◀ Zum Blog

Wie Hacker WordPress angreifen: Exploits, Injections und Bypass erklärt

Die meisten Angriffe auf WordPress laufen vollautomatisch und treffen nicht nur die Großen. Was Exploits, Injections und Authentication-Bypass bedeuten, wie ein Angriff abläuft und warum laufende Wartung der beste Schutz ist.

Stilisierte Grafik eines Schädlings im Fadenkreuz als Sinnbild für automatisierte Angriffe auf WordPress

Viele Unternehmer denken, ihre kleine Website sei für Hacker uninteressant. Das ist ein gefährlicher Irrtum. Die allermeisten Angriffe auf WordPress laufen nicht von Hand, sondern vollautomatisch: Bots durchsuchen das halbe Internet rund um die Uhr nach Seiten mit bekannten Schwachstellen, völlig egal, ob dahinter ein Konzern oder ein Malerbetrieb steht. Verwundbar ist verwundbar. Dieser Beitrag erklärt verständlich, mit welchen Methoden angegriffen wird, ohne Anleitung zum Nachmachen, damit Sie verstehen, warum Schutz kein Luxus ist.

Was ist überhaupt ein Exploit?

Ein Exploit ist nichts anderes als das gezielte Ausnutzen einer Schwachstelle. Stellen Sie sich ein Schloss mit einem Konstruktionsfehler vor: Sobald jemand den Fehler kennt, lässt sich die Tür ohne Schlüssel öffnen. In Software sind solche Fehler Programmierlücken. Wird eine Lücke öffentlich bekannt (etwa in einem Plugin), schreiben Angreifer kurz darauf ein kleines Programm, den Exploit, das genau diese Lücke automatisch ausnutzt. Deshalb ist das Zeitfenster zwischen Bekanntwerden einer Lücke und dem Einspielen des Updates so kritisch.

Die häufigsten Angriffsarten, einfach erklärt

  • Injection: Dem System wird über ein Eingabefeld heimlich ein Befehl untergeschoben, den es ausführt, statt ihn nur als Text zu behandeln. Die bekannteste Form ist die SQL-Injection, bei der die Datenbank angegriffen wird (dazu gibt es einen eigenen Beitrag).
  • Cross-Site-Scripting (XSS): Angreifer schmuggeln Schadcode in eine Seite, der dann im Browser ahnungsloser Besucher ausgeführt wird, etwa um Logins oder Daten abzugreifen.
  • Authentication-Bypass: Eine Lücke erlaubt es, die Anmeldung komplett zu umgehen und ohne gültiges Passwort an Administratorrechte zu kommen.
  • Privilege-Escalation: Ein Angreifer mit harmlosen Rechten (etwa als Kommentar-Nutzer) verschafft sich über eine Lücke plötzlich volle Kontrolle.
  • Brute-Force: Stumpfes Durchprobieren tausender Passwörter pro Minute am Login, bis eines passt. Schwache Passwörter fallen in Sekunden.
  • File-Upload-Lücken: Über ein unsicheres Upload-Feld wird statt eines Bildes eine Schaddatei hochgeladen, die dem Angreifer eine Hintertür öffnet.

So läuft ein typischer automatisierter Angriff ab

Zuerst scannen Bots Ihre Seite und lesen aus, welche WordPress-Version und welche Plugins in welcher Version laufen. Tools wie WPScan machen das in Sekunden. Dann gleichen sie die gefundenen Versionen mit einer Datenbank bekannter Schwachstellen ab. Findet sich eine Übereinstimmung, wird der passende Exploit automatisch abgefeuert. Klappt es, wird oft eine Hintertür hinterlegt, über die die Seite später für Spam, Phishing, das Verteilen von Schadsoftware oder zum Schürfen von Kryptowährung missbraucht wird. Das Tückische: Häufig merken Sie davon zunächst gar nichts.

Woran Sie einen gehackten Auftritt erkennen

  • Google zeigt eine Warnung „Diese Website könnte Ihren Computer schädigen“ oder Ihr Hoster sperrt die Seite
  • Unbekannte Weiterleitungen auf dubiose Seiten, oft nur auf dem Handy oder nur für Google-Besucher
  • Plötzlich fremde Benutzerkonten im Adminbereich oder unbekannte Dateien auf dem Server
  • Die Seite wird ohne Grund langsam, weil im Hintergrund fremde Prozesse laufen
  • Werbe-Mails von Ihrer Domain, die Sie nie verschickt haben (Ihr Server wurde zum Spam-Schleuder)

Warum gerade WordPress so oft betroffen ist

WordPress betreibt einen riesigen Teil des Webs, das macht es zum lohnendsten Ziel: Eine einzige Plugin-Lücke kann hunderttausende Seiten auf einen Schlag verwundbar machen. Das Problem ist dabei selten WordPress selbst, sondern veraltete Plugins und Themes. Genau hier setzt der Schutz an. Mehr Grundlagen dazu im Beitrag WordPress-Sicherheit und zu Schutz-Plugins unter Wordfence und Co.

Der wirksamste Schutz: kein Geheimnis, aber konsequent

  • Updates zeitnah einspielen: schließt bekannte Lücken, bevor die Bots sie ausnutzen
  • Wenige, geprüfte Plugins: weniger Code bedeutet weniger Angriffsfläche
  • Starke Passwörter und Zwei-Faktor-Anmeldung am Login gegen Brute-Force
  • Eine Web-Application-Firewall und regelmäßige Sicherheits-Scans
  • Regelmäßige Backups, damit im Ernstfall ein sauberer Stand zurückkommt

Das Entscheidende ist nicht die einzelne Maßnahme, sondern die Kontinuität. Eine Lücke, die heute geschlossen ist, sagt nichts über die Plugin-Lücke aus, die nächste Woche bekannt wird. Genau dafür gibt es den laufenden WordPress-Wartungsvertrag: Updates, Härtung, Monitoring und Backups laufen dauerhaft, statt einmalig. Tiefer ins Detail gehen die Sicherheitsempfehlungen des BSI und das OWASP-Projekt zu Web-Schwachstellen.

Das könnte Sie auch interessieren

SicherheitSQL-Injection einfach erklärt: wenn die Datenbank zur Schwachstelle wirdWeiterlesen →SicherheitWPScan: das Werkzeug, mit dem WordPress-Lücken gefunden werdenWeiterlesen →SicherheitWordPress sicher machen: die wichtigsten GrundlagenWeiterlesen →
◀ Alle Beiträge ansehen
Ihre Website

Bereit für eine Website, die für Sie arbeitet?

Schreiben Sie mir kurz, was Sie vorhaben. Ich melde mich mit einer ehrlichen Einschätzung, unverbindlich.

Carlo Krämer · ausgebildeter Mediengestalter Digital und Print (IHK)