wordpress-analyzer.de

Technik

wp-content und wp-includes: Die WordPress-Verzeichnisstruktur erklärt

Was steckt hinter den Ordnern wp-content, wp-includes und wp-admin? Ein Überblick über die Verzeichnisstruktur von WordPress und ihre Bedeutung für Analyse und Sicherheit.

Lesezeit 8 Min. Aktualisiert 28.05.2026 1 Quellen Mateusz Viola Mateusz Viola
Inhalt

WordPress hat eine klar definierte Verzeichnisstruktur, die sich bei allen Standard-Installationen gleicht. Wer eine WordPress-Website analysiert, begegnet immer wieder denselben Pfaden: /wp-content/, /wp-includes/ und /wp-admin/. Dieser Ratgeber erklärt, was hinter diesen Ordnern steckt, wie sie zusammenspielen und warum sie für die Analyse und Sicherheit von Bedeutung sind.

Die drei Hauptverzeichnisse von WordPress

Eine frische WordPress-Installation enthält im Stammverzeichnis drei übergeordnete Ordner:

  • wp-admin/ – das Backend-Interface
  • wp-content/ – nutzerspezifische Inhalte und Erweiterungen
  • wp-includes/ – der WordPress-Kern

Dazu kommen einige Dateien direkt im Stammverzeichnis, darunter wp-config.php (Datenbankkonfiguration), .htaccess (Serverregeln bei Apache) und index.php (Einstiegspunkt der Anwendung).

Das Verzeichnis wp-content

Dies ist der einzige Ordner, der bei einer normalen WordPress-Nutzung aktiv befüllt wird. Er enthält alle Inhalte und Anpassungen, die unabhängig vom WordPress-Kern sind:

wp-content/themes/

Hier liegen die installierten Themes. Jedes Theme hat einen eigenen Unterordner mit dem Theme-Slug als Namen, zum Beispiel /wp-content/themes/twentytwentyfour/. Bei einem Child-Theme existieren zwei Ordner: einer für das Parent-Theme und einer für das Child-Theme.

wp-content/plugins/

Dieser Ordner enthält alle installierten Plugins, aktive wie inaktive. Jedes Plugin liegt in einem eigenen Unterordner. Bei der Analyse einer fremden Website sind die Ordnernamen hier besonders aufschlussreich.

wp-content/uploads/

Alle über die Medienbibliothek hochgeladenen Dateien landen hier. WordPress gliedert sie automatisch nach Jahreszahl und Monat, also etwa /wp-content/uploads/2026/05/. Bilder, PDFs, Videos und andere Mediendateien sind über diese Pfade direkt zugänglich.

wp-content/languages/

Sprachdateien (.po und .mo) für die Übersetzung von WordPress, Themes und Plugins befinden sich in diesem Ordner. Das Vorhandensein von Sprachdateien gibt Hinweise auf die Zielsprache der Installation.

wp-content/mu-plugins/

Das mu-plugins-Verzeichnis (Must-Use-Plugins) enthält Plugins, die immer aktiv sind und im normalen Plugin-Manager nicht deaktiviert werden können. Hier werden oft sicherheitskritische oder infrastrukturelle Plugins abgelegt.

Das Verzeichnis wp-includes

Dieses Verzeichnis enthält den gesamten WordPress-Kern: Klassen, Funktionsbibliotheken, JavaScript-Dateien, CSS-Dateien und Lokalisierungsdateien. Beim Update von WordPress wird dieser Ordner vollständig ersetzt.

Typische Unterverzeichnisse:

  • wp-includes/css/ – Kernstilsheets
  • wp-includes/js/ – JavaScript-Bibliotheken des Kerns, darunter jQuery
  • wp-includes/rest-api/ – Klassen und Endpunkte der REST-API
  • wp-includes/blocks/ – Gutenberg-Block-Bibliotheken

Der Zugriff auf Dateien in wp-includes/ ist im normalen Betrieb nicht nötig. Ressourcen aus diesem Verzeichnis erscheinen jedoch im Quelltext einer Seite, etwa jQuery aus /wp-includes/js/jquery/jquery.min.js.

Das Verzeichnis wp-admin

Hier liegt die gesamte Administrationsoberfläche von WordPress. Auf diesen Ordner sollte von außen nur der Zugriff gewährt sein, der tatsächlich benötigt wird. Wichtige Dateien:

  • wp-admin/admin-ajax.php – der Endpunkt für asynchrone Ajax-Anfragen
  • wp-admin/admin.php – Einstiegspunkt für Plugin-Adminseiten
  • wp-login.php – die Anmeldeseite (liegt im Stammverzeichnis, nicht in wp-admin)

Sicherheitsrelevanz der Verzeichnisstruktur

Die Kenntnis der Verzeichnisstruktur ist für Angreifer und Sicherheitsteams gleichermaßen wertvoll.

Risiken durch offene Verzeichnisse:

Wenn auf dem Server kein Verzeichnis-Listing deaktiviert wurde, kann ein Besucher alle Dateien in einem Ordner einsehen, indem er die Ordner-URL direkt aufruft. Das verrät installierte Plugins und Themes, selbst wenn keine davon im Quelltext eingebunden sind.

Deaktiviere Verzeichnis-Listing in der .htaccess-Datei:

Options -Indexes

uploads/-Verzeichnis und PHP-Ausführung:

Das Upload-Verzeichnis ist ein häufiges Angriffsziel. Angreifer versuchen, PHP-Dateien in dieses Verzeichnis hochzuladen und auszuführen. Verhindere das mit einem .htaccess-Eintrag im Uploads-Ordner:

<Files "*.php">
deny from all
</Files>

Erkennung anhand der Verzeichnisstruktur

Für die Analyse einer fremden Website sind die Pfade /wp-content/ und /wp-includes/ die zuverlässigsten Erkennungsmerkmale. Beide erscheinen fast immer im HTML-Quelltext, weil WordPress Themes und Core-Ressourcen über diese Pfade einbindet.

Wer die vollständige Verzeichnisstruktur einer WordPress-Installation im Rahmen einer Sicherheitsanalyse oder Wettbewerbsbeobachtung auswerten möchte, findet im Analyzer auf wordpress-analyzer.de ein strukturiertes Werkzeug für genau diese Aufgabe.

Zusammenfassung

Die WordPress-Verzeichnisstruktur folgt einem klaren Schema: wp-content/ für nutzerspezifische Inhalte, wp-includes/ für den Kern und wp-admin/ für das Backend. Für die externe Analyse einer Website sind die Pfade in wp-content/ am aufschlussreichsten, weil Themes, Plugins und Uploads dort abgelegt und in der Regel im Quelltext referenziert werden. Für die Serversicherheit ist es wichtig, Verzeichnis-Listing zu deaktivieren und die PHP-Ausführung im Upload-Ordner zu verhindern.

Häufige Fragen

Welcher Ordner in WordPress enthält die Benutzerdaten und Uploads?

Uploads und Mediendateien befinden sich unter /wp-content/uploads/. Die Daten sind nach Jahr und Monat in Unterordnern gegliedert, zum Beispiel /wp-content/uploads/2026/05/.

Kann man wp-content umbenennen oder verschieben?

Ja, das ist technisch möglich und wird manchmal aus Sicherheitsgründen empfohlen. Der neue Pfad muss dann in der Datei wp-config.php über die Konstanten WP_CONTENT_DIR und WP_CONTENT_URL definiert werden.

Quellen

  • WordPress Codex – Changing The Site URL
Mateusz Viola

Über die Autorenschaft

Mateusz Viola

Betreiber und redaktionelle Verantwortung wordpress-analyzer.de

Themengebiet: Mathematik, Kalenderrechnung, Schaltjahre, Statistik und ISO 8601

Mehr über Mateusz Viola →

Verwandte Artikel

Anleitung

WordPress erkennen: Schritt für Schritt

Wie du in wenigen Minuten herausfindest, ob eine Website mit WordPress betrieben wird – manuelle Methoden und automatische Tools im Überblick.

Lesezeit 6 Min.

Technik

WordPress-Theme erkennen: Welches Design steckt dahinter?

So findest du heraus, welches WordPress-Theme eine Website verwendet – per Quelltext, Stilblatt-Analyse oder automatischem Theme-Detector.

Lesezeit 7 Min.

Sicherheit

WordPress-Version verstecken: Sicherheit durch Verschleierung

Warum du die WordPress-Version verbergen solltest und welche konkreten Maßnahmen deine Installation vor automatisierten Angriffen schützen.

Lesezeit 7 Min.

WordPress Analyzer nutzen

Sofort im Browser, ohne Anmeldung.

Zum Analyzer