◀ Zum Blog

WPScan: das Werkzeug, mit dem WordPress-Lücken gefunden werden

WPScan ist ein bekanntes Werkzeug, um Schwachstellen in WordPress-Seiten aufzuspüren. Sicherheitsprofis nutzen es zum Absichern, Angreifer zum Ausspähen. Was es kann und was das für Ihre Seite bedeutet.

Lupe mit Radar-Kreisen als Sinnbild für einen Schwachstellen-Scan einer WordPress-Seite

WPScan ist eines der bekanntesten Werkzeuge rund um WordPress-Sicherheit. Es ist ein sogenannter Schwachstellen-Scanner: ein Programm, das eine WordPress-Seite gezielt untersucht und meldet, wo sie verwundbar sein könnte. Wie viele Sicherheitswerkzeuge ist es zweischneidig: Sicherheitsprofis nutzen es, um eigene Seiten abzusichern, Angreifer, um Ziele auszuspähen. Es zu kennen hilft zu verstehen, warum eine ungepflegte Seite so leicht zum Opfer wird.

Was WPScan über eine Seite herausfindet

  • Die genaue WordPress-Version, oft ablesbar aus dem Quelltext der Seite
  • Welche Plugins und Themes in welcher Version installiert sind
  • Bekannte Schwachstellen zu genau diesen Versionen, aus einer ständig gepflegten Datenbank
  • Vorhandene Benutzernamen, die für Brute-Force-Angriffe auf den Login nützlich sind
  • Schwach geschützte Login-Bereiche und offen erreichbare Dateien

Das Beunruhigende daran: Viele dieser Informationen stehen quasi offen sichtbar zur Verfügung. WPScan liest nur systematisch aus, was eine Seite ohnehin über sich preisgibt, und gleicht es mit einer riesigen Schwachstellen-Datenbank ab. Genau diese Datenbank ist der Kern: Sie verzeichnet zu tausenden Plugins, welche Version welche bekannte Lücke hat.

Warum das für Ihre Seite wichtig ist

Angreifer setzen genau solche Scanner massenhaft und automatisiert ein. Sie suchen nicht gezielt Ihre Firma, sondern lassen Bots das ganze Netz nach Seiten mit bekannten Lücken absuchen. Läuft auf Ihrer Seite ein veraltetes Plugin mit einer eingetragenen Schwachstelle, landen Sie früher oder später auf der Liste. Mehr zum Ablauf solcher Angriffe steht im Beitrag Wie Hacker WordPress angreifen.

Was Sie daraus mitnehmen sollten

  • Aktuelle Versionen sind der beste Schutz: Was kein bekanntes Loch hat, taucht in keiner Trefferliste auf
  • Weniger Plugins bedeuten weniger Angriffsfläche und weniger potenzielle Einträge in der Schwachstellen-Datenbank
  • Die Versionsnummer von WordPress und Plugins lässt sich verschleiern, das allein ersetzt aber keine Updates
  • Ein professioneller Sicherheits-Check nutzt dieselben Werkzeuge wie Angreifer, um Lücken zu finden, bevor es jemand anderes tut

Im Rahmen eines WordPress-Wartungsvertrags prüfe ich Seiten regelmäßig mit genau solchen Werkzeugen, halte Plugins aktuell und schließe Lücken, bevor ein Bot sie findet. Ergänzend dazu lohnt sich ein Schutz-Plugin wie Wordfence, das Angriffsversuche aktiv abwehrt.

Das könnte Sie auch interessieren

SicherheitWie Hacker WordPress angreifen: Exploits, Injections und Bypass erklärtWeiterlesen →SicherheitSicherheits-Plugins wie Wordfence: Brauche ich das?Weiterlesen →SicherheitWordPress sicher machen: die wichtigsten GrundlagenWeiterlesen →
◀ Alle Beiträge ansehen
Ihre Website

Bereit für eine Website, die für Sie arbeitet?

Schreiben Sie mir kurz, was Sie vorhaben. Ich melde mich mit einer ehrlichen Einschätzung, unverbindlich.

Carlo Krämer · ausgebildeter Mediengestalter Digital und Print (IHK)