Was deine WordPress-Website alles verrät – und wie Hacker das ausnutzen

WordPress-Websites geben standardmäßig mehr Informationen preis als den meisten Betreibern bewusst ist: Benutzernamen, Plugin-Versionen, Dateistrukturen und Login-Hinweise sind oft ohne jedes Fachwissen abrufbar. Dieser Artikel zeigt, welche Daten eine WordPress-Installation ungefragt veröffentlicht, wie Angreifer – zunehmend automatisiert und KI-gestützt – diese Informationen ausnutzen, und warum veraltete oder aufgegebene Plugins ein unterschätztes Sicherheitsrisiko darstellen.

WordPress betreibt 43 % aller Websites weltweit – das macht es zum meistgenutzten und damit zum meistangegriffenen System. Die Zahlen klingen groß, weil das Problem groß und gut dokumentiert ist. Wer WordPress so wie ich kennt, weiß aber auch: Die meisten dieser Lücken lassen sich schließen – wenn man weiß, wo man schauen muss.

Deine WordPress-Website macht tagtäglich Dinge, von denen du nichts weißt. Sie verrät deinen Login-Namen. Sie zeigt, welche Plugins du installiert hast – und in welcher Version. Sie listet auf, welche Dateien du hochgeladen hast. Und sie tut das alles vollkommen automatisch, ganz ohne Hacker-Tricks – einfach weil WordPress so gebaut ist.

Während du das hier liest, werden irgendwo gerade automatisierte Tools genau das abfragen. Auf tausenden Websites gleichzeitig. Vielleicht auch auf deiner.

Das ist kein Weltuntergang. Aber es ist ein guter Grund, genauer hinzuschauen.

Jedes Mal, wenn du einen Blogpost veröffentlichst, erscheint darunter dein Name. Was harmlos aussieht, ist in Wirklichkeit ein Geschenk an jeden, der sich Zugang zu deiner Website verschaffen will – denn bei WordPress ist der angezeigte Autorenname in den meisten Fällen identisch mit dem Login-Namen.

Wer deinen Login-Namen kennt, muss nur noch dein Passwort raten. Stell dir vor, du schließt dein Fahrrad mit einem Zahlenschloss ab, aber jemand sieht dabei zu – und kennt schon die ersten drei von fünf Ziffern.

Das lässt sich sogar automatisieren. Tools wie WPScan sind frei verfügbar, einfach bedienbar und liefern in Minuten eine Liste aller Autorennamen einer WordPress-Website – inklusive Benutzer-IDs. Früher brauchte man dafür technisches Know-how. Heute nicht mehr.

WordPress, dein Theme und alle Plugins haben Versionsnummern – und die sind erstaunlich oft öffentlich sichtbar. Im Quellcode der Startseite, in Dateipfaden, manchmal sogar in einer Datei namens readme.html, die WordPress nach der Installation einfach stehen lässt.

Warum ist das gefährlich? Weil es öffentliche Datenbanken gibt, die genau auflisten, welche Sicherheitslücken in welcher Version stecken. Die bekanntesten sind CVE (cve.mitre.org) und die WPScan Vulnerability Database. Jeder kann dort nachschlagen – kein Fachwissen, kein Abonnement nötig.

Wenn dein Plugin in Version 3.2.1 ist und die Datenbank sagt: „Version 3.2.1 hat eine kritische Lücke" – dann ist das für einen Angreifer wie ein Hinweisschild mit der Aufschrift: Hier entlang.

Wer seine Plugins und WordPress-Version regelmäßig aktualisiert, nimmt Angreifern die einfachste Grundlage weg. Was das konkret bedeutet – und warum es mehr ist als einmal im Monat auf „Update" klicken – erkläre ich auf meiner Seite zur WordPress-Wartung.

Laut dem Patchstack State of WordPress Security Report 2026 wurden allein 2025 mehr als 11.000 neue Schwachstellen im WordPress-Ökosystem gefunden – 42 % mehr als im Vorjahr.

Hier ist etwas, das ich bei Kunden-Websites immer wieder sehe: Plugins, die seit zwei, drei oder sogar fünf Jahren kein Update mehr bekommen haben. Manchmal sind es offizielle Plugins aus dem WordPress-Verzeichnis, deren Entwickler das Projekt irgendwann still und leise aufgegeben haben. Manchmal sind es inoffizielle Plugins, die eine Agentur irgendwann mal eingebaut hat und die seitdem einfach laufen.

Das Problem: Sicherheitslücken in diesen Plugins werden gefunden – und nie gestopft. Die Plugin-Seite im WordPress-Verzeichnis existiert noch, die Bewertungen auch. Nur der Entwickler antwortet nicht mehr. Und die Lücke bleibt offen.

Laut Wordfence Annual Report 2024 sind rund 35 % aller im Jahr 2024 gemeldeten Sicherheitslücken bis heute ohne Patch.

Deaktiviert hilft übrigens nicht. Solange ein Plugin auf dem Server liegt, ist es sichtbar – und angreifbar.

Das ist der Teil, der die Lage wirklich verändert hat.

Früher war ein Angriff auf eine WordPress-Website etwas, das Zeit, Geduld und technisches Know-how erforderte. Ein Mensch, der sich durch Fehlermeldungen klickt, Versionsnummern nachschlägt, Passwörter ausprobiert. Das war mühsam – und damit ein natürlicher Schutz für die meisten kleinen Websites.

Diese Zeit ist vorbei.

Heute scannen KI-gestützte Bots tausende Websites gleichzeitig, in Sekunden – sie lesen Versionsnummern, gleichen sie mit Schwachstellendatenbanken ab und starten automatisch den passenden Angriff. Laut einer aktuellen Analyse von WP Umbrella können KI-Modelle mehr als die Hälfte aller gängigen Passwörter nahezu sofort knacken – selbst siebenstellige Passwörter mit Zahlen und Sonderzeichen in unter sechs Minuten.

Brute-Force-Angriffe auf WordPress stiegen 2024 um 130 % – direkt befeuert durch KI-Tools.

Das bedeutet nicht, dass du persönlich im Visier bist. Es bedeutet, dass automatisierte Systeme das gesamte Internet systematisch abklappern – und keine Website zu klein ist, um übersehen zu werden.

WordPress speichert alle hochgeladenen Dateien in einem Ordner namens wp-content/uploads. Auf vielen Servern ist dieser Ordner frei einsehbar – wie ein Aktenschrank ohne Schloss. Wer die Adresse kennt (und sie ist immer dieselbe), kann sich durchblättern: Fotos, PDFs, manchmal sogar Backups.

Ähnliches gilt für den Plugin-Ordner. Er verrät nicht nur, welche Plugins installiert sind – sondern auch welche deaktiviert, aber noch vorhanden sind. Deaktiviert schützt nicht.

Jede WordPress-Website hat die Login-Seite an exakt derselben Adresse: /wp-login.php oder /wp-admin. Das ist praktisch für dich – und praktisch für jeden, der massenhaft Passwörter ausprobieren will.

Dazu kommt: Wenn du einen falschen Nutzernamen eingibst, sagt WordPress „Dieser Nutzername existiert nicht". Wenn der Name stimmt, aber das Passwort falsch ist, lautet die Meldung anders. Das klingt nach einem kleinen Detail – ist aber ein direkter Hinweis für Angreifer, ob sie auf der richtigen Spur sind.

Wordfence blockierte 2024 allein 55 Milliarden Passwortangriffe auf WordPress-Websites.

Das Tückische an den meisten WordPress-Hacks ist nicht die Zerstörung, sondern die Stille. Wer sich Zugang verschafft, hat selten Interesse daran, die Website zu verunstalten. Viel wertvoller ist eine Website, die still im Hintergrund arbeitet – für Spam, Phishing, oder das Angreifen anderer Server. Alles läuft normal. Du merkst nichts. Deine Besucher auch nicht. Bis Google es merkt.

Dann wird deine Website als unsicher markiert. E-Mails landen im Spam. Der Hoster sperrt den Account. Und die Frage ist nicht mehr „Wie schütze ich mich?" – sondern „Wie viel Schaden ist entstanden?"

WordPress-Sicherheit in Zahlen – Quellen: Patchstack 2026, Wordfence 2024

Zahl	Was sie bedeutet
11.334	neue Sicherheitslücken in WordPress-Plugins – allein 2025
5 Stunden	so lange dauert es, bis Angreifer eine neue Lücke ausnutzen
35 %	aller bekannten Lücken sind bis heute nicht gepatcht
55 Milliarden	Passwortangriffe blockierte Wordfence 2024 – auf WordPress allein

Die gute Nachricht: Die meisten dieser Schwachstellen lassen sich schließen. Nicht mit Hexerei, sondern mit den richtigen Einstellungen, einem kritischen Blick auf installierte Plugins – und jemandem, der weiß, wo er schauen muss.

Oliver Meyer, WordPress-Experte Bremen

Wenn du wissen willst, was deine Website gerade alles verrät, schreib mir. Ein kurzer Check zeigt oft mehr, als man erwartet.

---

Quellen: Patchstack State of WordPress Security 2026 · Wordfence Annual Report 2024 · Security Boulevard, Dez. 2025 · WP Umbrella AI Security Report