Veraltete WordPress-Plugins sind einer der häufigsten Angriffsvektoren für Hacker. Laut mehreren Sicherheitsberichten stammen über 50% der WordPress-Schwachstellen von Plugins. Sie aktuell zu halten ist keine Option — es ist essenziell für die Sicherheit und Stabilität deiner Seite.
Warum Plugin-Updates wichtig sind
- Sicherheitspatches — Die meisten Plugin-Updates enthalten Fixes für entdeckte Schwachstellen. Verzögertes Updaten lässt deine Seite verwundbar.
- Kompatibilität — WordPress-Core wird regelmäßig aktualisiert. Veraltete Plugins können mit neueren WordPress-Versionen brechen.
- Performance — Entwickler optimieren oft Code und reduzieren den Ressourcenverbrauch in neueren Versionen.
- Neue Funktionen — Updates bringen Verbesserungen und neue Funktionalität.
Plugins sicher aktualisieren
- Zuerst ein Backup erstellen — Sichere immer Datenbank und Dateien vor dem Update. Verwende Plugins wie UpdraftPlus oder das Backup-Tool deines Hosters.
- Changelog prüfen — Lies vor dem Update, was sich geändert hat. Große Versionssprünge (z. B. 2.x → 3.x) können Breaking Changes enthalten.
- Einzeln aktualisieren — Aktualisiere nicht alle Plugins gleichzeitig. Wenn etwas bricht, musst du wissen, welches Update es verursacht hat.
- Zuerst auf Staging testen — Wenn du eine Staging-Umgebung hast, teste Updates dort, bevor du sie auf die Produktionsseite anwendest.
- Seite nach jedem Update prüfen — Überprüfe wichtige Funktionen: Formulare, Checkout, Login und wichtige Seiten.
Automatische Updates aktivieren (mit Vorsicht)
WordPress 5.5+ unterstützt automatische Plugin-Updates. Zum Aktivieren:
- Gehe zu Plugins → Installierte Plugins.
- Klicke bei jedem Plugin auf "Auto-Updates aktivieren".
Alternativ kannst du Auto-Updates für alle Plugins über wp-config.php aktivieren:
add_filter('auto_update_plugin', '__return_true');Warnung: Auto-Updates können deine Seite beschädigen, wenn ein Plugin-Update Bugs hat. Aktiviere dies nur, wenn du zuverlässige Backups und Monitoring hast.
Umgang mit entfernten Plugins
Manchmal werden Plugins aus dem WordPress-Repository entfernt, weil Sicherheitsprobleme oder Richtlinienverstöße vorliegen. Wenn InspectWP ein entferntes Plugin meldet:
- Plugin sofort deaktivieren und löschen — Entfernte Plugins haben oft ungepatchte Schwachstellen.
- Alternative finden — Suche im WordPress-Plugin-Repository nach einem gepflegten Ersatz.
- Auf Restdaten prüfen — Manche Plugins hinterlassen Datenbanktabellen und Optionen. Bereinige diese manuell oder verwende ein Plugin wie WP-Optimize.
Plugin-Sicherheits-Best-Practices
- Nur Plugins aus vertrauenswürdigen Quellen installieren — Das offizielle WordPress.org-Repository oder renommierte Entwickler mit nachgewiesener Erfolgsbilanz.
- Ungenutzte Plugins entfernen — Deaktivierte Plugins können trotzdem ausgenutzt werden. Lösche, was du nicht verwendest.
- Letztes Update-Datum prüfen — Plugins, die seit über einem Jahr nicht aktualisiert wurden, könnten aufgegeben sein. Erwäge Alternativen.
- Plugin-Berechtigungen prüfen — Sei vorsichtig bei Plugins, die übermäßigen Dateisystem- oder Netzwerkzugriff anfordern.
- Anzahl der Plugins begrenzen — Jedes Plugin vergrößert deine Angriffsfläche. Verwende nur, was du wirklich brauchst.
Wie InspectWP hilft
InspectWP erkennt deine installierten WordPress-Plugins, prüft deren aktuelle Versionen gegen das WordPress-Repository und markiert veraltete. Es warnt dich auch vor Plugins, die aus dem Repository entfernt wurden — ein kritischer Sicherheitsindikator, der oft übersehen wird.