werden, bevor das Update auf der Live-Site eingespielt wird.

Plugin-Updates: Das größte Sicherheitsrisiko

Plugins sind der häufigste Ursprung von Sicherheitslücken in WordPress-Installationen. Das liegt nicht an schlechter Qualität der Entwickler, sondern schlicht an der Menge: Zehntausende Plugins, entwickelt von Einzelpersonen bis hin zu großen Teams, werden von Sicherheitsforschern weltweit auf Schwachstellen untersucht.

Laut dem jährlichen Sicherheitsbericht von Patchstack stammt der überwiegende Anteil aller gemeldeten WordPress-Schwachstellen aus Plugins und nicht aus dem Kern. Veraltete Plugins sind entsprechend das größte Risiko für jede WordPress-Installation.

Grundregeln für Plugin-Management:

Nur aktiv genutzte Plugins behalten. Jedes deaktivierte Plugin, das noch auf dem Server liegt, kann trotzdem Schwachstellen enthalten. Nicht benötigte Plugins vollständig löschen, nicht nur deaktivieren.

Updates zeitnah einspielen, spätestens innerhalb weniger Tage nach Erscheinen. Für kritische Sicherheitsupdates gilt: sofort.

Plugins, die seit über einem Jahr keine Updates erhalten haben und von weniger als einigen tausend aktiven Installationen genutzt werden, kritisch bewerten. Viele verlassene Plugins enthalten ungepatchte Schwachstellen.

Theme-Updates nicht vergessen

Themes werden bei Updates häufig übersehen, weil sie augenscheinlich nur das Aussehen der Website bestimmen. Tatsächlich enthalten Themes PHP-Code, der Schwachstellen enthalten kann, insbesondere in Themes mit umfangreichen Shortcodes, Page-Builder-Integrationen oder eigenen Widgets.

Das gilt auch für inaktive Themes. Das Standardthema, das nach der WordPress-Installation vorhanden ist und nie genutzt wird, sollte entweder aktuell gehalten oder gelöscht werden.

Backup als Voraussetzung für Updates

Kein Update sollte ohne aktuelles Backup eingespielt werden. Das gilt für den Kern, Plugins und Themes gleichermäßen. Ein Backup besteht aus zwei Teilen: der Datenbank und den Dateien.

Viele Hoster bieten automatische tägliche Backups an. Zusätzlich empfiehlt sich ein Plugin wie UpdraftPlus oder BackWPup, das Backups in eine externe Ablage wie Google Drive, S3 oder Dropbox überträgt. Backups, die nur auf dem gleichen Server liegen, schützen nicht bei einem vollständigen Serverausfall oder einer Datenlöschung durch Angreifer.

Staging-Umgebung für risikoarme Updates

Professionelle WordPress-Betreiber nutzen eine Staging-Umgebung. Das ist eine Kopie der Live-Website auf einem separaten Server oder Subdomain. Updates werden dort zuerst eingespielt und getestet, bevor sie auf der Produktivseite erscheinen.

Viele Hoster und Managed-WordPress-Anbieter bieten Staging mit einem Klick an. Alternativ lässt sich ein lokales Entwicklungssystem mit WP-CLI oder LocalWP aufsetzen.

Was der Analyzer zeigt

Der Analyzer prüft unter anderem, ob eine WordPress-Installation auf einer veralteten Kernversion läuft, und weist auf erkannte Versionsstände hin. Das gibt einen schnellen Überblick, ob dringender Handlungsbedarf besteht.

Fazit

WordPress-Updates sind keine optionale Wartungsaufgabe. Veraltete Installationen werden aktiv und automatisiert angegriffen. Ein strukturierter Update-Prozess mit regelmäßigen Backups, einem Staging-System für große Updates und zeitnahem Einspielen von Sicherheits-Patches ist die wirksamste Maßnahme gegen die häufigsten Angriffswege.