22 neue WordPress-Schwachstellen pro Tag: Warum Plugins das grösste Risiko sind

WordPress selbst ist relativ sicher. Das Problem sind die über 60'000 verfügbaren Plugins — von denen viele gravierende Sicherheitslücken enthalten. Laut Patchstack wurden 2025 durchschnittlich 22 neue Schwachstellen pro Tag entdeckt.

Die Plugin-Falle

Jedes Plugin, das Sie installieren, erweitert nicht nur die Funktionalität Ihrer Webseite — es vergrössert auch die Angriffsfläche. Die typische Kanzlei-WordPress-Installation nutzt 15–25 Plugins. Viele davon werden vom Entwickler nicht mehr gepflegt.

Die gefährlichsten Plugin-Kategorien

• Formular-Plugins Kontaktformulare sind der häufigste Angriffsvektor. SQL-Injection und Cross-Site-Scripting (XSS) über ungesicherte Formulare ermöglichen Zugriff auf die gesamte Datenbank.
• Page Builder Komplexe Page Builder wie Elementor oder WPBakery haben eine grosse Codebasis und waren in der Vergangenheit wiederholt von kritischen Schwachstellen betroffen.
• SEO-Plugins Plugins wie Yoast oder All-in-One SEO haben direkte Schreibzugriffe auf Ihre Datenbank — und waren Ziel mehrerer Exploit-Kampagnen.
• Veraltete oder aufgegebene Plugins Plugins, die seit über 12 Monaten kein Update erhalten haben, sollten sofort deaktiviert und entfernt werden. 26% aller WordPress-Schwachstellen betreffen aufgegebene Plugins.

Die Zahlen (Patchstack 2025)

• 8'000+ neue WordPress-Schwachstellen im Jahr 2025
• 96% davon in Plugins und Themes (nicht im WordPress-Core)
• 26% in Plugins, die nicht mehr gepflegt werden
• 33% der Schwachstellen sind „kritisch" oder „hoch"

Was AidSec dagegen tut

Unsere Kanzlei-Härtung umfasst eine vollständige Plugin-Analyse:

• Identifikation aller installierten Plugins und deren Versionsstatus
• Abgleich mit bekannten Schwachstellen-Datenbanken (CVE, WPScan)
• Deaktivierung und Ersatz kritischer Plugins
• Web Application Firewall (WAF) als zusätzliche Schutzschicht
• Datei-Integritätsüberwachung für frühzeitige Erkennung von Manipulationen

5 Sofortmassnahmen für Kanzleien

1. Plugin-Inventar erstellen: Listen Sie alle installierten Plugins auf und prüfen Sie das Datum des letzten Updates.
2. Nicht genutzte Plugins löschen: Deaktivieren reicht nicht — erst Löschen entfernt den Code vollständig.
3. Auto-Updates aktivieren: Zumindest für Sicherheits-Patches sollten automatische Updates aktiviert sein.
4. Premium-Plugins bevorzugen: Kostenpflichtige Plugins haben in der Regel besseren Support und schnellere Sicherheits-Patches.
5. Professionelle Härtung: Lassen Sie Ihre Installation von einem Spezialisten prüfen und härten.