{"id":474,"date":"2026-04-09T19:39:22","date_gmt":"2026-04-09T18:39:22","guid":{"rendered":"https:\/\/vsx.is\/?p=474"},"modified":"2026-04-09T19:39:23","modified_gmt":"2026-04-09T18:39:23","slug":"warum-wordpress-plugins-ein-sicherheitsalptraum-sind-und-wie-emdash-das-problem-lost","status":"publish","type":"post","link":"https:\/\/vsx.is\/de\/proc-jsou-wordpress-pluginy-bezpecnostni-nocni-mura-a-jak-to-resi-emdash\/","title":{"rendered":"Warum WordPress-Plugins ein Alptraum f\u00fcr die Sicherheit sind - und wie EmDash das Problem l\u00f6st"},"content":{"rendered":"

WordPress betreibt \u00fcber 40 %-Websites. Aber seine Plugin-Architektur ist f\u00fcr Tausende von Sicherheitsl\u00fccken pro Jahr verantwortlich. Cloudflare<\/a> bietet einen anderen Weg.<\/em><\/p>\n\n\n\n

\n\n\n\n

Ein Problem, das WordPress nicht von innen heraus l\u00f6sen kann<\/h2>\n\n\n\n

Wenn Sie ein Plugin in WordPress installieren, gew\u00e4hren Sie ihm vollen Zugriff auf die Datenbank und das Dateisystem der gesamten Website. Es gibt keine Isolierung. Das Kontaktformular-Plugin hat technisch gesehen die gleichen Berechtigungen wie das E-Commerce-Management-Plugin - beide sehen alles: Benutzerdaten, Inhalte, Konfiguration, Zahlungsdetails.<\/p>\n\n\n\n

Dies ist nicht die Schuld eines bestimmten Plugins. Es handelt sich um ein architektonisches Prinzip von WordPress aus dem Jahr 2003. Ein Plugin ist ein PHP-Skript, das sich direkt in das Kernsystem einf\u00fcgt. WordPress vertraut ihm absolut.<\/p>\n\n\n\n

Und genau hier beginnt das Problem.<\/p>\n\n\n\n

Zahlen, die jeden Webmaster beunruhigen sollten<\/h2>\n\n\n\n

Das Sicherheitsunternehmen Patchstack verfolgt systematisch Schwachstellen im WordPress-\u00d6kosystem. Ihre Daten \u00fcber die letzten Jahre zeigen einen klaren Trend:<\/p>\n\n\n\n

Jahr 2024<\/strong> brachte 7 966 neue Sicherheitsl\u00fccken - ein Anstieg um 34 % im Vergleich zum Vorjahr. Das bedeutet durchschnittlich 22 neue Sicherheitsl\u00fccken pro Tag. Davon stammten 96 % von Plugins und 4 % von Vorlagen. Nur 7 Sicherheitsl\u00fccken wurden im WordPress-Kern selbst gefunden.<\/p>\n\n\n\n

Erste H\u00e4lfte des Jahres 2025<\/strong> 6.700 Schwachstellen hinzugef\u00fcgt. Wichtiger als die Zahl selbst ist jedoch eine andere Zahl: 41,5 % davon waren in der Praxis tats\u00e4chlich ausnutzbar - im Vergleich zu 30,4 % im gleichen Zeitraum des letzten Jahres. Der Angreifer ben\u00f6tigte keine Anmeldedaten.<\/p>\n\n\n\n

Die h\u00e4ufigsten Arten von Schwachstellen sind seit Jahren dieselben: Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF), defekte Zugriffskontrolle und lokale Dateieinbindung.<\/p>\n\n\n\n

Der Mythos des beliebten Plugins<\/h2>\n\n\n\n

Die weit verbreitete Annahme ist, dass bekannte Plugins mit Millionen von Installationen sicher sind, weil sie von einer gro\u00dfen Gemeinschaft kontrolliert werden. Die Daten sagen etwas anderes.<\/p>\n\n\n\n

Im Jahr 2024 wurden \u00fcber 1.000 Sicherheitsl\u00fccken in Plugins mit \u00fcber 100.000 aktiven Installationen gefunden. Kritische Schwachstellen wurden in so weit verbreiteten Tools wie LiteSpeed Cache, Really Simple SSL und The Events Calendar gefunden. Patchstack zahlte 2024 das h\u00f6chste Kopfgeld aus - 16.400 Dollar - f\u00fcr eine kritische Sicherheitsl\u00fccke in LiteSpeed Cache, einem Plugin mit Millionen von Nutzern.<\/p>\n\n\n\n

Popularit\u00e4t bedeutet nicht Sicherheit. Es bedeutet ein gr\u00f6\u00dferes Ziel.<\/p>\n\n\n\n

Warum WordPress es nicht einfach reparieren kann<\/h2>\n\n\n\n

Die Plugin-Architektur ist so tief in die Funktionsweise von WordPress integriert, dass sie nicht ge\u00e4ndert werden kann, ohne die Abw\u00e4rtskompatibilit\u00e4t mit Zehntausenden von bestehenden Plugins zu verletzen. Jedes Plugin setzt den vollen Zugriff auf die Datenbank voraus. Eine Aufhebung dieses Zugriffs w\u00fcrde bedeuten, dass die meisten Plugins nicht mehr funktionieren w\u00fcrden.<\/p>\n\n\n\n

WordPress k\u00fcmmert sich daher auf andere Weise um die Sicherheit: regelm\u00e4\u00dfige Updates, Sicherheits-Plugins (wie Patchstack), Firewall-Regeln, Mindestberechtigungsprinzipien auf der Ebene der Benutzerrollen. All das hilft, aber es geht nicht auf die eigentliche Ursache ein - die Architektur vertraut jedem Plugin implizit.<\/p>\n\n\n\n

Hinzu kommt das Problem der verlassenen Plugins. Im Jahr 2024 wurden dank der Sicherheitsforscher 1.614 anf\u00e4llige Plugins und Vorlagen von WordPress.org entfernt. Aber viele von ihnen bleiben auf aktiven Websites installiert.<\/p>\n\n\n\n

EmDash: ein anderer Ansatz f\u00fcr die Plugin-Sicherheit<\/h2>\n\n\n\n

Im April 2026 stellte Cloudflare EmDash vor - ein Open-Source-CMS (Content-Management-System), das es als \u201egeistigen Nachfolger von WordPress\u201c bezeichnet. Es ist in Version 0.1.0 - fr\u00fche Entwickler beta<\/a> in erster Linie f\u00fcr Tests und Entwicklung konzipiert. Aber auch in diesem Stadium ist die Sicherheitsarchitektur beachtenswert.<\/p>\n\n\n\n

Sandbox statt Vollzugriff<\/h3>\n\n\n\n

EmDash l\u00f6st das Hauptproblem von WordPress architektonisch: Plugins laufen in einer isolierten Umgebung (Sandbox) und m\u00fcssen im Voraus angeben, worauf sie Zugriff ben\u00f6tigen. Das E-Mail-Versand-Plugin erh\u00e4lt die Berechtigungen \u201eemail:send\u201c und \u201eread:content\u201c - mehr nicht. Es kann nicht die Benutzerdatenbank lesen, auf Zahlungsdaten zugreifen oder den Inhalt anderer Plugins \u00e4ndern.<\/p>\n\n\n\n

Bei Cloudflare Workers l\u00e4uft jedes Plugin in seiner eigenen V8-Isolationsumgebung. Selbst wenn ein Plugin kompromittiert wird, ist seine Reichweite auf explizit erlaubte Operationen beschr\u00e4nkt. Ein kompromittiertes Kontaktformular kann den Zugriff auf die gesamte Website nicht eskalieren.<\/p>\n\n\n\n

Das vollst\u00e4ndige Sicherheitsmodell von EmDash ist eng mit der Cloudflare Workers-Architektur und deren Isolate-Modell verbunden. F\u00fcr Nicht-Cloudflare-Eins\u00e4tze ist es ratsam zu \u00fcberpr\u00fcfen, welche Sicherheitsgarantien in der Praxis aufrechterhalten werden.<\/p>\n\n\n\n

Authentifizierung ohne Passw\u00f6rter<\/h3>\n\n\n\n

Standardm\u00e4\u00dfig verwendet WordPress einen klassischen Benutzernamen und ein Passwort f\u00fcr die Anmeldung. Brute-Force-Angriffe auf die Anmeldeseite sind einer der h\u00e4ufigsten Angriffsvektoren.<\/p>\n\n\n\n

EmDash unterst\u00fctzt \u00fcberhaupt keine Passw\u00f6rter. Die Standardauthentifizierung verwendet Passkeys (an das Ger\u00e4t gebundene kryptografische Schl\u00fcssel) und ist so konzipiert, dass sie erweiterbar ist - externe Identit\u00e4tsanbieter k\u00f6nnen angeschlossen werden. Keine Passw\u00f6rter, die erraten, aus der Datenbank gestohlen oder nach einem Leck von einem anderen Dienst missbraucht werden k\u00f6nnen.<\/p>\n\n\n\n

Lizenzierung und Code-Isolierung<\/h3>\n\n\n\n

EmDash ist vollst\u00e4ndig in TypeScript geschrieben und verwendet die MIT-Lizenz. Aus Sicherheitsgr\u00fcnden ist es wichtig, dass Plugins keinen Code mit EmDash teilen - sie laufen unabh\u00e4ngig. Das bedeutet, dass Schwachstelle<\/a> im Plugin kann die interne Kern-API nicht so nutzen, wie es die WordPress-Architektur erlaubt.<\/p>\n\n\n\n

Was EmDash noch nicht ist<\/h2>\n\n\n\n

Es ist wichtig, sich dar\u00fcber im Klaren zu sein, was EmDash in seiner derzeitigen Form nicht darstellt:<\/p>\n\n\n\n