WordPress betreibt über 40 %-Websites. Aber seine Plugin-Architektur ist für Tausende von Sicherheitslücken pro Jahr verantwortlich. Cloudflare bietet einen anderen Weg.
Ein Problem, das WordPress nicht von innen heraus lösen kann
Wenn Sie ein Plugin in WordPress installieren, gewähren Sie ihm vollen Zugriff auf die Datenbank und das Dateisystem der gesamten Website. Es gibt keine Isolierung. Das Kontaktformular-Plugin hat technisch gesehen die gleichen Berechtigungen wie das E-Commerce-Management-Plugin - beide sehen alles: Benutzerdaten, Inhalte, Konfiguration, Zahlungsdetails.
Dies ist nicht die Schuld eines bestimmten Plugins. Es handelt sich um ein architektonisches Prinzip von WordPress aus dem Jahr 2003. Ein Plugin ist ein PHP-Skript, das sich direkt in das Kernsystem einfügt. WordPress vertraut ihm absolut.
Und genau hier beginnt das Problem.
Zahlen, die jeden Webmaster beunruhigen sollten
Das Sicherheitsunternehmen Patchstack verfolgt systematisch Schwachstellen im WordPress-Ökosystem. Ihre Daten über die letzten Jahre zeigen einen klaren Trend:
Jahr 2024 brachte 7 966 neue Sicherheitslücken - ein Anstieg um 34 % im Vergleich zum Vorjahr. Das bedeutet durchschnittlich 22 neue Sicherheitslücken pro Tag. Davon stammten 96 % von Plugins und 4 % von Vorlagen. Nur 7 Sicherheitslücken wurden im WordPress-Kern selbst gefunden.
Erste Hälfte des Jahres 2025 6.700 Schwachstellen hinzugefügt. Wichtiger als die Zahl selbst ist jedoch eine andere Zahl: 41,5 % davon waren in der Praxis tatsächlich ausnutzbar - im Vergleich zu 30,4 % im gleichen Zeitraum des letzten Jahres. Der Angreifer benötigte keine Anmeldedaten.
Die häufigsten Arten von Schwachstellen sind seit Jahren dieselben: Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF), defekte Zugriffskontrolle und lokale Dateieinbindung.
Der Mythos des beliebten Plugins
Die weit verbreitete Annahme ist, dass bekannte Plugins mit Millionen von Installationen sicher sind, weil sie von einer großen Gemeinschaft kontrolliert werden. Die Daten sagen etwas anderes.
Im Jahr 2024 wurden über 1.000 Sicherheitslücken in Plugins mit über 100.000 aktiven Installationen gefunden. Kritische Schwachstellen wurden in so weit verbreiteten Tools wie LiteSpeed Cache, Really Simple SSL und The Events Calendar gefunden. Patchstack zahlte 2024 das höchste Kopfgeld aus - 16.400 Dollar - für eine kritische Sicherheitslücke in LiteSpeed Cache, einem Plugin mit Millionen von Nutzern.
Popularität bedeutet nicht Sicherheit. Es bedeutet ein größeres Ziel.
Warum WordPress es nicht einfach reparieren kann
Die Plugin-Architektur ist so tief in die Funktionsweise von WordPress integriert, dass sie nicht geändert werden kann, ohne die Abwärtskompatibilität mit Zehntausenden von bestehenden Plugins zu verletzen. Jedes Plugin setzt den vollen Zugriff auf die Datenbank voraus. Eine Aufhebung dieses Zugriffs würde bedeuten, dass die meisten Plugins nicht mehr funktionieren würden.
WordPress kümmert sich daher auf andere Weise um die Sicherheit: regelmäßige Updates, Sicherheits-Plugins (wie Patchstack), Firewall-Regeln, Mindestberechtigungsprinzipien auf der Ebene der Benutzerrollen. All das hilft, aber es geht nicht auf die eigentliche Ursache ein - die Architektur vertraut jedem Plugin implizit.
Hinzu kommt das Problem der verlassenen Plugins. Im Jahr 2024 wurden dank der Sicherheitsforscher 1.614 anfällige Plugins und Vorlagen von WordPress.org entfernt. Aber viele von ihnen bleiben auf aktiven Websites installiert.
EmDash: ein anderer Ansatz für die Plugin-Sicherheit
Im April 2026 stellte Cloudflare EmDash vor - ein Open-Source-CMS (Content-Management-System), das es als „geistigen Nachfolger von WordPress“ bezeichnet. Es ist in Version 0.1.0 - frühe Entwickler beta in erster Linie für Tests und Entwicklung konzipiert. Aber auch in diesem Stadium ist die Sicherheitsarchitektur beachtenswert.
Sandbox statt Vollzugriff
EmDash löst das Hauptproblem von WordPress architektonisch: Plugins laufen in einer isolierten Umgebung (Sandbox) und müssen im Voraus angeben, worauf sie Zugriff benötigen. Das E-Mail-Versand-Plugin erhält die Berechtigungen „email:send“ und „read:content“ - mehr nicht. Es kann nicht die Benutzerdatenbank lesen, auf Zahlungsdaten zugreifen oder den Inhalt anderer Plugins ändern.
Bei Cloudflare Workers läuft jedes Plugin in seiner eigenen V8-Isolationsumgebung. Selbst wenn ein Plugin kompromittiert wird, ist seine Reichweite auf explizit erlaubte Operationen beschränkt. Ein kompromittiertes Kontaktformular kann den Zugriff auf die gesamte Website nicht eskalieren.
Das vollständige Sicherheitsmodell von EmDash ist eng mit der Cloudflare Workers-Architektur und deren Isolate-Modell verbunden. Für Nicht-Cloudflare-Einsätze ist es ratsam zu überprüfen, welche Sicherheitsgarantien in der Praxis aufrechterhalten werden.
Authentifizierung ohne Passwörter
Standardmäßig verwendet WordPress einen klassischen Benutzernamen und ein Passwort für die Anmeldung. Brute-Force-Angriffe auf die Anmeldeseite sind einer der häufigsten Angriffsvektoren.
EmDash unterstützt überhaupt keine Passwörter. Die Standardauthentifizierung verwendet Passkeys (an das Gerät gebundene kryptografische Schlüssel) und ist so konzipiert, dass sie erweiterbar ist - externe Identitätsanbieter können angeschlossen werden. Keine Passwörter, die erraten, aus der Datenbank gestohlen oder nach einem Leck von einem anderen Dienst missbraucht werden können.
Lizenzierung und Code-Isolierung
EmDash ist vollständig in TypeScript geschrieben und verwendet die MIT-Lizenz. Aus Sicherheitsgründen ist es wichtig, dass Plugins keinen Code mit EmDash teilen - sie laufen unabhängig. Das bedeutet, dass Schwachstelle im Plugin kann die interne Kern-API nicht so nutzen, wie es die WordPress-Architektur erlaubt.
Was EmDash noch nicht ist
Es ist wichtig, sich darüber im Klaren zu sein, was EmDash in seiner derzeitigen Form nicht darstellt:
- Es handelt sich nicht um ein fertiges Produkt. Cloudflare listet es als v0.1.0 preview / early developer beta - es ist eine frühe Version, die hauptsächlich zum Testen und Entwickeln dient.
- Er hat keine Ökosystem. Für WordPress gibt es Zehntausende von Plugins und Vorlagen. EmDash hat mehrere offizielle Demos.
- Die Sandbox hängt von der Plattform ab. Vollständige Plugin-Isolierung ist mit Cloudflare Workers gebündelt. Für andere Umgebungen ist der Umfang der Sicherheitsgarantien nicht eindeutig dokumentiert.
- Die Einrichtung ist etwas komplizierter. Es erfordert die Arbeit mit dem GitHub-Repository und die Konfiguration der Datenbank - weit entfernt von der „Fünf-Minuten-Installation“ von WordPress.
Was man davon mitnehmen kann
EmDash ist kein Grund, WordPress zu verlassen. Aber es gibt Grund, darüber nachzudenken, wie grundlegend unterschiedlich die Sicherheitsmodelle sind:
| WordPress | EmDash | |
|---|---|---|
| Plugin-Zugriff auf die Datenbank | Voll, unbegrenzt | Nur ausdrücklich erlaubt |
| Plugin-Isolierung | Keine | Sandbox (V8 auf Cloudflare isolieren) |
| Authentifizierung | Passwort (Standard) | Passkeys (Standard), pluggable auth |
| Auswirkungen eines gefährdeten Plugins | Möglicherweise das gesamte Gelände | Begrenzt auf angegebene Berechtigungen |
| Reifegrad und Ökosystem | Über 20 Jahre, Zehntausende von Plugins | Vorschau für Entwickler, minimales Ökosystem |
Daraus ergibt sich eine praktische Lektion für WordPress-Webmaster: Wenn Sie bei WordPress bleiben (und die meisten Leute haben gute Gründe dafür), achten Sie auf die Plugin-Sicherheitshygiene:
- Minimieren Sie die Anzahl der Plugins. Jedes Plugin ist ein potenzieller Angriffsvektor.
- Entfernen Sie nicht verwendete und nicht aktualisierte Plugins. Verlassene Plugins sind eine stille Bedrohung.
- Kontinuierliche Aktualisierung. Die meisten Angriffe zielen auf bekannte, bereits gepatchte Sicherheitslücken ab.
- Erwägen Sie eine Sicherheitsüberwachung. Tools wie Patchstack können Schutzregeln vor dem offiziellen Patch bereitstellen.
- Verwenden Sie eine Zwei-Faktor-Authentifizierung. WordPress bietet diese Funktion nicht standardmäßig an, aber es gibt zuverlässige Plugins, die sie hinzufügen.
EmDash zeigt, wie ein CMS aussehen kann, bei dem Sicherheit ein zentrales architektonisches Prinzip ist und nicht nur eine zusätzliche Schicht. Ob es eine brauchbare Alternative wird, hängt davon ab, ob sich eine Gemeinschaft und ein Ökosystem darum herum entwickelt. Heute ist es ein interessantes Konzept. Aber ein Konzept, das ein Problem korrekt benennt, das jeder, der eine WordPress-Website betreibt, kennen sollte.
Patchstack - State of WordPress Security 2025, Patchstack Mid-Year Report 2025, Cloudflare Blog, The Register, Search Engine Journal, The Repository
Čeština
English
Deutsch
Español
Français