Zum Inhalt springen
Elbnetz WordPress Agentur
Projekt anfragen
DE

WordPress-Tipps

Anhangseiten in WordPress

Anhangseiten in WordPress: Ein Relikt, das mehr Probleme macht als es löst

Thorsten Faltings
Sicherheit, Funktion
Medien

WordPress erzeugt Inhalte, die Sie nie bewusst anlegen – und genau diese sorgen später oft für Probleme. Ein typisches Beispiel sind Anhangseiten: Kaum jemand nutzt sie aktiv, viele wissen nicht einmal, dass es sie gibt, und trotzdem existieren sie mit eigener URL, eigener Logik und im Zweifel sogar im Google-Index. Auffallen tun sie meist erst dann, wenn plötzlich Spam-Kommentare auftauchen – auf Seiten, die Sie nie erstellt haben. Genau deshalb lohnt sich ein genauer Blick.

Was sind Anhangseiten überhaupt?

In WordPress ist jedes hochgeladene Bild mehr als nur eine Datei. Es wird automatisch als eigener Inhalt gespeichert, technisch als Post vom Typ attachment. Das hat zur Folge, dass für jedes Bild eine eigene Seite existiert, inklusive URL und Darstellung im Frontend. Diese Seiten entstehen vollständig automatisch im Hintergrund, ohne dass Sie aktiv eingreifen oder eine Entscheidung treffen müssen.

Typische Beispiele sehen so aus:
/mein-bild/
/?attachment_id=123

Diese URLs funktionieren unabhängig davon, ob Sie sie jemals irgendwo verlinkt haben. Genau das macht sie so unscheinbar – und gleichzeitig so problematisch.

Warum das heute kaum noch jemand braucht

Die ursprüngliche Idee hinter Anhangseiten stammt aus einer Zeit, in der WordPress vor allem als klassisches Blogsystem genutzt wurde. Bilder sollten eine eigene Detailseite haben, auf der sie beschrieben, kommentiert und eingeordnet werden konnten. In modernen Projekten spielt dieses Konzept jedoch kaum noch eine Rolle, weil Inhalte ganz anders aufgebaut sind und Medien in der Regel direkt in Seiten oder Beiträge integriert werden.

In der Praxis bedeutet das: Die meisten Anhangseiten bestehen lediglich aus einem einzelnen Bild ohne Kontext, ohne zusätzlichen Inhalt und ohne echten Mehrwert für Besucher. Gleichzeitig erzeugen sie zusätzliche URLs, die im Zweifel von Suchmaschinen erfasst werden und die Struktur der Website unnötig aufblasen. Was ursprünglich als sinnvolle Funktion gedacht war, wird damit schnell zu Ballast.

Das eigentliche Problem: Sie verschwinden nicht

Viele gehen davon aus, dass Anhangseiten erledigt sind, sobald sie „deaktiviert“ wurden, etwa über ein SEO-Plugin. Tatsächlich handelt es sich dabei jedoch meist nur um eine optische oder strukturelle Maßnahme. Die Seiten werden nicht mehr verlinkt oder automatisch weitergeleitet, aber sie existieren weiterhin im System.

Die Inhalte bleiben in der Datenbank erhalten, die URLs sind nach wie vor erreichbar, und WordPress behandelt diese Attachments weiterhin wie reguläre Inhalte. Das führt dazu, dass diese Seiten zwar im Alltag unsichtbar sind, technisch aber jederzeit aufgerufen werden können – auch von Bots.

Warum genau dort plötzlich Spam auftaucht

An diesem Punkt wird klar, warum Anhangseiten so häufig im Zusammenhang mit Spam-Kommentaren auftauchen. Sie sind für echte Nutzer praktisch unsichtbar, werden aber von automatisierten Systemen problemlos gefunden, da ihre Struktur leicht vorhersehbar ist. Gleichzeitig sind Kommentare in vielen Installationen nicht konsequent eingeschränkt, sodass diese Seiten als vollwertige Zielpunkte für Kommentarspam dienen.

Das Ergebnis sind genau die Situationen, die viele kennen: plötzlich auftauchende Kommentare mit generischen Texten oder fragwürdigen Links, die an Inhalte gebunden sind, von denen man nicht einmal wusste, dass sie existieren. Das wirkt zunächst wie ein Zufall, ist aber in Wirklichkeit eine direkte Folge der WordPress-Logik.

Warum „Deaktivieren“ das Problem nicht löst

Viele Plugins bieten Optionen wie „Anhangseiten deaktivieren“ oder „weiterleiten“. Diese Einstellungen sind sinnvoll, greifen aber zu kurz, wenn es darum geht, das Problem vollständig zu lösen. Ein Redirect entfernt keine Inhalte, sondern verschiebt lediglich die Sichtbarkeit. Der Post Type attachment bleibt bestehen, und auch die Kommentarlogik wird dadurch nicht automatisch angepasst.

Das bedeutet konkret: Die Seiten sind weniger sichtbar, aber weiterhin vorhanden – und damit auch weiterhin angreifbar. Wer hier nur auf Plugin-Einstellungen setzt, bekämpft also eher die Symptome als die Ursache.

Anhangseiten wirklich loswerden – was tatsächlich funktioniert

Wenn man an diesem Punkt angekommen ist, stellt sich zwangsläufig die Frage: Wie wird man Anhangseiten eigentlich richtig los? Und genau hier gibt es ein häufiges Missverständnis.

Eine Anhangseite lässt sich nicht wie ein normaler Beitrag einfach löschen, ohne Nebenwirkungen zu erzeugen. Sie ist immer direkt mit einem Medieneintrag verknüpft. Wenn Sie also die Anhangseite entfernen, entfernen Sie gleichzeitig auch das Bild selbst. In den meisten Projekten ist das keine Option, weil die Dateien an vielen Stellen eingebunden sind.

Der richtige Ansatz ist deshalb ein anderer: Sie lassen die Medien bestehen, verhindern aber, dass WordPress daraus eigenständige öffentliche Seiten macht.

In der Praxis gibt es dafür zwei sinnvolle Wege. Der erste ist eine Weiterleitung auf die eigentliche Mediendatei. Damit landen Besucher und Suchmaschinen direkt beim Bild und nicht auf einer inhaltsleeren Zwischenseite.

add_action('template_redirect', function () {
    if (is_attachment()) {
        $url = wp_get_attachment_url(get_queried_object_id());

        if ($url) {
            wp_redirect($url, 301);
            exit;
        }

        global $wp_query;
        $wp_query->set_404();
        status_header(404);
        nocache_headers();
    }
});

Der Code prüft, ob gerade eine Anhangseite aufgerufen wird. Ist das der Fall, wird automatisch auf die eigentliche Datei weitergeleitet. Falls keine gültige URL ermittelt werden kann, wird vorsichtshalber eine 404-Antwort ausgegeben.

Die zweite Variante ist konsequenter: Sie behandeln Anhangseiten im Frontend grundsätzlich als nicht vorhanden.

add_action('template_redirect', function () {
    if (is_attachment()) {
        global $wp_query;
        $wp_query->set_404();
        status_header(404);
        nocache_headers();
        include get_query_template('404');
        exit;
    }
});

Hier wird jede Anhangseite direkt auf eine 404 gesetzt. Das ist oft die sauberste Lösung, weil damit klar definiert ist: Diese URLs sollen öffentlich keine Rolle spielen.

Den Code können Sie in die functions.php Ihres Child-Themes einfügen. Dauerhaft robuster ist ein kleines MU-Plugin, damit die Logik unabhängig vom Theme bestehen bleibt.

Kommentarspam auf Anhangseiten gezielt unterbinden

Wenn Sie Anhangseiten im Frontend deaktivieren oder auf eine andere URL weiterleiten, ist damit nur die öffentliche Darstellung gelöst. Technisch bleiben Attachments in WordPress weiterhin bestehen, denn jedes hochgeladene Medium ist ein eigener Inhaltstyp. Genau deshalb lohnt es sich, zusätzlich die Kommentarfunktion gezielt für Anhangseiten zu schließen, statt gleich das komplette Kommentarsystem der Website umzubauen.

Dafür reicht eine kleine Anpassung im laufenden WordPress-Code. Sie sorgt dafür, dass Kommentare und Pingbacks auf dem Post Type attachment grundsätzlich nicht mehr geöffnet werden:

add_filter('comments_open', function ($open, $post_id) {
    if (get_post_type($post_id) === 'attachment') {
        return false;
    }
    return $open;
}, 10, 2);

add_filter('pings_open', function ($open, $post_id) {
    if (get_post_type($post_id) === 'attachment') {
        return false;
    }
    return $open;
}, 10, 2);

Diesen Code fügen Sie in die functions.php Ihres Child-Themes ein oder, noch sauberer, in ein kleines Plugin. Er greift bei jedem Aufruf der Kommentarfunktion und stellt sicher, dass neue Kommentare auf Anhangseiten nicht mehr zugelassen werden. Beiträge oder andere Inhaltstypen bleiben davon unberührt.

Davon zu trennen ist die Bereinigung bereits bestehender Einstellungen. Wenn Anhangseiten in Ihrer Datenbank schon früher mit offenem Kommentarstatus gespeichert wurden, bleibt dieser Status zunächst erhalten. In diesem Fall lohnt sich eine einmalige Bereinigung direkt in der Datenbank:

UPDATE wp_posts
SET comment_status = 'closed', ping_status = 'closed'
WHERE post_type = 'attachment';

Diese SQL-Abfrage gehört nicht in die functions.php, sondern wird einmalig direkt in der Datenbank ausgeführt, zum Beispiel über phpMyAdmin, Adminer oder WP-CLI. Sie sorgt dafür, dass vorhandene Anhangseiten nachträglich auf „Kommentare geschlossen“ gesetzt werden. Neue Kommentare verhindert sie nicht selbstständig dauerhaft – dafür ist der PHP-Code oben zuständig.

Zusammengenommen ergibt sich daraus eine saubere Lösung: Der PHP-Code verhindert neue Kommentare auf Anhangseiten, und die SQL-Abfrage räumt alte offene Einstellungen auf. Erst beides zusammen schließt die Lücke wirklich.

Fazit

Anhangseiten sind kein Fehler, sondern ein Überbleibsel aus der frühen WordPress-Zeit. In modernen Websites erfüllen sie jedoch in den meisten Fällen keinen echten Zweck, erzeugen zusätzliche Komplexität und führen nicht selten zu genau den Problemen, die man eigentlich vermeiden möchte.

Wer sich die Zeit nimmt, diese Strukturen einmal sauber zu bereinigen, schafft nicht nur Ordnung im System, sondern reduziert auch Risiken wie unnötige Indexierung oder Kommentarspam. Am Ende bleibt eine schlankere, verständlichere und deutlich robustere Website.

Medien
Thorsten Faltingshttps://elbnetz.com
Thorsten Faltings ist Geschäftsführer der Elbnetz GmbH in Hamburg. Seit 2011 begleitet er Unternehmen bei der Konzeption, Umsetzung und Weiterentwicklung von WordPress-Websites. Der Schwerpunkt seiner Arbeit liegt auf nachhaltigen Website-Strukturen, technischer Qualität und Inhalten, die langfristig funktionieren. Für alles Weitere: LinkedIn.

Wir freuen uns über Ihren Kommentar!

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Bitte geben Sie eine gültige E-Mail-Adresse ein.
Sie müssen den Bedingungen zustimmen, um fortzufahren.

Elbnetz GmbH 52 Bewertungen auf ProvenExpert.com