Automatisierte Angriffe

Veraltete Systeme: Hacker attackieren Millionen WordPress-Seiten

Wordpress
Bildquelle: Tada Images /Shutterstock.com

Laut Censys sind 86 Prozent aller WordPress-Seiten veraltet. Angreifer nutzen automatisierte Werkzeuge, um diese Sicherheitslücken gezielt auszunutzen.

Die IT-Sicherheits-Suchmaschine Censys hat im Rahmen einer weltweiten Untersuchung des sichtbaren Internets festgestellt, dass die Mehrheit der WordPress-Webseiten nicht auf dem aktuellen Softwarestand ist. Von den über 59 Millionen erfassten WordPress-Seiten nutzen lediglich 14 Prozent die neueste Version 7.0. Bezieht man die im März 2026 eingestellte Version 6.9 mit ein, laufen rund 31 Prozent auf einem aktiv gepflegten Stand.

Anzeige

Ein großes Sicherheitsrisiko stellt die zugrundeliegende Programmiersprache PHP dar. Mehr als 70 Prozent der analysierten Webseiten verwenden veraltete PHP-Versionen. Über 20 Prozent der Systeme setzen weiterhin auf PHP 7.4, dessen Support bereits im November 2022 endete. Die zweithäufigste Version ist das seit 2018 nicht mehr unterstützte PHP 5.6. Die aktuell unterstützte Version PHP 8.4 wird hingegen nur von vier Prozent der untersuchten Webseiten verwendet. Auch bei Erweiterungen wie dem SEO-Plugin Yoast nutzen nur 22 Prozent der Administratoren die neueste Version.

Automatisierte Angriffe auf WordPress und Defacement-Kampagnen

Cyberkriminelle nutzen diese mangelnde Aktualisierung vermehrt für automatisierte Angriffe aus. Censys dokumentierte im Juni 2026 eine Defacement-Kampagne, bei der die Inhalte von mindestens 900 betroffenen Webseiten durch die Nachricht Hacked By MR.GREEN ersetzt wurden. Sensoren des Sicherheitsdienstes GreyNoise identifizierten zudem 70 eindeutige IP-Adressen, die das Netz gezielt nach veralteten xmlrpc.php-Schnittstellen absuchen. Diese Endpunkte dienen der Fernverwaltung von WordPress und werden häufig für Brute-Force-Angriffe missbraucht. Zusätzliche Sicherheitsrisiken entstehen durch offene SSH-Ports ohne IP-Beschränkungen sowie eine aktivierte Passwort-Authentifizierung auf den Servern.

Kompatibilitätsprobleme verzögern notwendige Updates

Die Ursache für die verzögerten Aktualisierungen liegt oft in der Architektur von Content-Management-Systemen. Updates der PHP-Infrastruktur führen häufig zu Fehlfunktionen oder Inkompatibilitäten mit älteren Plugins, weshalb viele Administratoren die Aktualisierungen aufschieben. Censys betont jedoch die Dringlichkeit regelmäßiger Wartung und erklärte:

Anzeige

„PHP-Upgrades sind keine optionalen Verbesserungen, sondern kritische Sicherheits-Patches.“

Censys

Das Unternehmen empfiehlt, automatische Updates von WordPress zu beschränken, da diese die Funktionalität beeinträchtigen können. Stattdessen sollten Administratoren etablierte Hauptversionen nach Tests manuell einspielen und die PHP-Versionen in Zyklen von ein bis drei Monaten überprüfen. Die Veröffentlichung der nächsten Version PHP 8.6 ist für November 2026 geplant.

(red)

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.