Das WPScan Tutorial für WordPress

WPScan Beitragsgrafik
von Johanna
21. Februar 2025

So findest du die häufigsten Schwachstellen von WordPress auf deiner Webseite

WPScan ist ein Tool, das – wie der Name bereits erwähnt – deine Webseite auf Sicherheitslücken scannt. Wie du sicher weißt, bieten Sicherheitslücken bei WordPress riesige Angriffsflächen für Hacker auf deine Webseite zuzugreifen und schädliche Softwares zu hinterlassen. Mit WPScan kannst du solchen Fällen gezielt vorbeugen und frühzeitig herausfinden, wo die Sicherheit deiner Webseite gefährdet ist.

 

Und wir erklären dir jetzt hier, wie genau du WPScan dafür verwenden kannst.

Inhaltsverzeichnis

Was ist WPScan?

Was ist ... Bloggrafik

WPScan ist ein spezialisiertes Sicherheits-Tool zur Überprüfung von WordPress-Webseiten auf Schwachstellen. Es hilft WordPress Nutzern und Webseitenbetreibern dabei, potenzielle Sicherheitslücken in der eigenen WordPress-Installation zu erkennen, bevor sie von Angreifern ausgenutzt werden. WPScan greift dazu auf eine umfangreiche Datenbank bekannter Schwachstellen zurück, die regelmäßig aktualisiert wird.

Funktionen von WPScan

WP Scan

Das Tool wird häufig von Entwicklern und Webseiten Administratoren eingesetzt, um eine sichere WordPress-Umgebung zu schaffen bzw. zu gewährleisten.

WPScan dient dazu, automatisierte Sicherheitsprüfungen auf deiner Webseite durchzuführen. Diese Inhalte werden standardmäßig überprüft:

 

  • Version-Scanning – WPScan erkennt die verwendete WordPress-Version und prüft sie auf bekannte Malware oder ähnliche Schädlinge.
  • Plugin- und Theme-Sicherheitsprüfung – Überprüft Plugins und Themes auf Schwachstellen.
  • Benutzer-Aufzählungen – Listet potenzielle, öffentliche einsehbare Benutzerkonten auf, die für Angriffe genutzt werden könnten.
  • ‼️ Brute-Force-Tests (optional) – bitte nur auf der eigenen Seite und mit Zustimmung testen: Testet schwache Passwörter durch gezieltes Ausprobieren und imitiert quasi einen Brute-Force-Angriff. Daher hier bitte vorsichtig sein.
  • Sicherheitskonfigurationen – WPScan überprüft, ob kritische Dateien und Verzeichnisse gut geschützt sind.

Warum lohnt es sich, WPScan zu nutzen?

WPScan ermittelt den Status deiner gesamten Webseite und sucht gezielt nach Fehlern, fehlenden Updates, veralteten Versionen und so weiter. Mit einem solchen Scan erhältst du deshalb eine vollständige und umfangreiche Analyse deiner Webseite in nur wenigen Momenten. Hier kannst du außerdem direkt auf einen Blick sehen, wo du deine Webseite optimieren sollte. Die Verwendung von WPScan lohnt sich deshalb:

 

  • Automatisierte Schwachstellenanalyse spart dir eine Menge Zeit und Ressourcen.
  • Identifikation bekannter Sicherheitsprobleme , bevor Hacker sie ausnutzen können.
  • Einfache Bedienung – funktioniert direkt über die Kommandozeile und auch ganz einfach als Plugin.
  • Regelmäßige Updates durch die WPScan Vulnerability Database.

 

Eine regelmäßige Überprüfung deines WordPress bzw. deiner gesamten Webseite trägt erheblich zur Sicherheit deiner Seite bei. Daraus resultierend helfen dir die Scans dabei, Maßnahmen zur Optimierung und Verbesserung erst einmal zu finden und durchzuführen.

TIPP

Mehr Informationen rund um das Thema Sicherheit bei WordPress kannst du hier nachlesen:

 

WordPress absichern wie Fort Knox und Sicherheitslücken schließen.

 

Das kleine 1×1 für mehr Sicherheit bei WordPress.

Die Installation von WPScan

installieren bei WordPress

WPScan kannst du sowohl über die Kommandozeile verwenden, als auch als Plugin bei WordPress. Die einfachste Version ist es zwar, das WPScan Security Banner Plugin zu verwenden, wir zeigen dir aber auch, wie du WPScan über die Shell installierst.

WPScan für macOS

WP Scan Installation
Die Installation von WPScan über die Shell von macOS sieht so aus:

Wenn du WPScan über macOS installieren möchtest, startest du mit dem folgenden Code in deinem Terminal, um die letzte stabile Version zu installieren: 

  brew install wpscanteam/tap/wpscan

Wenn du die aktuellste Code-Version von WPScan installieren möchtest, nimmst du den folgenden Code-Befehl: 

  brew install wpscanteam/tap/wpscan --HEAD

Beides kannst du problemlos verwenden, der Unterschied liegt hier lediglich in einzelnen Code-Bestandteilen. 

Nach der Installation kannst du überprüfen, ob WPScan erfolgreich installiert wurde. Wenn WPScan richtig installiert wurde, erkennst du es an der aktuell angezeigten Version. Nutze dazu den Befehl: 

  wpscan --version

Für die Installation eines neues WP Scan Updates nutze: 

  gem update wpscan

WPScan für Windows installieren

WPScan wurde ursprünglich für Linux und macOS entwickelt und kann daher nicht direkt unter Windows installiert werden. Es gibt jedoch eine besonders praktische Methode, um WPScan auf Windows zu nutzen – und zwar WPScan mit Docker auf Windows zu installieren.

Wenn du Docker schon installiert hast, kannst du WPScan auch in einem Docker-Container ausführen.

 

Wenn du Docker noch nicht installiert hast, startest du so: 

  docker --version
  • WPSCan kannst du nun über den Docker Container starten. Gebe in die Powershell ein: 
  docker run -it wpscanteam/wpscan --help
  • Wenn du direkt einen Scan durchführen möchtest, verwende folgenden Code: 
  docker run -it wpscanteam/wpscan --url https://deine-webseite.de --api-token dein_api_schlüssel

Et voilà – schon läuft dein WPScan über Docker auf Windows.

WPScan als Plugin installieren

Die einfachste Art und Weise WPScan für dein WordPress zu installieren, ist, dieses als Plugin zu verwenden und über einen API Key zu verwenden. Dazu gehst du wie folgt vor:

TIPP

Für die Verwendung des Plugins auf deiner Webseite benötigst du einen API-Key, den du bei WPScan auf der Webseite erhältst. Trage dich hierzu unter „Get a quote“ ein und du erhältst deinen API-KEy per E-Mail.

  • Begib dich bei in dein WordPress Dashboard in den Bereich Plugins > Neues Plugin hinzufügen .
  • Suche nach WPScan Security Scanner und installiere es wie gewohnt.
  • Nach dem Aktivieren findest du WPScan in den Einstellungen in der linken Menüleiste deines WordPress Dashboards.
  • Trage deinen API-Key ein, den du auf der Webseite von WPScan angefordert hast (s. TIPP oben).
  • Deine Einrichtung ist abgeschlossen. Teste nun den Sicherheits-Scan.
Aufgepasst

Das WP Scan – WordPress Security Scanner Plugin bei WordPress ist mittlerweile nicht mehr kostenfrei nutzbar. Du musst Kunde von WP Scan sein, um das Plugin zu verwenden.

„This plugin is no longer actively supported for non-enterprise customers. We recommend using Jetpack Protect – a free security plugin for WordPress that leverages the extensive database of WPScan.“

WordPress Sicherheit über deinen Hoster kontrollieren

Du kannst die Sicherheit deiner WordPress Installation tatsächlich auch über das Kundencenter deines WordPress Hosters nachvollziehen.

 

  • Gehe dazu in das Kundencenter deines Hosters und wähle eine Domain aus.
  • In deiner Abo Verwaltung solltest du eine Übersicht sehen. Klicke hier auf den Punkt Sicherheit .
WordPress Sicherheit über Plesk nachvollziehen

Du gelangst hierüber zu einer weiteren Übersicht, in der dir alle Sicherheitsrisiken genau aufgeschlüsselt werden.

 

Diese sind von kritisch bis niedrig eingestuft und können von dir direkt aktualisiert werden.

Um deinen Sicherheitsstatus zu verändern gehst du so vor:

 

  • Wähle das Tool aus, dass du updaten möchtest.
  • Scrolle ganz nach unten und klicke auf Aktualisieren .
  • Dein Update wird nun durchgeführt und dein Sicherheitsrisiko sollte sich verbessert haben.
Sicherheitsstatus mit Plesk erfahren
Ein Beispiel dafür, wie der Sicherheitsstatus deines WordPress Cores, Plugins und Themes sein können.
Wie schnell lädt Dein WordPress?
  • PageSpeed Score
  • Core Web Vitals
  • Parameter mit Erläuterung
! Kostenloser Speedtest – /speedtest/

Nach dem Absenden erhältst du das Ergebnis direkt per E-Mail.

Mit dem Absenden dieses Formulars stimmst du unseren Datenschutzbestimmungen  zu.

Manuelle Scans mit WPScan über die Shell durchführen

Wenn du WPScan vielleicht schon auf deinem Computer oder Server installiert hast, kannst du das Tool auch direkt über die Kommandozeile / Terminal für deine WordPress Seite verwenden.

Wechsle dazu in dein Terminal bzw. die Kommandozeile (je nach Betriebssystem deines Computers). Folgende Scans kannst du jetzt durchführen:

  • Basis Scan – Der einfachste WPScan-Befehl, um eine WordPress-Seite auf Sicherheitslücken zu überprüfen.
  wpscan --url https://deine-webseite.de

Für einen noch ausführlicheren Bericht und sofern du einen WPScan API-Key besitzt, kannst du auch den folgenden Befehl verwenden. Das hat den Vorteil, dass du noch mehr bekannte Schwachstellen angezeigt bekommst: 

  wpscan --url https://deine-webseite.de --api-token dein_api_schlüssel

Über den Scan erfährst du: 

 

  • deine aktuelle WordPress Version
  • Basis-Sicherheitslücken innerhalb von deinem WordPress
  • deine sichtbaren Benutzerkonten
  • offene Verzeichnisse und Dateien, die unsicher sein könnten
  • Plugins & Themes auf Sicherheitslücken überprüfen  
    • Plugins  – um eine Liste installierter Plugins zu erhalten und sie auf bekannte Sicherheitslücken zu prüfen, verwende:
  wpscan --url https://deine-seite.de --enumerate vp --api-token dein_api_schlüssel

🔎 Damit überprüfst du

 

  • alle installierten Plugins auf Sicherheitsprobleme.
  • Falls ein Plugin bekannte Sicherheitsprobleme hat, zeigt dir WPScan die möglichen „Exploits“ an.
  • Der Code-Teil --enumerate vp → zeigt dir an, dass hierbei alle Plugins auf bekannte Sicherheitsprobleme gescannt werden.

 

    • Themes 
  wpscan --url https://deine-seite.de --enumerate vt --api-token dein_api_schlüssel

🔎 Damit überprüfst du

 

  • alle installierten Themes auf aktive Sicherheitsprobleme.
  • Auch hier werden die bekannten Schwachstellen innerhalb deines Themes analysiert.
  • Der Code-Teil --enumerate vt zeigt dir an, dass hierbei die Themes auf Sicherheitslücken gescannt werden.
  • Benutzer auflisten

Ein häufiger Angriffsvektor sind schwache oder erratbare Admin-Benutzernamen . WPScan kann herausfinden, welche Benutzer existieren und welche öffentlich einsehbar sind. Nutze dazu diesen Code:

  wpscan --url https://deine-seite.de --enumerate u --api-token dein_api_schlüssel

Der Scan …

 

  • Listet die vorhandenen Benutzer auf, z. B. admin , redakteur, support.
  •  Deine Benutzernamen können recht einfach für Brute-Force-Angriffe missbraucht werden.
TIPP

Falls WPScan Benutzernamen findet, solltest du mindestens den Admin-Benutzer umbenennen oder den Zugriff auf /wp-json/wp/v2/users blockieren.

 

Mehr zum Thema WordPress Admin Login und warum du deinen Admin Zugang generell umbenennen solltest, kannst du hier nachlesen: 

 

👉🏻 WordPress Admin Login

  • Passwort-Sicherheit testen (Brute-Force-Test, nur mit Erlaubnis!)

‼️ Wichtig: Führe diesen Test bitte nur auf deiner eigenen Webseite mit Genehmigung durch!

 

Falls du testen möchtest, ob dein Admin-Passwort unsicher ist, kannst du WPScan bzw. diesen Code anwenden: 

  wpscan --url https://deine-seite.de --passwords passwortliste.txt --api-token dein_api_schlüssel

Damit testet WPScan konkret …

 

  • eine Liste von schwachen Passwörtern innerhalb deiner Webseite.
  • Der Bericht zeigt dir schließlich an, ob das Admin- oder andere Benutzerkonten ein schwaches Passwort hat.

 

Du kannst aber auch gezielt einen spezifischen Benutzernamen deiner testen. Nutze dazu: 

  wpscan --url https://deine-seite.de --passwords passwortliste.txt --user admin --api-token dein_api_schlüssel
TIPP

Setze immer starke Passwörter und aktiviere eine Login-Sperre (z. B. mit dem Plugin Limit Login Attempts Reloaded ).

  • Sicherheitskonfiguration prüfen

Mit WPScan kannst du auch analysieren, ob dir allgemein wichtige Sicherheitsmaßnahmen fehlen, z. B.:

 

  • ein fehlender Security-Header.
  • ob du eine unsichere wp-config.php hast.
  • Oder ob du öffentliche Backup-Dateien besitzt.

 

Ein einfacher Scan dafür ist: 

  wpscan --url https://deine-seite.de --enumerate config_backups,db_exports

Falls WPScan Schwachstellen meldet, kannst du z. B. den Zugriff auf sensible Dateien per .htaccess sperren.

Herausforderungen und Tipps für WPScan

Obwohl WPScan ein sehr leistungsstarkes Tool zur Sicherheitsüberprüfung von WordPress ist, gibt es durchaus Herausforderungen, die du für den richtigen Umgang kennen solltest. 

Herausforderungen & Tipps

1. Begrenzte API-Anfragen in der kostenlosen Version

 

Das Problem:
Ohne einen API-Key sind viele Schwachstellen nicht sichtbar. Die kostenlose Version von WPScan erlaubt nur 25 API-Anfragen pro Tag. Wenn du mehrere Webseites scannst oder tiefgehende Analysen benötigst, reicht das Limit oft nicht aus.

Lösung

 

  • Hole dir einen kostenlosen API-Key von WPScan.com .
  • Falls du regelmäßig viele Scans durchführst, erwäge ein Premium-Upgrade mit unbegrenzten Anfragen.
  • Alternativ kannst du WPScan lokal betreiben und Schwachstellen manuell recherchieren. 
  export WPSCAN_API_KEY="dein_api_schlüssel"
INFO

Wie bereits oben erwähnt, informiert WPScan auf WordPress darüber, dass das Plugin nicht mehr kostenfrei zu verwenden ist. Beachte daher die Preise und möglichen Umstellungen, die das Plugin betreffen.

2. Falsch-positive oder unvollständige Ergebnisse

 

Problem:

WPScan erkennt nur bekannte Schwachstellen, die in der WPScan Vulnerability Database erfasst sind. Falls ein Plugin oder Theme eine neue Sicherheitslücke hat, aber noch nicht gemeldet wurde, zeigt WPScan dir das nicht an. Manchmal meldet WPScan allerdings auch veraltete oder nicht mehr existierende Schwachstellen.

Lösung

 

  • Kombiniere WPScan mit anderen Sicherheits-Tools, z. B. Wordfence.
  • Überprüfe die gemeldeten Schwachstellen manuell: Wenn WPScan dir eine Sicherheitslücke meldet, überprüfe sie direkt in der WPScan-Datenbank oder auf Webseiten wie CVE Details .
  • Falls du eigene Plugins nutzt, die nicht in der WPScan-Datenbank enthalten sind, kannst du manuelle Code-Reviews durchführen.

3. WPScan kann nicht alle Sicherheitslücken erkennen

 

Problem:

Dieses Problem knüpft an das Obere an. Denn WPScan ist kein Malware-Scanner und erkennt keine gehackten Dateien oder Backdoors. Es kann daher keine Zero-Day-Schwachstellen (neu entdeckte Exploits) identifizieren. WPScan scannt ebenfalls keine Datenbank-Einträge oder Benutzerrechte.

Lösung

 

  • Ergänze WPScan mit Malware-Scannern wie:

    • Wordfence (für Echtzeitschutz)
    • MalCare oder iThemes Security
    • ClamAV oder Rkhunter für Server-Scans

  • Falls du verdächtige Aktivitäten bemerkst, führe einen manuellen Code-Check durch. 

  grep -r 'eval(base64_decode' /var/www/html/

4. Zugriffseinschränkungen und Firewall-Blockaden

 

Problem:

Manche Webhoster oder Firewalls blockieren WPScan-Scans, um Brute-Force-Tests und automatisierte Anfragen zu verhindern. Cloudflare oder andere Web Application Firewalls (WAFs) können WPScan-Anfragen blockieren. Falls WPScan von deinem Server blockiert wird, siehst du Fehlermeldungen wie 403 Forbidden oder Blocked by Cloudflare .

Lösung

 

  • Falls du Zugriff auf den Server hast, kannst du WPScan von einer erlaubten IP-Adresse ausführen.
  • Falls Cloudflare aktiv ist, deaktiviere kurzzeitig die Bot-Protection oder füge deine IP zu einer Whitelist hinzu.
  • Falls du WPScan auf deiner eigenen Seite nutzt, kannst du in .htaccess temporär die Sperre deaktivieren: 
  <ifmodule mod_security.c>
SecFilterEngine Off
SecFilterScanPOST Off  </ifmodule>

5. Benutzer-Aufzählung trotz Schutzmaßnahmen nicht möglich

 

Problem:

Falls --enumerate u nicht funktioniert, könnte die Seite User-Enumeration blockieren. Manche Webseiten schützen wp-json/wp/v2/users oder /?author=1 gegen Scans.

Lösung

 

  • Versuche alternative Methoden, z. B.: 
  wpscan --url https://deine-seite.de --enumerate u --stealthy
  • Falls du eine eigene Seite testest, deaktiviere Sicherheits-Plugins wie Wordfence oder iThemes Security temporär.
  • Falls du Benutzer herausfinden willst, probiere Tools wie cewl für das Sammeln von Benutzernamen aus öffentlich zugänglichen Seiten.

6. WPScan kann keinen vollständigen Server-Scan durchführen

 

Problem:

WPScan überprüft nur die WordPress-Installation, aber keine Server-Konfiguration oder andere Anwendungen. Es kann keine Datenbank-Sicherheitslücken oder Schwachstellen in Apache/Nginx erkennen.

Lösung

 

  • Nutze zusätzlich Server-Sicherheits-Tools wie:
    • Nikto (Scannt Webserver auf Schwachstellen) 
  nikto -h https://deine-seite.de
  • Lynis (Überprüft Linux-Sicherheitseinstellungen) 
  lynis audit system
  • OpenVAS (Netzwerkscanner für größere Sicherheitsanalysen)

7. Rechtliche Einschränkungen – WPScan kann illegal sein

 

Problem:

  • Das Scannen fremder Webseiten ohne Erlaubnis kann illegal sein!
  • Manche Webhoster verbieten automatisierte Sicherheitsscans, wenn sie zu hoher Serverlast führen.
  • Falls du WPScan ohne Zustimmung auf fremden Webseiten nutzt, kann dies als Hacking-Versuch (unerlaubtes Eindringen, §202c StGB in Deutschland) gewertet werden.

Lösung

 

  • Nur eigene Webseiten oder mit Erlaubnis scannen!
  • Falls du eine Sicherheitsprüfung für einen Kunden machst, hole dir bitte unbedingt die schriftliche Zustimmung ein!
  • Falls WPScan von einem Server blockiert wird, setze dich mit deinem WordPress Hoster in Verbindung.

8. Performance-Probleme bei großen Seiten

 

Problem:

WPScan kann bei großen WordPress-Seiten mit vielen Plugins/Themes sehr lange laufen. Scans können viel Bandbreite und Server-Ressourcen verbrauchen.

Lösung

 

  • Nutze den „stealthy“-Modus, um den Scan weniger auffällig zu machen. 
  wpscan --url https://deine-seite.de --stealthy
  • Scans nachts oder außerhalb der Stoßzeiten ausführen.
  • Falls du viele Plugins hast, kannst du den Scan auf bestimmte Plugins eingrenzen: 
  wpscan --url https://deine-seite.de --enumerate vp --plugins-list pluginliste.txt

WPScan checkt die Sicherheit deiner Webseite

WPScan scannt deine Webseite auf bekannte Sicherheitslücken deiner WordPress Installation. Über die Kommandozeile oder direkt als Plugin kannst du deine Seite mit WPScan regelmäßig prüfen. 

 

Das Tolle an WPSCan ist die unterschiedliche Art der Verwendung, je nachdem, was du lieber magst. Ob selbstbestimmter Scan über die Kommandozeile oder als Basic Scan über das Plugin, das Ergebnis bleibt dasselbe. Die Sicherheitsüberprüfung mit WPScan kann dabei wichtige Einblicke in die Optimierungspotenziale deiner Webseite geben. Deshalb ist hier Regelmäßigkeit das A und O.

 

💡 Reminder

Denke daran regelmäßige Backups und Updates deiner gesamten Seite zu machen. Nur so beugst du langfristig Problemen vor und schützt dein Unternehmen vor Verlusten.

 

Werde Teil der Lösung und erzähle uns in den Kommentaren, welche Erfahrungen du mit WPSCan gemacht hast. 🙂

Johanna
Johanna
Johanna ist Texter und Content Marketing Managerin. Sie hat eine Vorliebe für Social Media und setzt auf klare Kommunikations-Strategien. Bei HostPress kümmert sie sich um Newsletter- und Bloginhalte, um zielgruppengerechte Inhalte und die Markenbekanntheit zu fördern. Durch ihre Arbeit im Webhosting Bereich liegt ihre Stärke darin, komplexe Themen verständlich und authentisch auf den Punkt zu bringen.
Mehr aktuelle Beiträge rund um WordPress & Co.:
Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert