Featured article cover

Wordpress: Mehr Problem als Lösung

  • Avatar: Jürgen Graf
    Jürgen Graf
    Design Engineer

Klar und eindeutig: WordPress is a mess!

Im Jahr 2026 befinden wir uns an einem Wendepunkt:
Ein tiefgreifender technologischer Wandel und zunehmender Druck, neue Sicherheitsmaßnahmen zu ergreifen, um EU-Vorschriften wie den Cyber Resilience Act zu erfüllen, werden die Zukunft prägen.

Auch wenn Ihre neue WordPress-Website scheinbar einwandfrei funktioniert, ist sie längst unzähligen automatisierten Bedrohungen ausgesetzt. Laut einem aktuellen Whitepaper von patchstack veröffentlich am 25. Feb 2026 wird eine durchschnittliche WordPress-Installation innerhalb der ersten 24 Stunden nach dem Livegang über 2.000 automatisierten Angriffsversuchen ausgesetzt. Sie wird hunderte Male pro Minute gescannt und analysiert – auf der Suche nach Wegen, einzudringen und massiven Schaden anzurichten. Diese Zahlen sind nicht mehr zu ignorieren oder wegzudiskutieren und weisen auf einen besorgniserregenden Trend hin - WordPress transformiert sich von der Lösung zum Problem!

Vier Werte die Ihnen zeigen warum

  • Jährlich werden 4,7 Millionen WordPress-Websites gehackt – das sind rund 13.000 pro Tag, also etwa eine alle sechs Sekunden.
  • 11.334 neue Sicherheitslücken im Jahr 2025 – ein Anstieg von 42 % im Vergleich zum Vorjahr.
  • 5 Stunden Zeitfenster, um Ihre Website vor einem Massenangriff zu patchen.
  • 87,8 % der WordPress-spezifischen Sicherheitslücken umgehen Standard-Hosting-Firewalls.

Patchstack bestätigte ein Rekordjahr. Nicht nur ein Rekord. Definitiv das schlechteste Jahr aller Zeiten. Dies entspricht einem nahezu exponentiellen Anstieg – und ist daher wirklich schockierend!

Wenn Sie sich nur vier Zahlen aus dieser Liste merken, dann sind es genau diese. Um es klar zu sagen: Das Einzige, worauf sich ein WordPress-Website-Betreiber noch verlassen kann, ist:
Es wird nicht besser werden! Aber diese Zahlen können Ihnen viel Geld sparen, wenn Sie sie ernst nehmen und die wirtschaftlichen Zusammenhänge verstehen.

Ein ernsthafter Anstieg

Hochgradig ausnutzbare Sicherheitslücken, die Angreifer massiv attackieren, nahmen 2025 im Vergleich zum Vorjahr um 113 % zu. (The Repository / Patchstack, März 2026). Im Jahr 2025 wurden mehr kritische CVEs gefunden als in den beiden Vorjahren zusammen.

Plugins sind das Problem

WordPress vermarktet sich als „komplette“ Website-Lösung, doch die Basisinstallation ist überraschend spartanisch. Um grundlegende Funktionen für eine Unternehmenswebsite zu realisieren, muss man eigenen Code schreiben. Viele WordPress-Anbieter können jedoch nicht programmieren und greifen daher auf vorgefertigte Plugins zurück, um die benötigten Funktionen bereitzustellen.

Jedes installierte Plugin stellt einen potenziellen Angriffsvektor dar. Eine durchschnittliche WordPress-Installation nutzt 20 bis 30 Plugins - Die Rechnung ist einfach.

Möglicherweise benötigen Sie Plugins für:

  • Kontaktformulare
  • SEO-Optimierung
  • Sicherheitsfunktionen
  • Backup-Systeme – ironischerweise, um Ihre Website im Falle eines Hackerangriffs zu sichern
  • Cache-Verwaltung
  • Bildoptimierung
  • Social-Media-Integration
  • Analysefunktionen
  • Spamschutz
  • Leistungsoptimierung – natürlich!

KI-generierte Plugins verschlimmern die Situation zusätzlich

Der Patchstack-Bericht von 2026 prangert insbesondere „Vibe-Coding“ an, bei dem Entwickler LLMs verwenden, um Plugin-Code zu generieren und diesen auszuliefern, ohne überprüfen zu können, was das Modell geschrieben hat. Wenn derjenige, der den Code ausliefert, ihn nicht auf Sicherheitsprobleme prüfen kann, werden Schwachstellen unbemerkt aktiv. Dieser Trend beschleunigt sich, anstatt sich zu stabilisieren.

Das 5-Stunden-Problem

Hier ist die Zahl aus dem Patchstack-Bericht von 2026, die Ihre Denkweise über die Sicherheit von WordPress grundlegend verändern sollte:

"The weighted median time to first mass exploitation was five hours."

Fünf Stunden von der öffentlichen Bekanntgabe bis zum aktiven Massenangriff. Der gängige Ratschlag „Halten Sie Ihre Plugins aktuell“ setzt voraus, dass man Zeit zum Reagieren hat. Bei gezielten Angriffen auf Sicherheitslücken hat man diese Zeit oft nicht.

Und was macht das 5-Stunden-Fenster noch gefährlicher

Für 46 % der Sicherheitslücken war zum Zeitpunkt der Veröffentlichung noch kein Patch verfügbar (WP Edition / Patchstack, Februar 2026). Es gibt kein Update, das installiert werden könnte. Die Sicherheitslücke ist öffentlich bekannt, dokumentiert, wird aktiv gesucht, und das Plugin ist weiterhin fehlerhaft.

Warum? Weil 52 % der Plugin-Entwickler den Fehler nicht vor der Veröffentlichung beheben (Patchstack via Xictron, 2026). Der Security-Researcher findet den Fehler, meldet ihn verantwortungsvoll, wartet die übliche Meldefrist ab, veröffentlicht den Fehlerbericht, und der Plugin-Entwickler hat immer noch keinen Patch bereitgestellt.

Patchstack bringt es auf den Punkt:

"Regular plugin updates are the second line of defence, but as attackers weaponize new vulnerabilities within mere hours, this is not a viable defence."

Was kostet ein WordPress-Hack tatsächlich?

Notfall-Entwicklerzeit, Ausfallzeiten, Umsatzeinbußen und die monatelangen SEO-Arbeiten, die erforderlich sind, um eingeschleuste Spam-Links und den Verlust der Google-Ranking-Position rückgängig zu machen.

Die wichtigste Zahl: Zu viel! - Ich gehe hier nicht auf die Details ein – bitte lesen Sie das patchstack whitepaper. Beachten Sie die wirtschaftlichen Aspekte.

Was tun, wenn Sie eine WordPress-Website haben

Aus unserer Sicht wäre es am besten, sie so schnell wie möglich außer Betrieb zu setzen! Es war zu erwarten, dass wir das sagen, aber Tatsache ist, dass es in den meisten Fällen ein guter Rat ist.
In der Zwischenzeit sollten Sie folgendes tun:

  • Überprüfen Sie Ihre aktuelle WordPress-Sicherheit und die damit verbundenen Kosten. Wahrscheinlich zahlen Sie monatlich für Sicherheit | Updates – bedeutet das, dass Sie wirklich sicher sind?
  • Prüfen Sie welche funktionalen Anforderungen an Ihre Website tatsächlich gestellt werden – werden diese erfüllt? Oder begnügen Sie sich mit dem, was Ihre Plugins bieten können?
  • Entdecken Sie moderne Alternativen zu WordPress – es gibt eine Vielzahl an Open-Source Headless-CMS-Plattformen. Wir beraten Sie gern.
  • Lassen Sie ein Sicherheits-Assessment Ihrer aktuellen WordPress-Installation erstellen. Wir helfen Ihnen gern.
  • Kalkulieren Sie den potenziellen ROI eines Wechsels zu einer statischen Lösung – Tipp: It’s a no brainer!
  • Kontaktieren Sie uns für die Gestaltung und Entwicklung einer Website basierend auf modernsten Technologien!

Kontakt

WordPress ist das Problem

Vereinbaren Sie einen unverbindlichen Termin und erfahren Sie, wie wir Ihr Unternehmen mit einer sicheren, schnellen und modernen Website unterstützen können!

Jetzt Termin buchen