30 Plugins auf Ihrer WordPress-Seite? Jedes einzelne ist ein Risiko.

7.966 neue Schwachstellen im WordPress-Ökosystem allein in 2024. 96 Prozent davon in Plugins (Patchstack 2025). Das sind nicht abstrakte Zahlen. Das ist die Realität für jede WordPress-Website mit einem typischen Plugin-Stack.

Die durchschnittliche WordPress-Website nutzt 12 bis 15 Plugins. Business-Websites kommen schnell auf 20 oder mehr. Jedes Plugin ist ein eigenständiges Stück Software, geschrieben von einem unabhängigen Entwickler, mit eigenen Schwachstellen, eigenen Update-Zyklen und eigener Verfallszeit. 59 Prozent aller Plugins im WordPress-Repository wurden seit über zwei Jahren nicht aktualisiert.

Dieser Artikel zeigt, warum das WordPress-Plugin-Modell selbst das Problem ist. Nicht ein einzelnes schlechtes Plugin. Das System.

Das Wichtigste in Kürze

Warum braucht WordPress überhaupt Plugins?

WordPress als CMS liefert von Haus aus keine SEO-Einstellungen, keine Sicherheitsfunktionen, kein Caching, keine Formulare, keine Cookie-Verwaltung. Alles, was über das Veröffentlichen von Blogposts hinausgeht, erfordert ein Plugin.

Das klingt nach Flexibilität. In der Praxis bedeutet es: Eine durchschnittliche Business-Website braucht mindestens 8 bis 10 Plugins, bevor sie grundlegende Funktionen bietet. Und jedes Plugin bringt eigenen Code, eigene Datenbank-Tabellen, eigene HTTP-Requests und eigene Angriffsfläche mit.

Der entscheidende Unterschied: Moderne CMS-Systeme lösen diese Anforderungen auf Plattformebene. WordPress lagert sie an Drittanbieter aus. Einen umfassenden Überblick über die WordPress-Sicherheitsproblematik liefert der verlinkte Artikel.

Wie gefährlich sind WordPress-Plugins wirklich?

Jedes WordPress-Plugin ist ein potenzielles Einfallstor für Angreifer. 96 Prozent aller WordPress-Schwachstellen stammen aus Plugins, nicht aus dem WordPress-Core. Im ersten Halbjahr 2025 wurden 4.462 neue Schwachstellen gemeldet. 57,6 Prozent davon waren automatisch ausnutzbar, ohne dass der Angreifer sich einloggen musste (Patchstack 2025).

Die meistangegriffenen Plugins 2024/2025

Die Namen in dieser Liste sind keine Nischenprodukte. WPForms hat über sechs Millionen aktive Installationen. Elementor Pro ist der meistgenutzte Page Builder. Die populärsten Plugins sind gleichzeitig die größten Angriffsziele (BleepingComputer 2025, Patchstack 2025).

Supply-Chain-Attacks: Die neue Bedrohung

2024 und 2025 zeigten eine besorgniserregende Entwicklung: Angreifer kompromittieren nicht die Plugins selbst, sondern die Entwicklerkonten dahinter.

Im Juni 2024 übernahmen Hacker fünf WordPress.org-Entwicklerkonten über geleakte Passwörter. Betroffene Plugins: Social Warfare, BLAZE Retail, Contact Form 7 Multi Step Addon und weitere. Der injizierte Schadcode erstellte neue Admin-Konten und installierte Kryptominer (Wordfence 2024).

Im Juli 2025 wurde die Download-Seite von Gravity Forms kompromittiert. Im Oktober 2025 traf es GutenKit (40.000+ Installationen) und Hunk Companion (Dark Reading 2025). Das Muster ist klar: Je mehr Plugins Sie nutzen, desto größer Ihre Angriffsfläche.

Ihr Hosting schützt Sie nicht

Die Annahme, dass der Hosting-Anbieter Plugin-Schwachstellen abfängt, ist falsch. Eine Patchstack-Studie testete 11 bekannte Plugin-Exploits auf fünf verschiedenen Hosting-Umgebungen. Ergebnis: 87,8 Prozent der Exploits umgingen die Hosting-Sicherheitsmaßnahmen (Patchstack 2025).

Der Grund: Plugin-spezifische Schwachstellen passen nicht zu den generischen WAF-Signaturen der Hosting-Anbieter (Search Engine Journal 2025).

Was machen Plugins mit Ihrer Ladezeit?

Jedes Plugin fügt der Website CSS-Dateien, JavaScript, Datenbankabfragen und HTTP-Requests hinzu. Selbst wenn ein Plugin deaktiviert ist, bleiben oft Datenbank-Tabellen und Konfigurationsdateien zurück.

Performance-Killer nach Kategorie

Eine typische WordPress-Website lädt in 3 bis 6 Sekunden. Eine vergleichbare Website mit Payload CMS und Next.js erreicht unter 1 Sekunde. Jede Sekunde Verzögerung kostet 7 Prozent Conversions und 11 Prozent Seitenaufrufe.

Wer die Ursachen einer langsam ladenden Website verstehen will, findet im verlinkten Artikel die technischen Details. Das Kernproblem bei WordPress: Plugins lösen ein Architekturproblem mit zusätzlichem Code. Moderne Plattformen haben dieses Problem gar nicht erst.

Wie entsteht Vendor Lock-in durch WordPress-Plugins?

WordPress-Plugins erzeugen Abhängigkeiten auf mehreren Ebenen: technisch durch proprietäre Shortcodes und Datenstrukturen, finanziell durch jährliche Lizenzkosten, und strategisch durch die fehlende Portabilität der Inhalte. Je mehr Plugins im Einsatz sind, desto schwieriger wird ein späterer Wechsel.

Ein Plugin wird schnell zu fünf

Was als "ein Plugin" beginnt, wächst zu einer Abhängigkeitskette:

• Elementor → Elementor Pro → Essential Addons → Starter Templates
• WooCommerce → Payment Gateway → Shipping Plugin → Steuer-Plugin → E-Mail-Automation
• Yoast SEO → Schema Markup Plugin → Redirect Manager
• Contact Form 7 → Conditional Fields → Multi-Step → Database Addon

Jedes zusätzliche Plugin ist ein weiterer Angriffspunkt, eine weitere jährliche Lizenz, ein weiteres Kompatibilitätsrisiko.

Was passiert, wenn ein Plugin stirbt?

Kein Entwickler ist verpflichtet, ein Plugin weiterzuführen. 22,7 Prozent aller WordPress-Plugins wurden nach dem initialen Upload nie aktualisiert. Wenn ein Plugin aufgegeben wird, bleiben Ihnen drei Optionen: Eine Alternative finden und migrieren. Den Code selbst pflegen. Oder mit einer ungepatchten Schwachstelle leben.

Page Builder wie Elementor und Divi machen die Situation besonders kritisch: Sie betten proprietäre Shortcodes in Ihre Seiten ein. Deaktivieren Sie das Plugin, wird Ihr Inhalt zu unlesbarem Code. Ein Wechsel bedeutet ein komplettes Redesign.

WordPress 6.9: Ein Update, das alles veränderte

Im Dezember 2025 zeigte sich das Plugin-Risiko in voller Schärfe. WordPress 6.9 führte ein neues On-Demand-Loading für Block-Styles ein und brach dabei drei der populärsten Plugins:

• WooCommerce brauchte mehrere Notfall-Patches
• Yoast SEO zeigte Übersetzungsfehler auf nicht-englischen Seiten
• Elementor erforderte mindestens Version 3.24 für Kompatibilität
• WPML brauchte ein eigenes Notfall-Update

Das Update wurde als "das problematischste aller Zeiten" bezeichnet. Kaputte Layouts, Admin-Zugangsprobleme, Sitemap-Fehler. Die Ursache war kein Bug in den Plugins. Es war eine grundlegende Architekturänderung im WordPress-Core, die das Plugin-Ökosystem nicht rechtzeitig nachvollziehen konnte.

Was kostet Ihr Plugin-Stack wirklich?

WordPress ist kostenlos. Die Plugins sind es nicht. Ein typischer Premium-Stack für eine Business-Website:

Dazu kommen versteckte Kosten: Erneuerungen oft teurer als der Erstjahrespreis. Kompatibilitäts-Fixes nach Major-Updates. Support-Tickets bei Plugin-Konflikten. Staging-Umgebung zum sicheren Testen. Der reale Jahresaufwand für eine Business-Website mit Premium-Stack liegt bei 500 bis 1.500 USD. Die wahren Kosten einer Website gehen weit über den Hosting-Preis hinaus.

7 Plugin-Kategorien, die moderne CMS-Systeme nicht brauchen

Sieben der häufigsten WordPress-Plugin-Kategorien – SEO, Security, Caching, Page Builder, Formulare, Backup und DSGVO/Cookies – existieren nur, weil WordPress diese Funktionen nicht nativ mitbringt. Moderne CMS-Systeme lösen diese Anforderungen auf Plattformebene.

1. SEO-Plugins

WordPress braucht Yoast oder RankMath für Meta Tags, Sitemaps und Schema Markup. Webflow und Payload CMS haben das nativ. Yoast selbst hatte eine Stored-XSS-Schwachstelle (CVSS 6.4) in den Versionen 20.0 bis 20.13.

2. Security-Plugins

Wordfence, Sucuri, iThemes Security. Sie existieren, weil WordPress als offenes PHP-System angreifbar ist. SaaS-Plattformen wie Webflow und gehostete Headless-CMS haben Sicherheit auf Infrastrukturebene. Die Ironie: Security-Plugins können selbst zu Schwachstellen werden.

3. Caching-Plugins

WordPress generiert jede Seite dynamisch. Ohne Caching bedeutet jeder Aufruf eine Datenbankabfrage. WP Rocket, W3 Total Cache und LiteSpeed Cache lösen ein Problem, das bei statischer Generierung (SSG) nicht existiert. LiteSpeed Cache hatte selbst eine Schwachstelle (CVE-2024-47374, CVSS 7.2).

4. Page Builder

Elementor und Divi ersetzen den Gutenberg-Editor für komplexe Layouts. Bei Webflow ist der visuelle Editor das Kernprodukt. Elementor Pro hatte eine RCE-Schwachstelle (CVSS 9.9) und erzeugt erheblichen Code-Bloat.

5. Formular-Plugins

WordPress hat keine eingebaute Formularfunktion. WPForms mit sechs Millionen Installationen hatte eine Stripe-Payment-Schwachstelle (CVE-2024-11205). Bei Webflow sind Formulare integriert. Bei Payload sind sie React-Komponenten.

6. Backup-Plugins

WordPress speichert Daten in MySQL-Datenbank und Dateisystem. Ohne Plugin kein Backup. Webflow versioniert automatisch. Payload auf Vercel nutzt Git-basierte Deployments.

7. DSGVO/Cookie-Plugins

Borlabs Cookie (49 EUR/Jahr) und Complianz existieren, weil WordPress keine Cookie-Verwaltung mitbringt. Headless-Websites laden von Haus aus weniger Third-Party-Cookies, weil keine Plugin-Scripts Daten an externe Server senden.

Warum WordPress trotzdem noch genutzt wird

WordPress hat Stärken, die nicht ignoriert werden sollten: die größte Community, 60.000 Plugins für jeden denkbaren Anwendungsfall, niedrige Einstiegshürde, breite Agentur-Verfügbarkeit. Für viele Projekte ist das ausreichend.

Die Frage ist, ob die Kosten stimmen. Wenn Sie 500 bis 1.500 USD jährlich für Plugins ausgeben, 2 bis 8 Stunden monatlich mit Updates verbringen und trotzdem einem Sicherheitsrisiko ausgesetzt bleiben, lohnt sich ein Vergleich mit Alternativen zu WordPress.

Wer den CMS-Vergleich zwischen WordPress, Webflow und Payload liest, bekommt eine objektive Gegenüberstellung.

Falls Sie bei WordPress bleiben: Plugin-Audit-Checkliste

Nicht jedes Unternehmen kann sofort wechseln. Falls Sie WordPress weiter nutzen, minimieren Sie Ihr Risiko:

1. Letztes Update prüfen: Älter als 6 Monate = Warnsignal. Älter als 2 Jahre = sofort entfernen
2. Aktive Installationen: Unter 1.000 = höheres Risiko für ungepatchte Schwachstellen
3. Bewertungen: Unter 4 Sternen = kritisch prüfen
4. Support-Forum: Keine Antworten = möglicherweise verlassen
5. Kompatibilität: Getestet mit aktueller WordPress-Version?
6. Duplikate entfernen: Zwei SEO-Plugins? Zwei Caching-Plugins? Sofort eines löschen
7. Schwachstellen prüfen: Patchstack-Datenbank checken
8. Performance messen: Query Monitor zeigt Datenbankabfragen pro Plugin

Und der wichtigste Punkt: Fragen Sie sich bei jedem Plugin, ob Sie es wirklich brauchen. Weniger Plugins bedeuten weniger Angriffsfläche, bessere Performance und niedrigere Kosten.

Fazit: Das Problem ist nicht ein schlechtes Plugin

Das Problem ist ein System, das grundlegende Funktionen an Drittanbieter auslagert. Ein System, in dem 59 Prozent der Plugins aufgegeben werden, 87,8 Prozent der Plugin-Exploits das Hosting umgehen und jedes Major-Update populäre Plugins brechen kann.

Arztpraxen, Kanzleien, Handwerksbetriebe: Jedes Unternehmen, das auf seiner Website sensible Daten verarbeitet oder auf Neukunden angewiesen ist, sollte das Plugin-Modell hinterfragen.

Sie wollen wissen, wie viele Schwachstellen in Ihrem Plugin-Stack stecken? In einem kostenlosen Erstgespräch prüfen wir Ihre aktuelle WordPress-Installation und zeigen Alternativen auf.

Sie planen eine neue Website oder einen Relaunch? Lassen Sie uns in einem unverbindlichen Gespräch besprechen, ob WordPress noch die richtige Wahl ist. Wir arbeiten mit modernen Alternativen, die keine 30 Plugins brauchen, um grundlegende Funktionen zu bieten.

Was professionelles Webdesign ohne Plugin-Abhängigkeit bedeutet, zeigen wir Ihnen gerne.

Häufig gestellte Fragen (FAQ)

Wie viele Plugins sind für WordPress noch sicher?

Es gibt keine sichere Anzahl. Ein einziges Plugin mit einer ungepatchten Schwachstelle reicht für einen Hack. Die Faustregel: Ab 20 Plugins sollten Sie ein Audit durchführen. Ab 30 Plugins steigen Kompatibilitätsrisiken und Wartungsaufwand erheblich. Entscheidend ist nicht die Anzahl, sondern die Qualität und Aktualität jedes einzelnen Plugins.

Warum werden WordPress-Plugins so oft gehackt?

WordPress-Plugins werden von unabhängigen Entwicklern geschrieben, die keiner Qualitätskontrolle unterliegen. 96 Prozent aller WordPress-Schwachstellen stammen aus Plugins. 59 Prozent der Plugins wurden seit über zwei Jahren nicht aktualisiert. Und 57,6 Prozent der Schwachstellen sind ohne Login ausnutzbar. Das ergibt eine große Angriffsfläche.

Reicht ein Security-Plugin wie Wordfence zum Schutz?

Nein. Eine Patchstack-Studie zeigte, dass 87,8 Prozent der Plugin-Exploits Hosting-Sicherheitsmaßnahmen umgehen. Selbst Cloudflare WAF stoppte nur 4 von 11 getesteten Exploits. Security-Plugins reduzieren das Risiko, können es aber nicht beseitigen, solange die eigentliche Schwachstelle im Code anderer Plugins liegt.

Was passiert, wenn ein WordPress-Plugin nicht mehr aktualisiert wird?

Ein aufgegebenes Plugin erhält keine Sicherheitspatches mehr. Es bleibt als offene Schwachstelle auf Ihrer Website bestehen. Besonders kritisch bei Page Buildern wie Elementor: Deaktivieren Sie das Plugin, wird Ihr Inhalt unlesbar. 22,7 Prozent der Plugins wurden nach dem Upload nie aktualisiert.

Bremsen Plugins meine WordPress-Website aus?

Ja. Jedes Plugin fügt CSS, JavaScript, Datenbankabfragen und HTTP-Requests hinzu. WooCommerce erhöht die Ladezeit um durchschnittlich 1,22 Sekunden. Eine typische WordPress-Website lädt in 3-6 Sekunden, während Headless-Alternativen unter 1 Sekunde erreichen. Jede Sekunde Verzögerung kostet 7 Prozent Conversions.

Gibt es WordPress-Alternativen ohne Plugin-Abhängigkeit?

Ja. Webflow bietet SEO, Formulare, Hosting und Sicherheit nativ, ohne Plugins. Payload CMS als Headless-System hat keine Plugin-Architektur, sondern Code-basierte Erweiterungen mit voller Kontrolle. Beide Alternativen eliminieren die Risiken des Plugin-Modells bei vergleichbarer Funktionalität.