InspectWP Logo
Anleitung

WordPress-Plugins aktuell und sicher halten

8. Februar 2026 Aktualisiert am 19.04.2026

Veraltete WordPress-Plugins sind einer der häufigsten Angriffsvektoren für Hacker. Laut mehreren Sicherheitsberichten stammen über 50% der WordPress-Schwachstellen von Plugins. Sie aktuell zu halten ist essenziell für die Sicherheit und Stabilität deiner Website. Aber einfach auf "Aktualisieren" zu klicken, ohne einen Plan zu haben, kann neue Probleme verursachen. Dieser Leitfaden erklärt alles, was du über die richtige Verwaltung von WordPress-Plugin-Updates wissen musst.

Warum WordPress-Plugin-Updates für die Sicherheit entscheidend sind

Jedes WordPress-Plugin fügt deiner Seite Code hinzu, und jede Codezeile ist ein potenzieller Einstiegspunkt für Angreifer. Wenn eine Schwachstelle in einem Plugin entdeckt wird, veröffentlichen die Entwickler einen Patch. Das Zeitfenster zwischen der öffentlichen Bekanntmachung und deinem Update ist der Moment, in dem deine Seite am verwundbarsten ist. Automatisierte Bots durchsuchen das Internet nach Seiten mit bekannten verwundbaren Versionen, manchmal innerhalb von Stunden nach Veröffentlichung einer CVE.

  • Sicherheitspatches: Die meisten Plugin-Updates enthalten Fixes für entdeckte Schwachstellen. Verzögertes Aktualisieren lässt deine Seite für Exploits offen, die bereits in öffentlichen Datenbanken wie WPScan und der National Vulnerability Database (NVD) dokumentiert sind.
  • WordPress-Core-Kompatibilität: WordPress-Core wird regelmäßig aktualisiert, und jedes große Release kann Funktionen als veraltet markieren oder interne APIs ändern. Veraltete Plugins, die auf veralteten Code angewiesen sind, können komplett ausfallen oder PHP-Warnungen erzeugen, die Informationen über dein Server-Setup preisgeben.
  • Performance-Optimierung: Entwickler optimieren häufig Datenbankabfragen, reduzieren den Speicherverbrauch und verbessern das Laden von Assets in neueren Versionen. Alten Plugin-Code zu verwenden bedeutet, diese Verbesserungen zu verpassen.
  • Neue Funktionen und Bugfixes: Neben der Sicherheit beheben Updates gemeldete Bugs und führen Funktionen ein, die Nutzer angefragt haben. Aktuell zu bleiben bedeutet weniger Probleme und ein besseres Erlebnis für deine Besucher.
  • PHP-Versions-Unterstützung: Wenn dein Hosting-Provider PHP aktualisiert (was du aus Performance- und Sicherheitsgründen fördern solltest), kann älterer Plugin-Code Deprecation-Warnungen oder fatale Fehler unter PHP 8.x auslösen.

WordPress-Plugins sicher aktualisieren: Schritt-für-Schritt-Anleitung

Einfach blind auf "Alle aktualisieren" im WordPress-Dashboard zu klicken, ist riskant. Ein methodischer Ansatz schützt dich vor unerwarteten Ausfällen und macht die Fehlersuche deutlich einfacher, wenn etwas schiefgeht.

  1. Zuerst ein vollständiges Backup erstellen: Sichere immer Datenbank und Dateien, bevor du irgendetwas aktualisierst. Verwende ein Backup-Plugin wie UpdraftPlus, BlogVault oder das integrierte Backup-Tool deines Hosting-Providers. Überprüfe, dass das Backup erfolgreich abgeschlossen wurde und dass du daraus wiederherstellen kannst. Ein Backup, das du nie getestet hast, ist kein Backup, dem du vertrauen kannst.
  2. Changelog sorgfältig lesen: Besuche vor dem Update die Plugin-Seite auf WordPress.org oder die Website des Entwicklers und lies den Changelog. Achte besonders auf große Versionssprünge (z. B. 2.x auf 3.x), die oft Breaking Changes, Datenbankmigrationen oder entfernte Funktionen enthalten. Wenn der Changelog "Breaking Changes" oder "Mindestanforderungen" erwähnt, plane zusätzliche Zeit zum Testen ein.
  3. Plugins einzeln aktualisieren: Widerstehe der Versuchung, alle Plugins auf einmal zu aktualisieren. Wenn du zehn Plugins gleichzeitig aktualisierst und deine Seite ausfällt, hast du keine Ahnung, welches das Problem verursacht hat. Aktualisiere eines, prüfe deine Seite, dann gehe zum nächsten. Ja, das dauert länger. Ja, es lohnt sich.
  4. Zuerst auf einer Staging-Umgebung testen: Wenn dein Hosting-Provider Staging anbietet (die meisten Managed-WordPress-Hoster tun das), klone deine Produktionsseite und wende Updates dort zuerst an. Prüfe alle kritischen Funktionen: Kontaktformulare, WooCommerce-Checkout, Mitglieder-Logins, Custom Post Types und alle Page-Builder-Layouts. Übertrage erst auf Produktion, wenn du sicher bist, dass alles funktioniert.
  5. Wichtige Funktionen nach jedem Update prüfen: Gehe nach dem Update auf Produktion die wichtigsten Workflows deiner Seite durch. Sende ein Testformular ab, führe einen Testkauf durch, prüfe, ob dein Caching-Plugin noch funktioniert und verifiziere, dass dein SEO-Plugin die korrekten Meta-Tags ausgibt. Prüfe die Browser-Konsole auf JavaScript-Fehler, die auf einen Konflikt hindeuten könnten.
  6. Fehlerprotokolle überwachen: Prüfe nach dem Update dein PHP-Error-Log und das WordPress-Debug-Log. Aktiviere Debug-Logging vorübergehend, falls es nicht aktiv ist:
// In wp-config.php
define('WP_DEBUG', true);
define('WP_DEBUG_LOG', true);
define('WP_DEBUG_DISPLAY', false);

Dies schreibt Fehler in wp-content/debug.log, ohne sie Besuchern anzuzeigen. Prüfe diese Datei nach jedem Update und deaktiviere den Debug-Modus, sobald du zufrieden bist, dass alles stabil läuft.

Automatische Plugin-Updates in WordPress verwalten

WordPress 5.5 führte integrierte Auto-Update-Unterstützung für Plugins ein. Diese Funktion ist praktisch, bringt aber Kompromisse mit sich, die du verstehen solltest, bevor du sie aktivierst.

Um Auto-Updates selektiv über das Admin-Dashboard zu aktivieren:

  1. Gehe zu Plugins > Installierte Plugins.
  2. Klicke bei jedem Plugin, das du automatisch aktualisieren möchtest, auf "Auto-Updates aktivieren".

Um Auto-Updates für alle Plugins programmatisch zu aktivieren, füge dies in die functions.php deines Themes oder ein benutzerdefiniertes Plugin ein:

add_filter('auto_update_plugin', '__return_true');

Für mehr Kontrolle kannst du nur bestimmte Plugins automatisch aktualisieren lassen:

add_filter('auto_update_plugin', function ($update, $item) {
    // Nur diese Plugins automatisch aktualisieren
    $auto_update_plugins = [
        'wordfence/wordfence.php',
        'akismet/akismet.php',
        'wp-mail-smtp/wp_mail_smtp.php',
    ];
    return in_array($item->plugin, $auto_update_plugins, true);
}, 10, 2);

Eine praktische Strategie: Aktiviere Auto-Updates für sicherheitskritische Plugins (Firewall, Antispam, Login-Schutz), bei denen verzögerte Patches gefährlich sind. Lass Auto-Updates deaktiviert für komplexe Plugins wie Page Builder, WooCommerce oder selbst entwickelte Plugins, bei denen Updates eher Breaking Changes einführen können.

Wichtig: Auto-Updates laufen über WordPress-Cron, das vom Website-Traffic abhängt. Wenn deine Seite sehr wenig Traffic hat, können Auto-Updates verzögert werden. Richte einen echten Server-Cronjob ein, um wp-cron.php zuverlässig auszuführen:

# WordPress-Cron alle 5 Minuten ausführen
*/5 * * * * wget -q -O - https://deineseite.de/wp-cron.php?doing_wp_cron > /dev/null 2>&1

Umgang mit aus dem WordPress-Repository entfernten Plugins

Manchmal werden Plugins aus dem WordPress.org-Repository entfernt. Das kann verschiedene Gründe haben: ungepatchte Sicherheitslücken, GPL-Lizenzverletzungen, Richtlinienverstöße oder der Entwickler hat die Entfernung selbst beantragt. Wenn InspectWP ein entferntes Plugin auf deiner Seite meldet, behandle es als hochprioritäres Problem.

  1. Plugin sofort deaktivieren und löschen: Entfernte Plugins haben oft ungepatchte Schwachstellen, die nie behoben werden. Jeder Tag, an dem du sie aktiv lässt, ist ein Tag, an dem deine Seite gefährdet ist. Warte nicht auf einen "passenden Zeitpunkt", um dich darum zu kümmern.
  2. Gepflegte Alternative finden: Suche im WordPress-Plugin-Repository nach einem Ersatz, der die gleiche Funktionalität bietet. Achte auf die Anzahl der aktiven Installationen, das letzte Update-Datum und die Aktivität im Support-Forum, um einzuschätzen, ob die Alternative gut gepflegt wird. Beliebte Alternativen für gängige Funktionen sind:
    • Kontaktformulare: WPForms, Gravity Forms, Formidable Forms
    • SEO: Yoast SEO, Rank Math, The SEO Framework
    • Sicherheit: Wordfence, Solid Security, Sucuri
    • Caching: WP Rocket, W3 Total Cache, LiteSpeed Cache
  3. Hinterlassene Daten bereinigen: Viele Plugins hinterlassen Datenbanktabellen, Einträge in der wp_options-Tabelle und Dateien in wp-content. Nach dem Entfernen eines Plugins solltest du diese Restdaten bereinigen. Das geht manuell über phpMyAdmin, mit einem Plugin wie WP-Optimize oder Advanced Database Cleaner, oder per WP-CLI-Befehle:
# Alle Optionen mit einem Plugin-Präfix auflisten
wp option list --search='*pluginprefix*' --format=table

# Bestimmte Optionen löschen
wp option delete pluginprefix_settings
wp option delete pluginprefix_version

# Übriggebliebene Datenbanktabellen löschen
wp db query "DROP TABLE IF EXISTS wp_pluginprefix_data;"

Best Practices für WordPress-Plugin-Sicherheit

Plugins aktuell zu halten ist nur ein Teil einer soliden Sicherheitsstrategie. Diese zusätzlichen Maßnahmen reduzieren dein Gesamtrisiko:

  • Plugins nur aus vertrauenswürdigen Quellen installieren: Nutze für kostenlose Plugins das offizielle WordPress.org-Repository und kaufe Premium-Plugins direkt auf der Website des Entwicklers. Lade niemals "genullte" oder raubkopierte Premium-Plugins herunter. Sie enthalten fast immer Backdoors, Kryptowährungsminer oder Spam-Injection-Code.
  • Unbenutzte und deaktivierte Plugins entfernen: Ein deaktiviertes Plugin kann immer noch ausgenutzt werden, wenn es eine Schwachstelle in einer Datei enthält, die direkt über eine URL erreichbar ist. Lösche jedes Plugin, das du nicht aktiv verwendest. Wenn du denkst, du könntest es später brauchen, notiere dir den Plugin-Namen und installiere es bei Bedarf neu.
  • Letztes Update-Datum vor der Installation prüfen: Ein Plugin, das seit über einem Jahr nicht aktualisiert wurde, könnte aufgegeben sein. Prüfe das "Zuletzt aktualisiert"-Feld auf der WordPress.org-Seite des Plugins. Schau dir auch das Support-Forum an: Wenn der Entwickler seit Monaten nicht auf Support-Anfragen geantwortet hat, ist das Plugin möglicherweise effektiv tot. Erwäge Alternativen, bevor du dich auf ein ungepflegtes Plugin festlegst.
  • Prüfen, was das Plugin bei der Aktivierung macht: Manche Plugins registrieren eigene REST-API-Endpunkte, fügen Rewrite-Rules hinzu oder erstellen neue Datenbanktabellen. Sei dir bewusst, was jedes Plugin zu deiner Seite hinzufügt. Plugins, die Dateisystem-Schreibzugriff anfordern, externe HTTP-Anfragen stellen oder deine .htaccess-Datei ändern, verdienen besondere Aufmerksamkeit.
  • Gesamtzahl der Plugins begrenzen: Es gibt keine magische Zahl, aber jedes Plugin vergrößert deine Angriffsfläche, fügt potenziellen Performance-Overhead hinzu und schafft eine weitere Abhängigkeit, die gepflegt werden muss. Bevor du ein Plugin installierst, frage dich: Kann ich das mit bestehenden Plugins, einem kleinen Code-Snippet oder einer Theme-Funktion erreichen? Wenn ein Plugin nur eine winzige Aufgabe erfüllt, überlege, ob ein paar Zeilen eigener Code nicht angemessener wären.
  • Ein WordPress-Sicherheitsplugin verwenden: Tools wie Wordfence, Solid Security oder Sucuri bieten Firewall-Schutz, Malware-Scanning und Login-Härtung. Sie können dich auch warnen, wenn ein installiertes Plugin eine bekannte Schwachstelle hat, noch bevor du aktualisierst.
  • Plugin-Schwachstellen proaktiv überwachen: Abonniere den WPScan-Schwachstellen-Feed oder nutze das Patchstack-Plugin, um Benachrichtigungen zu erhalten, wenn Schwachstellen für von dir verwendete Plugins veröffentlicht werden. So kannst du schnell reagieren, manchmal bevor Angreifer das Problem ausnutzen.

WP-CLI für effizientes Plugin-Management nutzen

Wenn du mehrere WordPress-Seiten verwaltest oder lieber auf der Kommandozeile arbeitest, macht WP-CLI die Plugin-Verwaltung deutlich schneller und automatisierbar.

# Verfügbare Plugin-Updates prüfen
wp plugin list --update=available --format=table

# Ein bestimmtes Plugin aktualisieren
wp plugin update contact-form-7

# Alle Plugins auf einmal aktualisieren (mit Vorsicht verwenden)
wp plugin update --all

# Plugin-Status und Version prüfen
wp plugin status akismet

# Plugin in einem Befehl installieren und aktivieren
wp plugin install wordfence --activate

# Unbenutztes Plugin deaktivieren und löschen
wp plugin deactivate hello-dolly && wp plugin delete hello-dolly

# Plugin-Prüfsummen gegen WordPress.org verifizieren
wp plugin verify-checksums --all

Der verify-checksums-Befehl ist besonders nützlich für Sicherheitsaudits. Er vergleicht deine installierten Plugin-Dateien mit den Originalen auf WordPress.org und markiert jede Änderung. Das hilft, manipulierte Dateien zu erkennen, die auf eine Kompromittierung hindeuten könnten.

Einen Plugin-Update-Workflow für Teams erstellen

Wenn mehrere Personen deine WordPress-Seite verwalten, etabliere einen klaren Prozess für Plugin-Updates, um Konflikte zu vermeiden und Verantwortlichkeiten sicherzustellen:

  1. Regelmäßiges Update-Fenster planen: Wähle ein wöchentliches oder zweiwöchentliches Zeitfenster für nicht-kritische Updates. Sicherheitspatches sollten so schnell wie möglich angewendet werden, unabhängig vom Zeitplan.
  2. Update-Prozess dokumentieren: Halte schriftlich fest, welche Seiten und Funktionen nach jedem Plugin-Update-Typ getestet werden müssen. Nach einem WooCommerce-Update solltest du beispielsweise immer Warenkorb, Checkout und Zahlungsabwicklung testen.
  3. Versionskontrolle für eigene Plugins nutzen: Wenn du selbst entwickelte Plugins hast, verwalte sie in einem Git-Repository. Tagge Releases und nutze das Repository als einzige Quelle der Wahrheit für Deployments.
  4. Uptime-Monitoring einrichten: Nutze einen Dienst wie UptimeRobot oder Pingdom, der dich benachrichtigt, wenn deine Seite nach einem Update ausfällt. Je früher du es weißt, desto schneller kannst du zurückrollen.
  5. Rollback-Plan bereithalten: Wisse, wie du dein Backup schnell wiederherstellen kannst. Übe den Wiederherstellungsprozess mindestens einmal, damit du ihn nicht zum ersten Mal während eines Notfalls lernst.

Wie InspectWP deine WordPress-Plugins überwacht

InspectWP erkennt deine installierten WordPress-Plugins durch Analyse des Seitenquellcodes sowie der geladenen CSS- und JavaScript-Dateien. Es prüft die Version jedes erkannten Plugins gegen das WordPress.org-Repository und markiert Plugins, die veraltet sind. Außerdem identifiziert es Plugins, die vollständig aus dem Repository entfernt wurden, was ein kritischer Sicherheitsindikator ist, den viele Seitenbetreiber übersehen. Mit den automatischen Berichten von InspectWP kannst du regelmäßige Scans planen, die dich benachrichtigen, sobald ein Plugin veraltet ist oder aus dem Repository verschwindet, damit du handeln kannst, bevor eine Schwachstelle ausgenutzt wird.

Vorheriger Artikel

Cookie-Sicherheitsflags in WordPress beheben

Nächster Artikel

WordPress-Themes sicher aktualisieren

Verwandte Artikel

/wp-admin/install.php in WordPress richtig absichern

PHP-Version in HTTP-Response-Headern verstecken

WordPress Emoji-Script entfernen

Alle Artikel anzeigen

Prüfe jetzt deine WordPress-Seite

InspectWP analysiert deine WordPress-Seite auf Sicherheitslücken, SEO-Probleme, DSGVO-Konformität und Performance — kostenlos.

Seite kostenlos analysieren