InspectWP Logo
Anleitung

WordPress-Plugins aktuell und sicher halten

8. Februar 2026

Veraltete WordPress-Plugins sind einer der haeufigsten Angriffsvektoren fuer Hacker. Laut mehreren Sicherheitsberichten stammen ueber 50% der WordPress-Schwachstellen von Plugins. Sie aktuell zu halten ist essenziell fuer die Sicherheit und Stabilitaet deiner Website. Aber einfach auf "Aktualisieren" zu klicken, ohne einen Plan zu haben, kann neue Probleme verursachen. Dieser Leitfaden erklaert alles, was du ueber die richtige Verwaltung von WordPress-Plugin-Updates wissen musst.

Warum WordPress-Plugin-Updates fuer die Sicherheit entscheidend sind

Jedes WordPress-Plugin fuegt deiner Seite Code hinzu, und jede Codezeile ist ein potenzieller Einstiegspunkt fuer Angreifer. Wenn eine Schwachstelle in einem Plugin entdeckt wird, veroeffentlichen die Entwickler einen Patch. Das Zeitfenster zwischen der oeffentlichen Bekanntmachung und deinem Update ist der Moment, in dem deine Seite am verwundbarsten ist. Automatisierte Bots durchsuchen das Internet nach Seiten mit bekannten verwundbaren Versionen, manchmal innerhalb von Stunden nach Veroeffentlichung einer CVE.

  • Sicherheitspatches: Die meisten Plugin-Updates enthalten Fixes fuer entdeckte Schwachstellen. Verzoegertes Aktualisieren laesst deine Seite fuer Exploits offen, die bereits in oeffentlichen Datenbanken wie WPScan und der National Vulnerability Database (NVD) dokumentiert sind.
  • WordPress-Core-Kompatibilitaet: WordPress-Core wird regelmaessig aktualisiert, und jedes grosse Release kann Funktionen als veraltet markieren oder interne APIs aendern. Veraltete Plugins, die auf veralteten Code angewiesen sind, koennen komplett ausfallen oder PHP-Warnungen erzeugen, die Informationen ueber dein Server-Setup preisgeben.
  • Performance-Optimierung: Entwickler optimieren haeufig Datenbankabfragen, reduzieren den Speicherverbrauch und verbessern das Laden von Assets in neueren Versionen. Alten Plugin-Code zu verwenden bedeutet, diese Verbesserungen zu verpassen.
  • Neue Funktionen und Bugfixes: Neben der Sicherheit beheben Updates gemeldete Bugs und fuehren Funktionen ein, die Nutzer angefragt haben. Aktuell zu bleiben bedeutet weniger Probleme und ein besseres Erlebnis fuer deine Besucher.
  • PHP-Versions-Unterstuetzung: Wenn dein Hosting-Provider PHP aktualisiert (was du aus Performance- und Sicherheitsgruenden foerdern solltest), kann aelterer Plugin-Code Deprecation-Warnungen oder fatale Fehler unter PHP 8.x ausloesen.

WordPress-Plugins sicher aktualisieren: Schritt-fuer-Schritt-Anleitung

Einfach blind auf "Alle aktualisieren" im WordPress-Dashboard zu klicken, ist riskant. Ein methodischer Ansatz schuetzt dich vor unerwarteten Ausfaellen und macht die Fehlersuche deutlich einfacher, wenn etwas schiefgeht.

  1. Zuerst ein vollstaendiges Backup erstellen: Sichere immer Datenbank und Dateien, bevor du irgendetwas aktualisierst. Verwende ein Backup-Plugin wie UpdraftPlus, BlogVault oder das integrierte Backup-Tool deines Hosting-Providers. Ueberprüfe, dass das Backup erfolgreich abgeschlossen wurde und dass du daraus wiederherstellen kannst. Ein Backup, das du nie getestet hast, ist kein Backup, dem du vertrauen kannst.
  2. Changelog sorgfaeltig lesen: Besuche vor dem Update die Plugin-Seite auf WordPress.org oder die Website des Entwicklers und lies den Changelog. Achte besonders auf grosse Versionsspruenge (z. B. 2.x auf 3.x), die oft Breaking Changes, Datenbankmigrationen oder entfernte Funktionen enthalten. Wenn der Changelog "Breaking Changes" oder "Mindestanforderungen" erwaehnt, plane zusaetzliche Zeit zum Testen ein.
  3. Plugins einzeln aktualisieren: Widerstehe der Versuchung, alle Plugins auf einmal zu aktualisieren. Wenn du zehn Plugins gleichzeitig aktualisierst und deine Seite ausfaellt, hast du keine Ahnung, welches das Problem verursacht hat. Aktualisiere eines, pruefe deine Seite, dann gehe zum naechsten. Ja, das dauert laenger. Ja, es lohnt sich.
  4. Zuerst auf einer Staging-Umgebung testen: Wenn dein Hosting-Provider Staging anbietet (die meisten Managed-WordPress-Hoster tun das), klone deine Produktionsseite und wende Updates dort zuerst an. Pruefe alle kritischen Funktionen: Kontaktformulare, WooCommerce-Checkout, Mitglieder-Logins, Custom Post Types und alle Page-Builder-Layouts. Uebertrage erst auf Produktion, wenn du sicher bist, dass alles funktioniert.
  5. Wichtige Funktionen nach jedem Update pruefen: Gehe nach dem Update auf Produktion die wichtigsten Workflows deiner Seite durch. Sende ein Testformular ab, fuehre einen Testkauf durch, pruefe ob dein Caching-Plugin noch funktioniert und verifiziere, dass dein SEO-Plugin die korrekten Meta-Tags ausgibt. Pruefe die Browser-Konsole auf JavaScript-Fehler, die auf einen Konflikt hindeuten koennten.
  6. Fehlerprotokolle ueberwachen: Pruefe nach dem Update dein PHP-Error-Log und das WordPress-Debug-Log. Aktiviere Debug-Logging voruebergehend, falls es nicht aktiv ist:
// In wp-config.php
define('WP_DEBUG', true);
define('WP_DEBUG_LOG', true);
define('WP_DEBUG_DISPLAY', false);

Dies schreibt Fehler in wp-content/debug.log, ohne sie Besuchern anzuzeigen. Pruefe diese Datei nach jedem Update und deaktiviere den Debug-Modus, sobald du zufrieden bist, dass alles stabil laeuft.

Automatische Plugin-Updates in WordPress verwalten

WordPress 5.5 fuehrte integrierte Auto-Update-Unterstuetzung fuer Plugins ein. Diese Funktion ist praktisch, bringt aber Kompromisse mit sich, die du verstehen solltest, bevor du sie aktivierst.

Um Auto-Updates selektiv ueber das Admin-Dashboard zu aktivieren:

  1. Gehe zu Plugins > Installierte Plugins.
  2. Klicke bei jedem Plugin, das du automatisch aktualisieren moechtest, auf "Auto-Updates aktivieren".

Um Auto-Updates fuer alle Plugins programmatisch zu aktivieren, fuege dies in die functions.php deines Themes oder ein benutzerdefiniertes Plugin ein:

add_filter('auto_update_plugin', '__return_true');

Fuer mehr Kontrolle kannst du nur bestimmte Plugins automatisch aktualisieren lassen:

add_filter('auto_update_plugin', function ($update, $item) {
    // Nur diese Plugins automatisch aktualisieren
    $auto_update_plugins = [
        'wordfence/wordfence.php',
        'akismet/akismet.php',
        'wp-mail-smtp/wp_mail_smtp.php',
    ];
    return in_array($item->plugin, $auto_update_plugins, true);
}, 10, 2);

Eine praktische Strategie: Aktiviere Auto-Updates fuer sicherheitskritische Plugins (Firewall, Antispam, Login-Schutz), bei denen verzoegerte Patches gefaehrlich sind. Lass Auto-Updates deaktiviert fuer komplexe Plugins wie Page Builder, WooCommerce oder selbst entwickelte Plugins, bei denen Updates eher Breaking Changes einfuehren koennen.

Wichtig: Auto-Updates laufen ueber WordPress-Cron, das vom Website-Traffic abhaengt. Wenn deine Seite sehr wenig Traffic hat, koennen Auto-Updates verzoegert werden. Richte einen echten Server-Cronjob ein, um wp-cron.php zuverlaessig auszufuehren:

# WordPress-Cron alle 5 Minuten ausfuehren
*/5 * * * * wget -q -O - https://deineseite.de/wp-cron.php?doing_wp_cron > /dev/null 2>&1

Umgang mit aus dem WordPress-Repository entfernten Plugins

Manchmal werden Plugins aus dem WordPress.org-Repository entfernt. Das kann verschiedene Gruende haben: ungepatchte Sicherheitsluecken, GPL-Lizenzverletzungen, Richtlinienverstoesse oder der Entwickler hat die Entfernung selbst beantragt. Wenn InspectWP ein entferntes Plugin auf deiner Seite meldet, behandle es als hochprioritaeres Problem.

  1. Plugin sofort deaktivieren und loeschen: Entfernte Plugins haben oft ungepatchte Schwachstellen, die nie behoben werden. Jeder Tag, an dem du sie aktiv laesst, ist ein Tag, an dem deine Seite gefaehrdet ist. Warte nicht auf einen "passenden Zeitpunkt", um dich darum zu kuemmern.
  2. Gepflegte Alternative finden: Suche im WordPress-Plugin-Repository nach einem Ersatz, der die gleiche Funktionalitaet bietet. Achte auf die Anzahl der aktiven Installationen, das letzte Update-Datum und die Aktivitaet im Support-Forum, um einzuschaetzen, ob die Alternative gut gepflegt wird. Beliebte Alternativen fuer gaengige Funktionen sind:
    • Kontaktformulare: WPForms, Gravity Forms, Formidable Forms
    • SEO: Yoast SEO, Rank Math, The SEO Framework
    • Sicherheit: Wordfence, Solid Security, Sucuri
    • Caching: WP Rocket, W3 Total Cache, LiteSpeed Cache
  3. Hinterlassene Daten bereinigen: Viele Plugins hinterlassen Datenbanktabellen, Eintraege in der wp_options-Tabelle und Dateien in wp-content. Nach dem Entfernen eines Plugins solltest du diese Restdaten bereinigen. Das geht manuell ueber phpMyAdmin, mit einem Plugin wie WP-Optimize oder Advanced Database Cleaner, oder per WP-CLI-Befehle:
# Alle Optionen mit einem Plugin-Praefix auflisten
wp option list --search='*pluginprefix*' --format=table

# Bestimmte Optionen loeschen
wp option delete pluginprefix_settings
wp option delete pluginprefix_version

# Uebriggebliebene Datenbanktabellen loeschen
wp db query "DROP TABLE IF EXISTS wp_pluginprefix_data;"

Best Practices fuer WordPress-Plugin-Sicherheit

Plugins aktuell zu halten ist nur ein Teil einer soliden Sicherheitsstrategie. Diese zusaetzlichen Massnahmen reduzieren dein Gesamtrisiko:

  • Plugins nur aus vertrauenswuerdigen Quellen installieren: Nutze fuer kostenlose Plugins das offizielle WordPress.org-Repository und kaufe Premium-Plugins direkt auf der Website des Entwicklers. Lade niemals "genullte" oder raubkopierte Premium-Plugins herunter. Sie enthalten fast immer Backdoors, Kryptowaehrungsminer oder Spam-Injection-Code.
  • Unbenutzte und deaktivierte Plugins entfernen: Ein deaktiviertes Plugin kann immer noch ausgenutzt werden, wenn es eine Schwachstelle in einer Datei enthaelt, die direkt ueber eine URL erreichbar ist. Loesche jedes Plugin, das du nicht aktiv verwendest. Wenn du denkst, du koenntest es spaeter brauchen, notiere dir den Plugin-Namen und installiere es bei Bedarf neu.
  • Letztes Update-Datum vor der Installation pruefen: Ein Plugin, das seit ueber einem Jahr nicht aktualisiert wurde, koennte aufgegeben sein. Pruefe das "Zuletzt aktualisiert"-Feld auf der WordPress.org-Seite des Plugins. Schau dir auch das Support-Forum an: Wenn der Entwickler seit Monaten nicht auf Support-Anfragen geantwortet hat, ist das Plugin moeglicherweise effektiv tot. Erwaege Alternativen, bevor du dich auf ein ungepflegtes Plugin festlegst.
  • Pruefen, was das Plugin bei der Aktivierung macht: Manche Plugins registrieren eigene REST-API-Endpunkte, fuegen Rewrite-Rules hinzu oder erstellen neue Datenbanktabellen. Sei dir bewusst, was jedes Plugin zu deiner Seite hinzufuegt. Plugins, die Dateisystem-Schreibzugriff anfordern, externe HTTP-Anfragen stellen oder deine .htaccess-Datei aendern, verdienen besondere Aufmerksamkeit.
  • Gesamtzahl der Plugins begrenzen: Es gibt keine magische Zahl, aber jedes Plugin vergroessert deine Angriffsflaeche, fuegt potenziellen Performance-Overhead hinzu und schafft eine weitere Abhaengigkeit, die gepflegt werden muss. Bevor du ein Plugin installierst, frage dich: Kann ich das mit bestehenden Plugins, einem kleinen Code-Snippet oder einer Theme-Funktion erreichen? Wenn ein Plugin nur eine winzige Aufgabe erfuellt, ueberlege, ob ein paar Zeilen eigener Code nicht angemessener waeren.
  • Ein WordPress-Sicherheitsplugin verwenden: Tools wie Wordfence, Solid Security oder Sucuri bieten Firewall-Schutz, Malware-Scanning und Login-Haertung. Sie koennen dich auch warnen, wenn ein installiertes Plugin eine bekannte Schwachstelle hat, noch bevor du aktualisierst.
  • Plugin-Schwachstellen proaktiv ueberwachen: Abonniere den WPScan-Schwachstellen-Feed oder nutze das Patchstack-Plugin, um Benachrichtigungen zu erhalten, wenn Schwachstellen fuer von dir verwendete Plugins veroeffentlicht werden. So kannst du schnell reagieren, manchmal bevor Angreifer das Problem ausnutzen.

WP-CLI fuer effizientes Plugin-Management nutzen

Wenn du mehrere WordPress-Seiten verwaltest oder lieber auf der Kommandozeile arbeitest, macht WP-CLI die Plugin-Verwaltung deutlich schneller und automatisierbar.

# Verfuegbare Plugin-Updates pruefen
wp plugin list --update=available --format=table

# Ein bestimmtes Plugin aktualisieren
wp plugin update contact-form-7

# Alle Plugins auf einmal aktualisieren (mit Vorsicht verwenden)
wp plugin update --all

# Plugin-Status und Version pruefen
wp plugin status akismet

# Plugin in einem Befehl installieren und aktivieren
wp plugin install wordfence --activate

# Unbenutztes Plugin deaktivieren und loeschen
wp plugin deactivate hello-dolly && wp plugin delete hello-dolly

# Plugin-Pruefsummen gegen WordPress.org verifizieren
wp plugin verify-checksums --all

Der verify-checksums-Befehl ist besonders nuetzlich fuer Sicherheitsaudits. Er vergleicht deine installierten Plugin-Dateien mit den Originalen auf WordPress.org und markiert jede Aenderung. Das hilft, manipulierte Dateien zu erkennen, die auf eine Kompromittierung hindeuten koennten.

Einen Plugin-Update-Workflow fuer Teams erstellen

Wenn mehrere Personen deine WordPress-Seite verwalten, etabliere einen klaren Prozess fuer Plugin-Updates, um Konflikte zu vermeiden und Verantwortlichkeiten sicherzustellen:

  1. Regelmaessiges Update-Fenster planen: Waehle ein woechentliches oder zweiwoechentliches Zeitfenster fuer nicht-kritische Updates. Sicherheitspatches sollten so schnell wie moeglich angewendet werden, unabhaengig vom Zeitplan.
  2. Update-Prozess dokumentieren: Halte schriftlich fest, welche Seiten und Funktionen nach jedem Plugin-Update-Typ getestet werden muessen. Nach einem WooCommerce-Update solltest du beispielsweise immer Warenkorb, Checkout und Zahlungsabwicklung testen.
  3. Versionskontrolle fuer eigene Plugins nutzen: Wenn du selbst entwickelte Plugins hast, verwalte sie in einem Git-Repository. Tagge Releases und nutze das Repository als einzige Quelle der Wahrheit fuer Deployments.
  4. Uptime-Monitoring einrichten: Nutze einen Dienst wie UptimeRobot oder Pingdom, der dich benachrichtigt, wenn deine Seite nach einem Update ausfaellt. Je frueher du es weisst, desto schneller kannst du zurueckrollen.
  5. Rollback-Plan bereithalten: Wisse, wie du dein Backup schnell wiederherstellen kannst. Uebe den Wiederherstellungsprozess mindestens einmal, damit du ihn nicht zum ersten Mal waehrend eines Notfalls lernst.

Wie InspectWP deine WordPress-Plugins ueberwacht

InspectWP erkennt deine installierten WordPress-Plugins durch Analyse des Seitenquellcodes sowie der geladenen CSS- und JavaScript-Dateien. Es prueft die Version jedes erkannten Plugins gegen das WordPress.org-Repository und markiert Plugins, die veraltet sind. Ausserdem identifiziert es Plugins, die vollstaendig aus dem Repository entfernt wurden, was ein kritischer Sicherheitsindikator ist, den viele Seitenbetreiber uebersehen. Mit den automatischen Berichten von InspectWP kannst du regelmaessige Scans planen, die dich benachrichtigen, sobald ein Plugin veraltet ist oder aus dem Repository verschwindet, damit du handeln kannst, bevor eine Schwachstelle ausgenutzt wird.

Vorheriger Artikel

Hreflang-Tags in WordPress implementieren

Nächster Artikel

WordPress-Themes sicher aktualisieren

Verwandte Artikel

XML-Sitemap in WordPress erstellen

WordPress Debug-Log absichern

WordPress-Versionsnummer verstecken

Alle Artikel anzeigen

Prüfe jetzt deine WordPress-Seite

InspectWP analysiert deine WordPress-Seite auf Sicherheitslücken, SEO-Probleme, DSGVO-Konformität und Performance — kostenlos.

Seite kostenlos analysieren