WordPress Security 2024 in Zahlen – Wie sicher ist WordPress?
Die Ergebnisse des Security Reports 2024 von Wordfence sind durchwachsen und zeigen, wie wichtig das Thema Security für jeden Betreiber einer WordPress Website ist. Wir haben ein paar der wichtigsten Erkenntnisse herausgepickt und leiten daraus praktische Empfehlungen ab, wie die Sicherheit von Websites und WooCommerce Shops deutlich verbessert werden kann.
Der WordPress Security Report wird seit einigen Jahren jährlich vom Wordfence veröffentlicht, einem der führenden Sicherheits-Plug-ins für WordPress. Dabei werden nur Zugriffe und Angriffe auf WordPress Installationen analysiert, bei denen das Plug-in Wordfence in der kostenlosen Free- oder der kostenpflichtigen Premium-Version im Einsatz ist. Die Free-Version ist bei über 5 Mio. WordPress Websites aktiv, zur Premium-Version gibt es keine offiziellen Zahlen. Zusammen bieten die vielen Installationen auf jeden Fall eine solide Datenbasis, um ein differenziertes Bild der aktuellen WordPress-Sicherheit zu zeichnen und eine fundierte Einschätzung abzugeben.
Sicherheitslücken in WordPress 2024
Das vergangene Jahr wurde geprägt von einer Zunahme der gemeldeten Sicherheitslücken und anhaltenden Herausforderungen durch nicht behobene Schwachstellen. Aber es sind deutliche Fortschritte bei der Bekämpfung von Malware und der Passwort-Sicherheit zu erkennen.
Zahl der gemeldeten Sicherheitslücken in WordPress nimmt zu
Im Jahr 2024 wurden 68 % mehr Sicherheitslücken gemeldet als im Vorjahr. Das klingt zunächst alarmierend, aber das ist auch auf den großen Erfolg der Bug Bounty Programme zurückzuführen, die unter anderem von WordPress betrieben werden. Entwickler suchen also mehr als früher aktiv nach Sicherheitslücken und die WordPress Security nimmt allgemein einen höheren Stellenwert bei der Entwicklung von Plug-ins ein. Da ist sehr gut, denn nur wenn man von Sicherheitslücken weiß, kann man sie auch beheben.
Außerdem handelt es sich bei den meisten dieser Lücken um Sicherheitslücken von mittlerer Schwere und sie erforderten häufig zusätzliche Benutzerrechte (min. Contributor), um ausgenutzt zu werden. Das bedeutet, dass sie für die meisten WordPress-Nutzer ein geringes Risiko darstellen, insbesondere wenn grundlegende Sicherheitsmaßnahmen getroffen werden oder eine Web Application Firewall eingesetzt wird, was grundsätzlich sehr zu empfehlen ist.
Sorgenkind: Nicht behobene Sicherheitslücken
Bedenklich ist allerdings, dass rund 35 % der in 2024 gemeldeten Sicherheitslücken im Jahr 2025 immer noch nicht gepatcht sind. Fast immer handelt es sich um Lücken in Plug-ins. Davon entfallen rund 37 % auf Plug-ins mit 1.000 oder weniger Installationen und 58 % auf Plug-ins mit weniger als 10.000 aktiven Installationen.
Das zeigt, wie wichtig es ist, bei der Auswahl von Plug-ins darauf zu achten, dass diese regelmäßig Updates erhalten. Auch ein Blick auf die Anzahl der bekannten Installationen des Plug-ins kann ein wichtiger Hinweis auf den Reifegrad und die Zuverlässigkeit eines Plug-ins sein. Das soll nicht heißen, dass Du nur Plug-ins mit tausenden von aktiven Installationen nutzen solltest. Aber wenn ein Plug-in weniger als 100 aktive Installs hat und seit mehr als einem Jahr keine Updates mehr bekommen hat, dann solltest Du sehr sorgfältig abwägen, ob Du dieses Plug-in wirklich benutzen möchtest.
Zudem solltest Du mindestens einmal im Jahr alle in Deinem WordPress installierten Plug-ins überprüfen und verwaiste und schlecht gewartete Plug-ins identifizieren und, wenn möglich, austauschen.
Die Top 10 der Schwachstellen-Typen
Die meisten Sicherheitslücken ermöglichen Angriffe mittels Cross-Site-Scripting. Mit einigem Abstand folgen fehlende Authentifizierungen, Cross-Site Request Forgery und SQL-Injection. Aber auch Information Exposure, Arbitrary File Upload, Local File Inclusion, PHP Object Injection, Insecure Direct Object Reference und Path Traversal treten häufig auf.
Sicherheits-Plug-ins wie Wordfence können viele dieser Schwachstellen überwachen und Angriffe abwehren. Darüber hinaus sind Server-Security-Header ein besonders wirksamer Schutz gegen Angriffe mithilfe von Cross-Site-Scripting.
Hochrisiko-Sicherheitslücken
Rund 7,4 % der gemeldeten Sicherheitslücken wurden als hochriskant eingestuft, was einem Anstieg von 149 % im Vergleich zum Vorjahr entspricht. Die häufigsten hochriskanten Sicherheitslücken waren Arbitrary File Uploads und Privilege Escalation. Diese Arten von Sicherheitslücken können zu schwerwiegenden Kompromittierungen führen und sollten daher besonders ernst genommen werden.
Am Beispiel der Schwachstellenkategorie Arbitrary File Upload (Angreifer können über eine Sicherheitslücke beliebige Dateien hochladen) kann man sehen, wie wichtig ein regelmäßiger Scan des WordPress-Verzeichnisses ist. Der Scan findet verdächtige Dateien, die nicht zum WordPress Core und den installieren Plug-ins und Themes gehören und durchsucht zusätzlich alle Dateien nach Schadcode.
Angriffe auf WordPress Installationen 2024
Das Jahr 2024 war geprägt von anhaltend hohen Bedrohungen durch Malware und Passwort-Attacken. Dabei sollte man immer im Hinterkopf behalten, dass sich die im Security Report von Wordfence genannten Zahlen nur auf WordPress Installationen beziehen, bei denen Wordfence in der Free- oder Premium-Variante im Einsatz ist. Die Dunkelziffer dürfte um ein Vielfaches darüber liegen.
Malware-Anfragen weiter auf hohem Niveau
Die Zahl der geloggten und blockierten Angriffe im Jahr 2024 sind wie immer jenseits aller Vorstellungskraft, aber dennoch interessant: 54 Mrd. Anfragen von 209 Mio. verschiedenen IP-Adressen wurden erkannt, davon konnten 48 Mrd. von 142 Mio. IP-Adressen direkt geblockt und damit abgewehrt werden, weil die Sicherheitslücken und/oder die IPs schon Wordfence bekannt waren. Die Anzahl der Attacken bleibt über das Jahr gesehen recht konstant, zum Jahres-Ende gab es aber einen deutliche Peak.
Begleitend dazu zeigt die Statistik der in der Wordfence Database eingetragenen Sicherheitslücken, wie zügig Gegenmaßnahmen gegen die neuen Angriffe für Wordfence Nutzer verfügbar waren. Das verdeutlicht aber, dass das kostenpflichtige Wordfence Premium einen entscheidenden Vorteil bei der Abwehr bietet, denn für Premium-Nutzer sind Abwehrmaßnahmen gegen neue Sicherheitslücken schneller verfügbar, während Free-Nutzer bis zu 30 Tage auf Updates für Firewall-Regeln warten müssen
Passwort-Attacken nehmen langsam ab
Gleichauf mit den böswilligen Anfragen sind die Versuche, über Passwort-Attacken Zugriff zu WordPress Websites zu erlangen. Über 55 Mrd. Versuche, das Passwort zu hacken, hat Wordfence 2024 entdeckt. Dazu gehören Brute-Force-Angriffe, Credential Stuffing (Nutzung von Daten aus Datenpannen und anderweitig ergaunerten Passwörtern) und sonstige Exploits, die in Zusammenhang mit Passwörtern stehen.
Ein Hoffnungsschimmer am Horizont ist, dass Passwort-Attacken weiterhin langsam, aber stetig abnehmen. Damit setzt sich dieser positive Trend aus 2023 fort und das zeigt, dass sich Maßnahmen zur Erhöhung der Passwortsicherheit und eine bessere Überwachung von Login-Versuch auszahlen. Gleichzeitig macht die hohe Zahl von Creditial Stuffing Angriffen deutlich, dass eine gute Passwort-Hygiene weiterhin immens wichtig ist. Also: Sichere und einzigartige Passwörter verwenden!
Fazit: Empfehlungen für die WordPress Security 2025
Da Angriffe über ganz unterschiedliche Mechanismen ablaufen können und oft mehrere Sicherheitslücken erst in der Kombination ein Eindringen ermöglichen, solltest Du mehrere Maßnahmen ergreifen, um die WordPress Security zu verbessern:
- Prüfe regelmäßig, welche User in WordPress registriert und welche Zugriffsrechte sie haben.
- Halte den WordPress Core, die Plug-ins und Dein Theme aktuell.
- Entferne nicht benötigte und verwaiste Plug-ins und Themes.
- Nutze eine Firewall, um Malware-Angriffe abzuwehren.
- Führe regelmäßige Scans durch, damit Du Malware findest, bevor sie größeren Schaden anrichten kann.
- Verwende Server-Security-Header als zusätzlichen Schutz gegen Cross-Site-Scripting.
Es ist technisch schon recht anspruchsvoll, die WordPress Security einer Website oder eines WooCommerce-Shops auf einem hohen Niveau zu halten. Aber Du musst da nicht alleine durch: Mit unserem Security Paket für WordPress sichern wir Deine Website umfassend ab und Du brauchst Dich um nichts zu kümmern. Sprich uns gerne an!