WordPress „Disallowed MIME type“ – SVG/WebP sicher erlauben

Du kennst das bestimmt: Du willst deiner WordPress-Website ein bisschen mehr Pepp verleihen, vielleicht mit einem schicken SVG-Logo oder ultraschnellen WebP-Bildern. Doch dann – zack! – knallt dir WordPress die Tür vor der Nase zu: „Sorry, this file type is not permitted for security reasons.“ Oder auf Deutsch: „Nicht erlaubter MIME-Typ“. Und du denkst dir: „Warum, WordPress, warum?“

Genau darum geht’s heute: Wie du SVG und WebP sicher in WordPress erlaubst, warum das überhaupt ein Thema ist, was du dabei beachten musst – und wie du das Ganze so machst, dass deine Website nicht zur Virenschleuder mutiert. Also, schnapp dir einen Kaffee (oder Matcha, wir sind ja kreativ), lehn dich zurück und lass uns tief eintauchen in die Welt der MIME-Typen, Bildformate und WordPress-Sicherheit.

WordPress und die Sache mit den MIME-Typen

WordPress ist von Haus aus ziemlich vorsichtig, was Dateiuploads angeht. Das ist auch gut so, denn das Internet ist ein wilder Ort voller Hacker, Malware und anderer digitaler Schurken. Damit nicht jeder beliebige Dateityp hochgeladen werden kann, prüft WordPress beim Upload den sogenannten MIME-Type (Multipurpose Internet Mail Extensions). Das ist quasi der „Ausweis“ einer Datei, der verrät, um was für einen Typ es sich handelt – zum Beispiel image/jpeg für JPEG-Bilder oder image/png für PNGs.

Standardmäßig erlaubt WordPress nur eine überschaubare Auswahl an Dateitypen, darunter:

• Bilder: JPEG, PNG, GIF, ICO
• Dokumente: PDF, DOC, PPT, XLS
• Audio/Video: MP3, MP4, OGG, WAV

SVG (Scalable Vector Graphics) und WebP (Googles modernes Bildformat) sind nicht standardmäßig erlaubt. Warum? Das hat gute Gründe – und die schauen wir uns jetzt genauer an.

SVG: Das scharfe Schwert mit zwei Schneiden

SVG ist ein Vektorformat, das Grafiken in XML beschreibt. Das heißt: Logos, Icons und Illustrationen bleiben immer gestochen scharf – egal, wie groß du sie ziehst. Perfekt für moderne Websites! Aber: SVG-Dateien können auch JavaScript und CSS enthalten. Und das macht sie zu einem potenziellen Einfallstor für Cross-Site Scripting (XSS) und andere Angriffe (Quelle: OWASP).

• Vorteile von SVG:
  • Unendlich skalierbar ohne Qualitätsverlust
  • Kleine Dateigröße bei komplexen Grafiken
  • Animierbar und per CSS/JS steuerbar
• Nachteile & Risiken:
  • Kann schädlichen Code enthalten (XSS, Malware)
  • Wird von WordPress aus Sicherheitsgründen blockiert

WebP: Das Turbo-Format für Bilder

WebP ist ein von Google entwickeltes Bildformat, das JPEG und PNG in Sachen Kompression und Qualität alt aussehen lässt. Laut Google sind WebP-Bilder im Schnitt 25–34 % kleiner als vergleichbare JPEGs oder PNGs – bei gleicher Qualität. Das bedeutet: Schnellere Ladezeiten, bessere SEO, glücklichere Nutzer.

Aber: WebP ist noch nicht überall Standard (obwohl die Browserunterstützung inzwischen bei über 95 % liegt (Quelle: caniuse.com)). WordPress unterstützt WebP erst ab Version 5.8 nativ – und auch dann kann es zu Problemen kommen, wenn der Server nicht richtig konfiguriert ist.

Warum blockiert WordPress SVG und WebP?

• Sicherheit: SVG kann Schadcode enthalten, WebP ist ein relativ neues Format und nicht jeder Server kann damit umgehen.
• Kompatibilität: Nicht alle Browser und Server unterstützen WebP, ältere Plugins oder Themes könnten Probleme machen.
• Stabilität: WordPress will verhindern, dass durch exotische Dateitypen die Mediathek oder der Editor zerschossen werden.

Wie sieht die Fehlermeldung aus?

Wenn du versuchst, eine SVG- oder WebP-Datei hochzuladen, bekommst du meist eine Meldung wie:

• „Sorry, this file type is not permitted for security reasons.“
• „Nicht erlaubter MIME-Typ“

Das ist zwar nervig, aber eigentlich ein Schutzmechanismus. Die gute Nachricht: Mit ein paar Kniffen kannst du SVG und WebP trotzdem sicher nutzen – und zwar so, dass du nachts ruhig schlafen kannst.

SVG und WebP in WordPress sicher erlauben – Schritt für Schritt

• 1. WebP aktivieren (ab WordPress 5.8)
  • Seit WordPress 5.8 kannst du WebP-Bilder einfach hochladen – vorausgesetzt, dein Server unterstützt das Format. Prüfe das, indem du ein WebP-Bild hochlädst. Falls es nicht klappt, liegt es meist an fehlenden PHP-Bibliotheken (GD oder Imagick).
  • Server-Check: Frage deinen Hoster, ob WebP unterstützt wird, oder prüfe es selbst mit einem kleinen PHP-Skript:

    
    <?php
    if (imagetypes() & IMG_WEBP) {
        echo "WebP wird unterstützt!";
    } else {
        echo "WebP wird NICHT unterstützt!";
    }
    ?>
            

  • Fallback-Lösung: Nutze ein Plugin wie WebP Express oder ShortPixel, das automatisch WebP-Versionen deiner Bilder erzeugt und ausliefert – inklusive Fallback für Browser, die WebP nicht unterstützen.
• 2. SVG sicher erlauben – aber richtig!
  • SVG niemals einfach so erlauben! Viele Anleitungen empfehlen, SVG einfach per functions.php zu erlauben:

    
    function allow_svg_upload($mimes) {
        $mimes['svg'] = 'image/svg+xml';
        return $mimes;
    }
    add_filter('upload_mimes', 'allow_svg_upload');
            

    Das ist gefährlich! SVGs können Schadcode enthalten. Niemals SVGs aus unbekannten Quellen hochladen!

  • Empfohlene Lösung: Plugin mit Sanitizer
    • Nutze ein Plugin wie Safe SVG (WordPress Plugin Directory). Dieses Plugin prüft und „säubert“ SVG-Dateien beim Upload, entfernt schädlichen Code und erlaubt nur sichere SVGs.
    • So funktioniert’s: Nach der Installation kannst du SVGs wie gewohnt hochladen. Das Plugin filtert automatisch alles Gefährliche raus.
  • SVGs selbst prüfen und minimieren
    • Nutze Tools wie SVGOMG oder SVGminify, um SVGs zu optimieren und unnötigen Code zu entfernen.
    • Öffne SVGs im Texteditor und prüfe, ob verdächtige <script>– oder onload-Attribute enthalten sind.
  • SVG-Uploads auf Admins beschränken
    • Erlaube SVG-Uploads nur für Administratoren oder vertrauenswürdige Nutzer. Das geht z.B. so:

      
      function allow_svg_for_admins($mimes) {
          if (current_user_can('administrator')) {
              $mimes['svg'] = 'image/svg+xml';
          }
          return $mimes;
      }
      add_filter('upload_mimes', 'allow_svg_for_admins');
                  

• 3. MIME-Typen gezielt freischalten
  • Wenn du andere Dateitypen erlauben willst, kannst du das gezielt per functions.php machen:

    
    function custom_mime_types($mimes) {
        $mimes['webp'] = 'image/webp';
        // SVG nur mit Sanitizer!
        return $mimes;
    }
    add_filter('upload_mimes', 'custom_mime_types');
            

Vergleich: SVG vs. WebP vs. PNG/JPEG

Best Practices für den sicheren Umgang mit SVG und WebP

• SVGs immer vor dem Upload prüfen und minimieren – keine fremden SVGs verwenden!
• SVG-Uploads auf Admins beschränken – oder ein Plugin mit Sanitizer nutzen.
• WebP nur nutzen, wenn Server und Browser es unterstützen – Fallbacks für ältere Browser einrichten.
• Regelmäßige Backups machen – falls doch mal was schiefgeht.
• WordPress, Plugins und Themes aktuell halten – Sicherheitslücken werden so schnell geschlossen.

Fazit: SVG und WebP in WordPress – sicher, schnell, modern

SVG und WebP sind echte Gamechanger für moderne Websites – aber nur, wenn du sie sicher und richtig einsetzt. WordPress blockiert diese Formate nicht aus Bosheit, sondern aus gutem Grund. Mit den richtigen Tools, ein bisschen Know-how und gesunder Vorsicht kannst du aber das Beste aus beiden Welten holen: Schicke, schnelle und sichere Websites.

Und falls du keine Lust hast, dich mit MIME-Typen, Serverkonfigurationen und SVG-Sanitizern herumzuschlagen – wir von Nakaryu übernehmen das gerne für dich! Wir bauen dir eine Website, die nicht nur gut aussieht, sondern auch technisch und rechtlich auf dem neuesten Stand ist. Hier geht’s zu unserem Webdesign-Service – monatlich buchbar, flexibel, ohne Risiko. Lass uns gemeinsam deine Website auf das nächste Level bringen!

Quellen

• WordPress Developer Docs: upload_mimes
• OWASP: SVG Files Security
• Google Developers: WebP
• Can I use: WebP
• WordPress Plugin Directory: Safe SVG
• SVGOMG: SVG Optimizer