Über 40% aller Websites weltweit laufen auf WordPress. Das macht sie zum Ziel für automatisierte Angriffe, die tagtäglich neue Schwachstellen suchen. Für Kanzleien und Arztpraxen mit sensiblen Mandanten- oder Patientendaten ist das besonders problematisch.
1. Veraltete Plugins und Themes
Das Risiko: Veraltete Plugins sind für 97% der WordPress-Sicherheitslücken verantwortlich. Jedes Plugin, das nicht regelmäßig aktualisiert wird, ist eine potenzielle Einfallstür.
Der Angriff: Automatisierte Bots scannen kontinuierlich nach bekannten Plugin-Schwachstellen. Finden sie eine veraltete Version, ist der Angriff innerhalb von Minuten erfolgt.
Was Sie tun können:
- Automatische Plugin-Updates aktivieren
- Wöchentlich manuell prüfen
- Nur vertrauenswürdige Plugins verwenden
- Ungenutzte Plugins sofort löschen
2. Schwache Passwörter und fehlende Zwei-Faktor-Authentifizierung
Das Risiko: "admin" + "kanzlei2024" reicht nicht. Brute-Force-Angriffe probieren Millionen von Passwortkombinationen pro Sekunde.
Der Angriff: Angreifer nutzen Listen mit gestohlenen Passwörtern und probieren sie automatisiert gegen WordPress-Login-Seiten.
- Mindestens 16 Zeichen, gemischt (Groß-/Kleinbuchstaben, Zahlen, Sonderzeichen)
- Keine Wörter aus dem Wörterbuch
- Für jeden Account ein einzigartiges Passwort
- Zwei-Faktor-Authentifizierung (2FA) aktivieren
3. Fehlende Security Headers
Das Risiko: Ohne Security Headers kann Ihre Website für Clickjacking, Cross-Site Scripting (XSS) und andere Angriffe missbraucht werden — selbst wenn der Server selbst sicher ist.
Der Angriff: SecurityHeaders.com bewertet Ihre Website. Note F bedeutet: Kein einziger Schutz-Header ist aktiv. Das ist ein öffentlich sichtbares Signal für Angreifer.
Die Lösung: Die sechs wichtigsten Security Headers:
- Strict-Transport-Security (HSTS) — Erzwingt HTTPS
- Content-Security-Policy (CSP) — Blockiert eingeschleustes JavaScript
- X-Frame-Options — Verhindert Clickjacking
- X-Content-Type-Options — Verhindert MIME-Sniffing
- Referrer-Policy — Kontrolliert Referrer-Informationen
- Permissions-Policy — Blockiert unnötige Browser-Features
4. Unsichere WordPress-Konfiguration
Das Risiko: Standardeinstellungen sind bequem — aber auch gefährlich.
- XML-RPC aktiv — Eine oft übersehene Angriffsfläche
- wp-config.php lesbar — Enthält Database-Zugangsdaten
- Fehleranzeige aktiv — Zeigt Serverpfade und Konfiguration
- Admin-User namens "admin" — Erstes Ziel für Brute-Force
5. Fehlende oder unzureichende Backups
Das Risiko: Wenn es trotz allem zu einem Angriff kommt, ist ein gutes Backup Ihre letzte Verteidigungslinie.
Der worst Case: Ransomware-Verschlüsselung. Ohne funktionierendes Backup sind Ihre Daten verloren — oder Sie zahlen Lösegeld.
- Tägliche automatisierte Backups
- Backups an einem externen, sicheren Ort
- Regelmäßige Wiederherstellungstests
- Mindestens 30 Tage Aufbewahrung
Fazit: Schützen Sie Ihre Kanzlei jetzt
Diese fünf Schwachstellen sind die häufigsten Einfallstore für Angriffe auf WordPress-Websites. Für Kanzleien und Praxen mit sensiblen Daten ist das besonders problematisch — nicht nur wegen der technischen Risiken, sondern auch wegen der nDSG-Compliance.
Was Sie jetzt tun können:
- Prüfen Sie Ihre Website auf SecurityHeaders.com
- Aktivieren Sie 2FA für alle WordPress-Accounts
- Stellen Sie sicher, dass alle Plugins aktuell sind
- Lassen Sie Ihre WordPress-Konfiguration profesionell prüfen
AidSec bietet einen kostenlosen Security-Check für Schweizer Kanzleien und Praxen. Innerhalb von 24 Stunden wissen Sie, wo Ihre Website steht.
Kostenloser Security-Check für Ihre Website
Prüfen Sie jetzt, ob Ihre WordPress-Website sicher ist.
Security-Check starten