WordPress Penetrationstest: Plugin-Schwachstellen, REST-API-Enumeration und XML-RPC-Absicherung

WordPress betreibt ueber 43% aller Websites weltweit -- und ist damit auch das meistangegriffene CMS. Die Angriffsoberflaeche von WordPress geht weit ueber den Kern hinaus: Das Plugin-Oekosystem mit ueber 60.000 Erweiterungen ist die haeufigste Eintrittspforte fuer Angreifer. CVE-2023-5561 demonstrierte, wie die WordPress-REST-API Benutzernamen-Enumeration ermoeglicht; CVE-2024-1827 betraf Elementor, das Plugin mit ueber 10 Millionen aktiven Installationen. Ein spezialisierter WordPress-Penetrationstest analysiert Ihren Kern, Ihre Plugins, Themes und Serverkonfiguration als Gesamtsystem.

WordPress Pentest starten

Geschrieben von Malte Wagenbach

Gründer von Matproof Security. Spezialisiert auf KI-gestützte Penetrationstests und EU-Compliance (DORA, NIS2, BSI Grundschutz, ISO 27001).

Zuletzt überprüft: 17. Mai 2026

Warum WordPress-Installationen spezialisierte Sicherheitstests benoetigen

WordPress-Sicherheit ist ein mehrschichtiges Problem. Der WordPress-Kern wird aktiv gepflegt und zeitnah gepatcht, aber die meisten Sicherheitsvorfaelle entstehen durch Plugins und Themes, die haeufig von kleinen Entwicklerteams ohne dedizierte Sicherheitsexpertise erstellt werden. Das National Vulnerability Database verzeichnet hunderte WordPress-Plugin-CVEs jaehrlich. Die WordPress-REST-API, einfuehrt in WordPress 4.7, ist standardmaessig oeffentlich zugaenglich und exponiert Benutzerinformationen, Post-IDs und interne Strukturdaten. XML-RPC, eine Legacy-Schnittstelle, ermoeglicht Credential-Stuffing-Angriffe und DDoS-Amplifikation via Pingback-Feature. Hinzu kommen WordPress-spezifische Konfigurationsprobleme wie exponierte wp-config.php, ungeschuetzte wp-admin-Verzeichnisse und oeffentlich zugaengliche Backup-Dateien.

CVE-2023-5561 (WordPress REST-API Benutzerenumeration): Die WordPress-REST-API (/wp-json/wp/v2/users) exponiert standardmaessig Benutzernamen und Benutzer-IDs aller registrierten Nutzer. Diese Information ist Grundlage fuer gezielte Credential-Stuffing- und Brute-Force-Angriffe. Betrifft alle WordPress-Versionen vor 6.3.2 ohne explizite REST-API-Einschraenkung.
CVE-2024-1827 (Elementor XSS via Custom Widget): Elementor Page Builder (10+ Mio. Installationen) enthielt eine Cross-Site-Scripting-Schwachstelle, die es Angreifern mit Contributor-Berechtigung erlaubte, gespeichertes XSS einzuschleusen, das bei Admin-Besuch ausgefuehrt wird und zur vollstaendigen Site-Kompromittierung fuehrt.
CVE-2023-1862 (jQuery XSS via WordPress-Plugins): Mehrere WordPress-Plugins, die veraltete jQuery-Versionen einbinden, sind anfaellig fuer DOM-basiertes XSS. Dies betrifft eine Vielzahl aelterer Plugins, die jQuery nicht ueber die WordPress-eigene Verwaltung einbinden.
XML-RPC-Missbrauch (Brute-Force und Pingback-DDoS): Die xmlrpc.php-Datei, standardmaessig in jeder WordPress-Installation vorhanden, erlaubt ohne Rate-Limiting die Authentifizierung mit tausenden Zugangsdaten in einer einzigen Anfrage (multicall). Die Pingback-Funktion kann als DDoS-Amplifikator missbraucht werden.
Plugin-Update-Lag als permanente Angriffsoberflaeche: Im Durchschnitt werden bekannte Plugin-Schwachstellen 3-14 Tage nach CVE-Veroeffentlichung aktiv ausgenutzt. Viele WordPress-Installationen laufen mit Plugins, fuer die es bereits Patches gibt, die aber nicht eingespielt wurden -- Matproof prueft alle Plugins gegen die aktuelle CVE-Datenbank.
WooCommerce-spezifische Schwachstellen bei E-Commerce: WooCommerce-basierte Shops verarbeiten Zahlungsdaten und Kundendaten; spezifische CVEs in WooCommerce-Erweiterungen (Payment-Gateways, Checkout-Plugins) koennen direkt zu Zahlungsdaten-Diebstahl fuehren. PCI-DSS-Pflichten gelten auch fuer WooCommerce-Betreiber.
wp-config.php-Exposition und Server-Fehlkonfiguration: Die wp-config.php enthaelt Datenbankzugangsdaten, Sicherheitsschlussel und Konfigurationsparameter. Falsche .htaccess-Konfiguration, Backup-Dateien (wp-config.php.bak) oder oeffentlicher Zugriff auf das Verzeichnis gefaehrden die gesamte Installation.

Was beim WordPress Penetrationstest geprueft wird

Plugin-CVE-Analyse: Vollstaendiger Scan aller installierten Plugins und Themes gegen WPScan-Vulnerability-Database und NVD; Identifikation ungepatchter Plugin-Versionen mit bekannten CVEs; Analyse von Plugin-Berechtigungen und Hook-Missbrauch.
REST-API-Enumeration und Zugriffskontrolle: Test ob Benutzerenumeration via /wp-json/wp/v2/users moeglich ist; Prufung der REST-API-Authentifizierung fuer alle registrierten Endpunkte; Application-Passwords-Sicherheit.
XML-RPC-Analyse: Prufung ob xmlrpc.php zugaenglich ist; Test auf Credential-Stuffing via system.multicall; Pingback-Amplifikation; Empfehlung zur Deaktivierung oder IP-Beschraenkung.
Benutzerrollen und Capability-Misconfiguration: Test ob benutzerdefinierte Rollen unbeabsichtigte Capabilities haben; Prufung ob Contributor/Author-Rollen zu Privilege-Escalation fuehren koennen; shortcode_atts-Injection.
wp-admin und wp-login Absicherung: Brute-Force-Schutz (Rate-Limiting, Account-Lockout); oeffentliche Zugaenglichkeit des Admin-Panels; Zwei-Faktor-Authentifizierung; Login-Pfad-Obfuskation (nur Defense-in-Depth).
File-Upload-Schwachstellen: Test ob beliebige Dateitypen hochgeladen werden koennen (MIME-Type-Bypass); PHP-Webshell-Upload via Medien-Manager; Prufung der Upload-Verzeichnisberechtigungen.
wp-config.php und sensible Datei-Exposition: Prufung auf zugaengliche wp-config.php, Backup-Dateien, error_log, debug.log; .htaccess-Konfiguration; oeffentliche Verzeichnis-Listings.
Cross-Site-Request-Forgery (CSRF) in Plugin-Funktionen: Analyse der Nonce-Implementierung in WordPress-Plugin-Formularen; Test ob administrative Aktionen ohne gueltige Nonce ausfuehrbar sind.
Datenbankpraefixe und Informationsexposition: Prufung ob Standard-Tabellenprafix (wp_) verwendet wird; SQL-Injection-Tests in Plugin-Datenbankabfragen; Information Disclosure via Fehlermeldungen.
Multisite-spezifische Sicherheitspruefungen: Fuer WordPress-Multisite-Installationen: Super-Admin-Privilege-Escalation, Site-Isolation, Domain-Mapping-Sicherheit.

Beispiel-Befund

Hoch

XML-RPC multicall Credential Stuffing ermoeglicht Account-Takeover

Die xmlrpc.php-Datei ist ohne Authentifizierung zugaenglich und erlaubt system.multicall-Anfragen. Im Test wurden 500 Zugangsdatenkombinationen in einer einzigen HTTP-POST-Anfrage geprueft (multicall mit 500 wp.getUsersBlogs-Aufrufen). Das Server-seitige Rate-Limiting greift erst nach 1000 Anfragen pro IP. Drei Administrator-Accounts wurden mit haeufigen Passwoertern gefunden. XML-RPC ermoeglicht effektiv unbegrenzte Brute-Force-Angriffe, die Standard-Login-Schutz umgehen.

Behebung: xmlrpc.php via .htaccess oder Nginx-Konfiguration vollstaendig sperren, sofern keine legitimen XML-RPC-Clients vorhanden sind. Falls XML-RPC benoetigt wird: IP-Whitelist und Fail2ban-Integration. Alle Administratorpasswoerter sofort aendern; Passwortrichtlinie auf min. 16 Zeichen mit Komplexitaet durchsetzen. Zwei-Faktor-Authentifizierung fuer alle Admin-Konten aktivieren.

Referenz: CVE-2023-5561 (REST-API Enum) · OWASP A07:2021 Identification and Authentication Failures · WordPress Hardening Guide (codex.wordpress.org) · WPScan

WordPress Pentest: Optionen im Vergleich

—	Kostenloser Scan	Matproof Sentinel	Klassische Beratung
Automatisierte Scan-Engine	✓ (3-min Vorschau)	✓ Vollständiger Scan	✗ Nur manuell
OWASP Top 10 Abdeckung	Partiell	✓ Vollständig	✓ Vollständig
Proof-of-Exploit-Evidenz	✗	✓ Pro Befund	✓ Pro Befund
Regulatorisches Mapping (DORA/NIS2/ISO 27001)	✗	✓ Automatisiert	✓ Manuell
Audit-tauglicher PDF-Bericht	✗	✓ Sofort	✓ 2–4 Wochen Lieferzeit
Kontinuierliche / wiederkehrende Scans	✗	✓ Pro Deploy	✗ Jährliches Engagement
Zeit bis zum ersten Ergebnis	~3 Min.	~30 Min. Vollscan	2–4 Wochen
Preis	€0	Ab €149	€8.000–€25.000
Quellcode-Review (SAST)	✗	✓ Im Growth-Plan	✓ Im Scope
API-Testing (REST/GraphQL)	✗	✓ Automatisiert	✓ Manuell

WordPress Pentest Pakete

Einzel-Scan

€149 einmalig

1 vollständiger Pentest-Scan
KI-priorisierte Befunde mit CVSS 3.1
Proof-of-Exploit für jedes Finding
PDF-Bericht (audit-tauglich)
Regulatorisches Mapping (DORA, NIS2, BSI)

Einzel-Scan kaufen →

Haeufige Fragen zum WordPress Penetrationstest

Reichen regelmaessige WordPress-Updates als Sicherheitsmassnahme aus?

Regelmaessige Updates sind notwendig, aber nicht hinreichend. Updates beheben bekannte Schwachstellen, adressieren aber keine Konfigurationsfehler, schwache Zugangsdaten, unsichere Servereinstellungen oder Zero-Day-Schwachstellen. Viele Sicherheitsvorfaelle entstehen durch Plugins mit langer Update-Verzoegerung, durch Serverkonfigurationsfehler (exponierte wp-config.php, fehlende HTTP-Sicherheitsheader) oder durch bereits kompromittierte Zugangsdaten aus frueheren Breaches.

Ist die WordPress-REST-API eine Sicherheitsluecke und sollte sie deaktiviert werden?

Die REST-API ist ein integraler Bestandteil moderner WordPress-Installationen -- viele Plugins und Block-Editor-Funktionen benoetigen sie. Die Sicherheitsherausforderung liegt in der standardmaessigen Exposition von Benutzerdaten (CVE-2023-5561). Empfehlung: Die API nicht deaktivieren, aber (1) Benutzerenumeration via Plugin (z.B. 'Disable REST API') oder Code-Snippet einschraenken; (2) Nicht oeffentliche API-Endpunkte durch Authentifizierung schuetzen; (3) Rate-Limiting aktivieren.

Welche WordPress-Plugins haben das hoechste Sicherheitsrisiko?

Plugins mit dem hoechsten Risikoprofil sind: (1) Page-Builder (Elementor, WPBakery) -- hohe Code-Komplexitaet, haeufige CVEs; (2) SEO-Plugins (Yoast, Rank Math) -- tiefer WordPress-Integration, grosses Angriffsziel; (3) E-Commerce (WooCommerce, Easy Digital Downloads) -- Zahlungsdaten-Prozessierung; (4) Formular-Plugins (Contact Form 7, Gravity Forms) -- Direktkontakt mit Benutzereingaben; (5) Cache-Plugins (W3 Total Cache) -- CVEs mit Server-seitiger Code-Ausfuehrung in der Vergangenheit. Matproof prueft alle installierten Plugins.

Wie erkenne ich ob meine WordPress-Site bereits kompromittiert wurde?

Indikatoren fuer eine Kompromittierung: unbekannte Admin-Nutzer, modifizierte Core-Dateien (MD5-Checksummen pruefen), unbekannte PHP-Dateien in wp-content/uploads, Weiterleitungen zu fremden Sites (Malware), unerwarteter ausgehender Traffic, Google Search Console-Warnungen ueber Malware oder Hacking. Tools: WPScan, Sucuri SiteCheck, Wordfence. Matproof Sentinel kann regelmaessige Integritaetspruefungen durchfuehren.

Wie schuetze ich wp-config.php vor unberechtigtem Zugriff?

Mehrschichtiger Schutz: (1) wp-config.php eine Verzeichnisebene oberhalb des Webroot verschieben -- WordPress findet sie dort automatisch; (2) .htaccess-Regel: deny from all fuer den direkten Zugriff auf wp-config.php; (3) Datenbankbenutzer nur mit minimal noetigen Rechten (SELECT, INSERT, UPDATE, DELETE -- kein DROP, CREATE, ALTER); (4) WordPress-Sicherheitsschlussel und -salts regelmaessig rotieren (mindestens jaehrlich und nach verdaechtigen Aktivitaeten).

Was muss ich bei WooCommerce und PCI-DSS beachten?

WooCommerce-Betreiber, die Kartenzahlungen verarbeiten, unterliegen PCI-DSS. Wichtige Anforderungen: (1) SAQ-A (Self-Assessment Questionnaire A) fuer den haeufigsten Fall -- Weiterleitung an Payment-Provider ohne Card-Data-Storage; (2) Niemals Kartendaten im eigenen System speichern; (3) SSL/TLS fuer alle Checkout-Seiten; (4) Regelmaessige Schwachstellenscans (PCI DSS Requirement 11.3); (5) Sichere Payment-Gateway-Plugins von PCI-DSS-konformen Anbietern verwenden. Matproof bietet PCI-DSS-ausgerichtete Pentest-Berichte.

Kann ein WordPress-Pentest den laufenden Betrieb stoeren?

Bei sachgemaesser Durchfuehrung minimal. Matproof Sentinel fuehrt nicht-destruktive Tests aus und simuliert Angriffsszenarien, ohne Daten zu veraendern oder zu loeschen. Dennoch empfiehlt sich: Pentest in verkehrsschwachen Zeiten durchfuehren; Staging-Umgebung bevorzugen fuer erste Tests; Datenbankbackup vor dem Test; Hostingdienstleister informieren um IP-Blockierungen des Scanners zu vermeiden.

Wie unterscheidet sich ein WordPress-Pentest fuer eine einfache Website von einem WooCommerce-Shop?

Ein Standard-WordPress-Pentest konzentriert sich auf Core-, Plugin- und Theme-Schwachstellen, Zugangskontrolle und Serverkonfiguration. Ein WooCommerce-Pentest adressiert zusaetzlich: Checkout-Prozess-Manipulation (Preisaenderung, Quantitaetsueberschreitung), Zahlungsgateway-Integration (Signaturvalidierung, Webhook-Security), Kundendaten-Handling (DSGVO, PCI-DSS-Anforderungen), Order-Management-Autorisierung (IDOR bei Bestelldaten), und Coupon/Rabatt-Code-Logik.

Vertiefen — verwandte Artikel aus unserem Blog

WordPress Penetrationstest jetzt starten

Identifizieren Sie in wenigen Minuten, ob Ihre WordPress-Installation durch ungepatchte Plugin-Schwachstellen, XML-RPC-Missbrauch oder fehlerhafte Konfiguration gefaehrdet ist. Audit-bereiter Bericht auf Deutsch.