WPScan ist eines der bekanntesten Werkzeuge rund um WordPress-Sicherheit. Es ist ein sogenannter Schwachstellen-Scanner: ein Programm, das eine WordPress-Seite gezielt untersucht und meldet, wo sie verwundbar sein könnte. Wie viele Sicherheitswerkzeuge ist es zweischneidig: Sicherheitsprofis nutzen es, um eigene Seiten abzusichern, Angreifer, um Ziele auszuspähen. Es zu kennen hilft zu verstehen, warum eine ungepflegte Seite so leicht zum Opfer wird.
Was WPScan über eine Seite herausfindet
- Die genaue WordPress-Version, oft ablesbar aus dem Quelltext der Seite
- Welche Plugins und Themes in welcher Version installiert sind
- Bekannte Schwachstellen zu genau diesen Versionen, aus einer ständig gepflegten Datenbank
- Vorhandene Benutzernamen, die für Brute-Force-Angriffe auf den Login nützlich sind
- Schwach geschützte Login-Bereiche und offen erreichbare Dateien
Das Beunruhigende daran: Viele dieser Informationen stehen quasi offen sichtbar zur Verfügung. WPScan liest nur systematisch aus, was eine Seite ohnehin über sich preisgibt, und gleicht es mit einer riesigen Schwachstellen-Datenbank ab. Genau diese Datenbank ist der Kern: Sie verzeichnet zu tausenden Plugins, welche Version welche bekannte Lücke hat.
Warum das für Ihre Seite wichtig ist
Angreifer setzen genau solche Scanner massenhaft und automatisiert ein. Sie suchen nicht gezielt Ihre Firma, sondern lassen Bots das ganze Netz nach Seiten mit bekannten Lücken absuchen. Läuft auf Ihrer Seite ein veraltetes Plugin mit einer eingetragenen Schwachstelle, landen Sie früher oder später auf der Liste. Mehr zum Ablauf solcher Angriffe steht im Beitrag Wie Hacker WordPress angreifen.
Was Sie daraus mitnehmen sollten
- Aktuelle Versionen sind der beste Schutz: Was kein bekanntes Loch hat, taucht in keiner Trefferliste auf
- Weniger Plugins bedeuten weniger Angriffsfläche und weniger potenzielle Einträge in der Schwachstellen-Datenbank
- Die Versionsnummer von WordPress und Plugins lässt sich verschleiern, das allein ersetzt aber keine Updates
- Ein professioneller Sicherheits-Check nutzt dieselben Werkzeuge wie Angreifer, um Lücken zu finden, bevor es jemand anderes tut
Im Rahmen eines WordPress-Wartungsvertrags prüfe ich Seiten regelmäßig mit genau solchen Werkzeugen, halte Plugins aktuell und schließe Lücken, bevor ein Bot sie findet. Ergänzend dazu lohnt sich ein Schutz-Plugin wie Wordfence, das Angriffsversuche aktiv abwehrt.