Plugin-Risiken lassen sich auf drei Grundtypen reduzieren. Jeder davon hat eine eigene Geschichte, wie er Ihre Website ins Wanken bringt.

Typ 1: Veraltet, aber noch installiert.
Das Plugin läuft seit Jahren stabil, niemand merkt es an. Genau das ist das Problem: Der Entwickler hat das Plugin längst eingestellt, Sicherheitslücken werden nicht mehr geschlossen. Bekannte Schwachstellen sind dokumentiert, frei verfügbar, und automatisierte Scanner suchen das Internet täglich nach genau diesen Sites ab.

Typ 2: Wird gepflegt, aber schlecht.
Der Entwickler ist da, veröffentlicht regelmäßig Updates – aber er ist Solo-Hobbyist mit anderem Hauptberuf, und die Code-Qualität ist auf Anfänger-Niveau. Unsanitierte Datenbank-Abfragen, eingebettetes eval(), kein Update-Test gegen neue WordPress-Versionen. Solche Plugins fallen oft bei kleineren WordPress-Updates aus oder reißen ganze Sites mit, wenn sie modifiziert werden.

Typ 3: Architektur-Klotz.
Das Plugin tut, was es soll – aber es lädt auf jeder einzelnen Seite ein Megabyte JavaScript, fragt die Datenbank 200-mal pro Seitenaufruf ab und legt fünf eigene Tabellen an, die nie wieder gelöscht werden. Sicherheitstechnisch okay, im laufenden Betrieb trotzdem katastrophal.

Ein Profi sortiert nicht nach „gutes Plugin / böses Plugin“ – sondern erkennt, welcher dieser drei Risikotypen vorliegt. Erst dann ergeben Prüfkriterien Sinn.

Wenn wir bei einem Wartungskunden ein neues Plugin installieren sollen, läuft jedes Plugin durch die folgenden sieben Prüfpunkte. Das dauert pro Plugin rund zehn Minuten – und entscheidet, ob es überhaupt installiert wird.

Im offiziellen WordPress-Plugin-Verzeichnis steht das Datum des letzten Updates. Unter 6 Monate: gutes Zeichen. Über 12 Monate: Vorsicht. Über 24 Monate gilt das Plugin als verwaist – WordPress.org schließt solche Plugins inzwischen automatisch. Sicherheitslücken werden dann nicht mehr geschlossen.

Das Feld „Tested up to“ zeigt die höchste WordPress-Version, gegen die der Entwickler geprüft hat. Hinkt das ein bis zwei Major-Versionen hinterher, kennt der Entwickler die aktuellen APIs wahrscheinlich gar nicht mehr.

Der „Sweet Spot“ liegt nach unserer Erfahrung zwischen 10.000 und 500.000 aktiven Installationen. Unter 1.000: das Plugin ist neu oder hat sich nicht durchgesetzt. Über eine Million klingt sicher, ist aber oft das Gegenteil: solche Plugins sind die ersten, die Angreifer unter die Lupe nehmen.

Jedes Plugin hat im wordpress.org-Verzeichnis ein eigenes Support-Forum. Wir schauen auf die letzten zwei Monate: Wie viele Threads sind als „resolved“ markiert? Antwortet der Entwickler überhaupt? Tote Foren sind eine klare Warnung.

Der Sterne-Schnitt sagt wenig aus, weil viele Nutzer direkt nach der Installation 5 Sterne vergeben – bevor die ersten Probleme auftauchen. Aussagekräftig sind die 1- und 2-Sterne-Reviews: Wofür gibt es sie? Konflikte mit anderen Plugins, aggressive Upsell-Strategie, Performance-Probleme?

Eine kostenpflichtige Pro-Version ist meist ein gutes Zeichen, weil jemand vom Plugin lebt und ein Interesse hat, es langfristig zu pflegen. Fehlt die Pro-Variante, lohnt sich ein Blick auf das Team: Ein größerer Anbieter oder eine Firma im Hintergrund hält ein Plugin auch ohne Verkaufsdruck stabil am Leben. Was selten gut endet: das Solo-Hobby-Projekt, hinter dem niemand mit Zeit oder Geld steht.

Das Entwickler-Profil im Plugin-Verzeichnis verrät viel. Wie viele andere Plugins betreut er? Werden die gepflegt oder vergammeln sie? Ein Entwickler, der drei aktive Plugins solide pflegt, ist verlässlicher als einer, der zehn Plugins angefangen und neun davon liegen gelassen hat.

Diese 7 Prüfpunkte gehen bei einem neuen Plugin schnell von der Hand. Pro Plugin etwa zehn Minuten – beim einmaligen Install kein Thema.

Die andere Hälfte der Geschichte: Auf einer typischen WordPress-Site laufen 20 bis 30 Plugins, von denen die ältesten oft fünf oder sechs Jahre dort installiert sind. Streng genommen müssten Sie die 7 Prüfpunkte mindestens einmal im Jahr für jedes Plugin neu durchgehen. Bei 25 Bestands-Plugins ergibt das gut vier Stunden Arbeit – nur für das Plugin-Audit, ohne dass an der Website auch nur eine Kleinigkeit verbessert wurde.

Das macht praktisch niemand. Und genau in dieser Lücke entstehen die Sicherheitslücken, die ein Angreifer als erstes findet.

Selbst wer beim Installieren jedes neuen Plugins gewissenhaft die 7-Punkte-Checkliste durchläuft, hat damit nur den Anfang gemacht. WordPress-Plugin Sicherheit ist eine kontinuierliche Aufgabe, keine einmalige.

Auf jeder von uns gewarteten WordPress-Installation laufen daher Sicherheits-Plugins, die im Hintergrund täglich vier Dinge prüfen:

Dazu kommt die manuelle Hand des Profis: Bevor wir ein Plugin- oder Theme-Update aufspielen, lesen wir das Changelog. Größere Versionssprünge – die vor dem Punkt, also von Version 4 auf 5 statt von 4.2 auf 4.3 – behandeln wir mit erhöhter Vorsicht. Bei Websites, die historisch sensibel auf Updates reagieren, schalten wir vor dem Live-Update zusätzlich eine Testumgebung dazwischen.

Und nicht zuletzt: Wir arbeiten seit Jahren mit sehr vielen Plugins und merken uns, welche davon bei Updates schon mal Stress gemacht haben – und gehen entsprechend vorsichtig ran. Dieses Erfahrungs-Gedächtnis lässt sich nicht durch Tools ersetzen.

Welche WordPress-Plugins auf Ihrer Site laufen, wer sie pflegt und ob sie noch sicher sind – das sind drei Fragen, deren Antwort sich ständig ändert. Wer beim Installieren genau hinschaut, hat den größten Teil schon gewonnen. Wer die Bestands-Plugins jahrelang sich selbst überlässt, sammelt unsichtbar ein Risiko an – das oft erst auffällt, wenn die Website schon übernommen wurde.

WordPress-Plugin Sicherheit ist außerdem nur einer von vielen Bereichen, die regelmäßige Wartung umfasst. Updates, Backups, Performance, Datenschutz und Monitoring gehören genauso dazu. Mit einem netzlodern-Wartungspaket übernehmen wir die kontinuierliche Überwachung Ihrer Plugins, prüfen jede neue Installation nach der 7-Punkte-Checkliste und reagieren, sobald eine Sicherheitslücke bekannt wird – meist taggleich.