Wir müssen mal über ein Thema reden, das uns in den letzten Monaten ziemlich beschäftigt hat: Unsichere WordPress-Plugins.
Wie alles begann
Wer WordPress-Websites betreut, kennt das: Man öffnet das Dashboard, sieht ein Plugin-Update und klickt auf „Aktualisieren“. Routine. Aber was passiert, wenn es kein Update mehr gibt? Wenn der Entwickler das Plugin aufgegeben hat, die letzte Version zwei, drei oder fünf Jahre alt ist – und trotzdem auf tausenden Websites läuft?
Genau das ist uns bei unseren Kundenprojekten immer wieder begegnet. Ein Plugin funktioniert wunderbar, der Kunde möchte es nicht missen – aber unter der Haube schlummern Sicherheitslücken, die längst öffentlich dokumentiert sind. CVE-Nummern, CVSS-Scores, detaillierte Beschreibungen, wie man die Lücke ausnutzt. Alles frei zugänglich. Nur der Fix fehlt.
Was wir gefunden haben, hat uns teilweise erschrocken
Wir reden hier nicht von obskuren Nischen-Plugins. Wir reden von Plugins mit zehntausenden aktiven Installationen. Plugins, die in Plugin-Verzeichnissen weiterhin zum Download angeboten werden – ohne jeden Hinweis darauf, dass sie bekannte Sicherheitslücken enthalten.
Was wir dabei gefunden haben:
- Cross-Site Scripting (XSS) – Angreifer können schädlichen Code in eure Website einschleusen, der bei euren Besuchern ausgeführt wird
- Cross-Site Request Forgery (CSRF) – Admins können durch manipulierte Links dazu gebracht werden, ungewollt Einstellungen zu ändern
- Broken Access Control – Funktionen, die nur Administratoren zur Verfügung stehen sollten, waren für jeden eingeloggten Benutzer zugänglich
- Insecure Design – AJAX-Endpunkte, die komplett ohne Authentifizierung aufrufbar waren. Jeder Besucher konnte Post-Meta-Daten beliebiger Beiträge überschreiben
- Fehlende Input-Validierung – Benutzereingaben, die ungefiltert in die Datenbank oder den HTML-Output wandern
Und das Frustrierende: Viele dieser Lücken wären mit wenigen Zeilen Code zu beheben gewesen. Ein esc_html() hier, ein current_user_can() dort, eine Nonce-Prüfung – fertig. Aber wenn niemand mehr da ist, der den Code pflegt, passiert eben: nichts.
Warum wir nicht einfach „anderes Plugin nehmen“ sagen
Klar, der einfache Rat lautet: „Nimm ein anderes Plugin.“ Aber die Realität sieht anders aus. Viele unserer Kunden nutzen Plugins, die tief in ihre Website integriert sind. Shortcodes in dutzenden Beiträgen, Widget-Konfigurationen, Custom Fields – das tauscht man nicht mal eben aus. Und manchmal gibt es schlicht keine vernünftige Alternative.
Also haben wir uns die Ärmel hochgekrempelt und angefangen, die Plugins selbst zu patchen.
Unsere Security Patches
Wir ändern dabei nur das, was sicherheitsrelevant ist. Keine Feature-Änderungen, keine Umbauten, keine Experimente. Jeder Fix ist dokumentiert – welche Datei, welche Zeile, was war das Problem, wie haben wir es gelöst. Transparenz ist uns wichtig, denn ihr sollt wissen, was ihr installiert.
Unsere Fixes umfassen unter anderem:
- Output-Escaping mit den richtigen WordPress-Funktionen (
esc_html(),esc_attr(),esc_url()) - Input-Validierung und Sanitisierung aller Benutzereingaben
- Nonce-Checks für Formulare und AJAX-Requests (CSRF-Schutz)
- Capability-Checks (
current_user_can()) für Admin-Funktionen - Entfernung gefährlicher PHP-Funktionen wie
extract() - Whitelist-Validierung statt Blacklists
Jedes gepatchte Plugin enthält eine CHANGELOG.md mit allen Details. Ihr könnt also genau nachvollziehen, was wir geändert haben und warum.
Ab sofort für Mitglieder verfügbar
Wir haben uns entschieden, diese Arbeit nicht nur für unsere eigenen Kunden zu machen, sondern sie allen Academy-Mitgliedern zur Verfügung zu stellen. Wann immer wir ein unsicheres Plugin finden und fixen, stellen wir den Patch künftig auf unserer neuen Security Downloads-Seite bereit.
Ihr findet die Security Patches hier:
Security Downloads
Die Seite wird fortlaufend erweitert. Aktuell stehen dort Patches für vier Plugins bereit – weitere werden folgen, sobald wir sie bei unserer täglichen Arbeit finden und fixen.
Ein kleiner Beitrag für ein sichereres Netz
Wir machen uns keine Illusionen – wir werden damit nicht das Internet retten. Aber wenn wir dazu beitragen können, dass ein paar hundert WordPress-Websites weniger angreifbar sind, dann hat sich die Arbeit gelohnt. Denn jede gepatchte Lücke ist eine weniger, die ausgenutzt werden kann.
Bleibt sicher da draußen. ✊
