WordPress schadet Ihrer Arztpraxis. Hier ist warum.

Fast jeder Webdesigner empfiehlt Ihnen WordPress. Fast jeder Artikel im Netz sagt: „Nehmen Sie WordPress für Ihre Praxis-Website." Und fast jeder dieser Ratgeber verschweigt Ihnen die Realität.

Die Realität sieht so aus: 7.966 neue Sicherheitslücken wurden 2024 im WordPress-System entdeckt. 96% davon in Plugins. 43% lassen sich ohne Login ausnutzen. Das sind keine theoretischen Risiken. Das sind dokumentierte Schwachstellen, die jeder Hacker im Internet nachschlagen kann.

Ich baue seit 2005 Websites. Die letzten Jahre davon für Fachärzte, Zahnärzte, Schönheitschirurgen, Pflegedienste. Und ich sage Ihnen etwas, das Ihnen kein WordPress-Webdesigner sagen wird: WordPress ist für Ihre Arztpraxis das falsche System. Nicht weil es schlecht ist. Sondern weil es für einen Blog-Baukasten entwickelt wurde – nicht für eine Website, der Patienten ihre Gesundheitsdaten anvertrauen.

Das Wichtigste in Kürze

5 Gründe, warum WordPress Ihrer Arztpraxis schadet

WordPress schadet Arztpraxen in fünf messbaren Bereichen: Sicherheit, Ladezeit, Plugin-Abhängigkeiten, Barrierefreiheit und Google-Ranking. Keiner dieser Gründe ist ein Geheimnis. Die Zahlen stehen in offiziellen Sicherheitsberichten. Die Performance-Daten sind öffentlich bei Google einsehbar. Aber kein WordPress-Webdesigner wird Ihnen diese Daten zeigen – weil er Ihnen WordPress verkaufen will.

Ich verkaufe Ihnen kein WordPress. Deshalb kann ich ehrlich sein.

Grund 1: WordPress ist das meistgehackte CMS der Welt

Das ist keine Übertreibung. Das ist eine dokumentierte Tatsache.

Der Wordfence 2024 Annual Security Report zeigt:

• 9 Milliarden Cross-Site-Scripting-Angriffe blockiert
• 55 Milliarden Passwort-Attacken blockiert
• 1,1 Milliarden SQL-Injection-Versuche blockiert

Das sind die Angriffe, die ein einziger Sicherheitsanbieter blockiert hat. Allein 2024. Nur auf WordPress-Seiten.

Gleichzeitig hat Patchstack 7.966 neue Schwachstellen im WordPress-System dokumentiert. Das sind 34% mehr als im Vorjahr. 96% dieser Schwachstellen stammen aus Plugins. Und 43% lassen sich ohne jede Anmeldung ausnutzen.

Was heißt das für Ihre Arztpraxis?

Jedes Plugin auf Ihrer Website ist ein potenzielles Einfallstor. Ein Kontaktformular-Plugin. Ein SEO-Plugin. Ein Cookie-Banner. Ein Slider. Ein Backup-Plugin. Wenn nur eines davon eine Schwachstelle hat – und bei 14.000 Plugins mit bekannten Schwachstellen in der WPScan-Datenbank ist das wahrscheinlich – kann ein Angreifer auf Ihre Website zugreifen.

Laut dem Sucuri Hacked Website Report liefen 95,5% aller gehackten CMS-Websites auf WordPress. Bei fast der Hälfte wurden Backdoors installiert, die auch nach einer Bereinigung bestehen bleiben.

Für eine Zahnarztpraxis heißt das: Patientendaten im Kontaktformular. Terminanfragen mit Gesundheitsinformationen. Alles auf einem System, das mehr Angriffsfläche bietet als jedes andere CMS der Welt.

Wie sicher ist WordPress wirklich für Gesundheitsdaten?

Nicht sicher genug. Gesundheitsdaten fallen unter Artikel 9 der DSGVO – besondere Kategorien personenbezogener Daten. Die Übertragung muss verschlüsselt erfolgen. Die Speicherung muss geschützt sein. Und jede Drittanbieter-Software, die Zugriff auf diese Daten hat, muss DSGVO-konform arbeiten.

WordPress allein ist nicht DSGVO-konform. Das sagen nicht wir. Das sagen Datenschutz-Experten wie dr-dsgvo.de und e-recht24.de.

Das Problem: Plugins laden externe Ressourcen. Google Fonts von US-Servern. Analytics-Skripte. Social-Media-Widgets. Jedes Plugin kann Daten an Dritte übertragen, ohne dass Sie es wissen. Akismet – das Standard-Spam-Plugin, das bei jeder WordPress-Installation dabei ist – sendet bei jedem Kommentar personenbezogene Daten an Server in den USA. Es ist grundsätzlich nicht DSGVO-konform.

Bei einer normalen Unternehmenswebsite ist das problematisch. Bei einer Arztpraxis, wo Patienten über Kontaktformulare Symptome beschreiben, Terminanfragen mit Diagnosen stellen oder Rückrufbitten mit Gesundheitsinformationen hinterlassen, ist es ein ernstes Risiko.

Sie brauchen Plugins, um WordPress DSGVO-konform zu machen. Mehr Plugins bedeutet mehr Angriffsfläche. Ein Teufelskreis.

Grund 2: Ihre WordPress-Website ist langsamer als Sie denken

Die meisten WordPress-Websites bestehen Googles Core Web Vitals nicht. Laut HTTP Archive/Chrome User Experience Report schaffen nur 43,4% aller WordPress-Seiten die Core Web Vitals auf dem Smartphone. Das kostet Sie Ranking-Positionen und Patienten.

Googles Core Web Vitals sind drei Messwerte, die bestimmen, wie Google Ihre Seite bewertet:

• LCP (Largest Contentful Paint): Wie schnell lädt der Hauptinhalt? Ziel: unter 2,5 Sekunden.
• INP (Interaction to Next Paint): Wie schnell reagiert die Seite auf Klicks? Ziel: unter 200 Millisekunden.
• CLS (Cumulative Layout Shift): Springt der Inhalt beim Laden? Ziel: unter 0,1.

Diese drei Werte sind ein bestätigter Google-Ranking-Faktor. Seiten mit guten Core Web Vitals ranken besser. Laut Google/Deloitte-Studie „Milliseconds Make Millions" führen bessere Core Web Vitals zu niedrigeren Absprungraten und höheren Conversions.

Warum bestehen WordPress-Seiten so selten Googles Core Web Vitals?

Weil jedes Plugin Code hinzufügt, der beim Laden ausgeführt wird. 30 Plugins bedeuten 30 zusätzliche Skripte, Stylesheets und Datenbankabfragen. Das bremst die Ladezeit. Das verschlechtert die Interaktivität. Und das verursacht Layout-Verschiebungen.

Die Zahlen des HTTP Archive und Chrome User Experience Report sind deutlich:

Weniger als die Hälfte aller WordPress-Seiten bestehen Googles Core Web Vitals auf dem Handy. Und der Trend verbessert sich nicht: WordPress startete 2025 bei 42,6%, stieg kurz auf 44,9% und fiel wieder auf 43,4%.

Für Ihre Arztpraxis bedeutet das: Die Mehrheit Ihrer Patienten kommt über das Smartphone. Wenn Ihre WordPress-Seite zu den 57% gehört, die Core Web Vitals nicht bestehen, zeigt Google Sie weiter unten in den Suchergebnissen. Und Ihre Patienten landen bei der Konkurrenz.

Eine custom-gebaute Website mit Astro? Ladezeit unter 1 Sekunde. Core Web Vitals im grünen Bereich. Ohne ein einziges Plugin.

Wie schnell lädt Ihre Praxis-Website? Wir testen sie kostenlos. Ladezeit, Mobile-Score, Core Web Vitals. In 48 Stunden haben Sie Klarheit. Kostenlose Website-Analyse anfragen

Grund 3: Das Plugin-Problem – 30 Abhängigkeiten, die Sie nicht kontrollieren

Jedes Plugin ist eine Abhängigkeit von einem fremden Entwickler. Laut dem Patchstack-Report bleiben 33% aller gemeldeten WordPress-Schwachstellen ungepatcht. Eine typische WordPress-Website für eine Arztpraxis hat 30 oder mehr Plugins:

• SEO-Plugin (Yoast oder RankMath)
• Kontaktformular (Contact Form 7 oder WPForms)
• Cookie-Banner (Complianz oder Borlabs)
• Backup-Plugin
• Sicherheits-Plugin (Wordfence oder Sucuri)
• Caching-Plugin
• Bildoptimierung
• Slider oder Page Builder (Elementor, Divi, WPBakery)
• Google Fonts Plugin
• DSGVO-Plugin
• Und 20 weitere für Terminbuchung, Schema Markup, Mehrsprachigkeit, Analytics, Formulare...

Jedes dieser Plugins wird von einem anderen Entwickler gepflegt. Oder auch nicht. Der Patchstack-Report zeigt: 33% aller gemeldeten WordPress-Schwachstellen bleiben ungepatcht. Der Entwickler reagiert nicht, hat das Plugin aufgegeben oder ist nicht erreichbar.

Und dann passiert das: WordPress veröffentlicht ein Core-Update. Ein Plugin ist nicht kompatibel. Ihre Website bricht zusammen. Oder schlimmer: Sie funktioniert scheinbar, aber das Kontaktformular sendet keine E-Mails mehr. Und Sie merken es erst, wenn ein Patient anruft und fragt, warum niemand auf seine Anfrage reagiert hat.

WordPress 6.9 hat bei Erscheinen drei Plugins gleichzeitig unbrauchbar gemacht. Das ist keine Ausnahme. Das ist der Normalfall in einem System mit 60.000+ Plugins, die alle unabhängig voneinander entwickelt werden.

Grund 4: BFSG – Barrierefreiheit, die WordPress-Templates nicht können

Seit dem 28. Juni 2025 gilt das Barrierefreiheitsstärkungsgesetz (BFSG). Es setzt die europäische Richtlinie European Accessibility Act in deutsches Recht um.

Was heißt das für Ihre Praxis-Website?

Wenn Patienten auf Ihrer Website Termine buchen, Formulare ausfüllen oder interaktive Services nutzen, muss Ihre Website barrierefrei sein. Der Standard: WCAG 2.1 Level AA.

Das umfasst:

• Kontraste: Text muss ausreichend Kontrast zum Hintergrund haben
• Schriftgrößen: Inhalte müssen skalierbar sein
• Tastaturnavigation: Alle Funktionen müssen ohne Maus bedienbar sein
• Screenreader: Inhalte müssen von Vorleseprogrammen erfasst werden
• Formulare: Labels, Fehlermeldungen, Fokus-Reihenfolge müssen stimmen

Kleine Praxen mit weniger als 10 Beschäftigten und unter 2 Millionen Euro Jahresumsatz sind teilweise ausgenommen. Aber: Wenn Sie eine Online-Terminbuchung anbieten, können die Anforderungen trotzdem greifen. Und wettbewerbsrechtliche Abmahnungen sind unabhängig von der Praxisgröße möglich.

Das Problem mit WordPress: Die meisten Templates erfüllen diese Anforderungen nicht. Page Builder wie Elementor oder Divi erzeugen HTML-Code, der für Screenreader kaum lesbar ist. Slider sind fast nie tastaturnavigierbar. Und nachträgliche Barrierefreiheit in ein WordPress-Template einzubauen ist aufwendiger als eine neue Website zu bauen.

Bei Custom Code ist Barrierefreiheit von Anfang an eingebaut. Sauberes HTML. Semantische Struktur. ARIA-Labels wo nötig. Keine Altlasten, kein Nachbessern.

Was kostet WordPress Ihre Arztpraxis wirklich?

WordPress ist nicht kostenlos. Es kostet Sie jeden Monat Geld – und Sie merken es oft nicht, weil die Kosten verteilt anfallen. Hosting, Wartung, Plugin-Lizenzen, Sicherheits-Patches, Backups – zusammengerechnet ergibt das 100 bis 300 Euro monatlich für eine typische Arztpraxis-Website.

Rechnen wir das durch:

In fünf Jahren sind das 6.300 bis 20.400 Euro. Nur für den laufenden Betrieb. Die Erstellung kommt oben drauf.

Eine custom-gebaute Website mit Astro oder Next.js? Keine Plugin-Lizenzen. Keine Wartungsverträge für Plugin-Updates. Kein Sicherheits-Patching. Die laufenden Kosten beschränken sich auf das Hosting – und das kostet bei einer statischen Astro-Seite oft unter 10 Euro im Monat.

Grund 5: Ihr Google-Ranking leidet – und damit Ihre Patientengewinnung

Alles kommt zusammen: Langsame Ladezeiten verschlechtern Ihr Google-Ranking. Schlechte Core Web Vitals bedeuten weniger Sichtbarkeit. Sicherheitsprobleme können dazu führen, dass Google Ihre Seite als „unsicher" markiert – der Tod für jede Arztpraxis-Website.

Laut Branchenstudien starten 90% der Patienten ihre Arztsuche bei Google. Wenn Ihre WordPress-Seite langsamer lädt als die Seite der Praxis zwei Straßen weiter, zeigt Google die andere Praxis zuerst. Das ist kein Zufall. Das ist der Algorithmus.

Und es geht nicht nur um Ladezeit. Google bewertet auch:

• Sicherheit: HTTPS ist Pflicht. Aber eine gehackte Website mit Malware wird aus dem Index entfernt.
• Mobile-Erfahrung: WordPress-Templates sind „responsiv", aber selten für Mobile optimiert. Buttons zu klein, Formulare abgeschnitten, Schrift zu groß oder zu klein.
• Structured Data: Schema Markup für Arztpraxen (LocalBusiness, MedicalOrganization) ist für Local SEO entscheidend. WordPress-Plugins liefern oft fehlerhafte oder unvollständige Schema-Daten.

Die Kombination aus schlechter Performance, Sicherheitsrisiken und fehlerhaftem Markup kostet Sie Ranking-Positionen. Jede Position weniger bedeutet weniger Patienten. Das ist keine Theorie. Das ist messbar.

WordPress vs. Custom Code: Der ehrliche Vergleich

In jedem messbaren Kriterium – Ladezeit, Sicherheit, Wartungskosten, DSGVO-Konformität – schneidet Custom Code besser ab als WordPress. Der folgende Vergleich zeigt die Unterschiede.

Wenn Sie Inhalte selbst pflegen wollen – Öffnungszeiten ändern, neue Leistungen hinzufügen – binden wir Payload CMS an. Ein Headless CMS, das macht, was ein CMS soll: Inhalte verwalten. Ohne 30 Plugins. Ohne den gesamten WordPress-Overhead.

Was Sie jetzt tun sollten

Sie müssen nicht morgen Ihre WordPress-Website abschalten. Aber Sie sollten wissen, wo Sie stehen.

Schritt 1: Prüfen Sie Ihre Ladezeit. Öffnen Sie Google PageSpeed Insights und testen Sie Ihre Website. Achten Sie auf den Mobile-Score. Unter 80? Sie verlieren Patienten.

Schritt 2: Zählen Sie Ihre Plugins. Loggen Sie sich in Ihr WordPress-Dashboard ein. Gehen Sie zu „Plugins". Wie viele sind aktiv? Über 20? Jedes einzelne ist ein Risiko.

Schritt 3: Prüfen Sie Ihr Google-Ranking. Googeln Sie „[Ihre Fachrichtung] + [Ihre Stadt]". Sind Sie auf Seite 1? Wenn nicht: Ihre Website kostet Sie aktiv Patienten.

Schritt 4: Fragen Sie Ihren Webdesigner. Fragen Sie: „Wie viele der Plugins auf meiner Website haben bekannte Sicherheitslücken?" Wenn er die Frage nicht beantworten kann, haben Sie ein Problem.

Fazit: WordPress war nie für Arztpraxen gemacht

WordPress wurde 2003 als Blog-System entwickelt. Es ist durch Plugins und Themes zu einem Allzweck-CMS geworden. Aber „kann alles ein bisschen" ist nicht das, was Ihre Arztpraxis braucht.

Ihre Praxis braucht eine Website, die schnell lädt, sicher ist, DSGVO-konform funktioniert, barrierefrei ist und bei Google auf Seite 1 steht. WordPress kann das – theoretisch. In der Praxis scheitert es an 30 Plugins, die gewartet werden müssen, an Sicherheitslücken, die gepatcht werden müssen, und an einer Performance, die hinter modernen Alternativen zurückbleibt.

Die Alternative ist kein anderes CMS. Die Alternative ist: kein CMS im traditionellen Sinn. Custom Code – mit Astro oder Next.js – liefert, was WordPress verspricht, aber nicht hält: Geschwindigkeit, Sicherheit, Stabilität.

Das können wir sagen, weil wir kein WordPress verkaufen. Seit 2005 bauen wir Websites. TÜV-zertifiziert für Verkaufspsychologie. Spezialisiert auf Fachärzte, Zahnärzte und Gesundheitsdienstleister. Und ehrlich genug, um zu sagen: WordPress ist nicht die Lösung. Es ist Teil des Problems.

Wie viel kostet Sie WordPress wirklich? Wir analysieren Ihre Praxis-Website kostenlos: Ladezeit, Sicherheit, Core Web Vitals, DSGVO-Risiken. In 48 Stunden wissen Sie, wo Sie stehen. Kostenlose Website-Analyse für Ihre Praxis anfragen

Häufig gestellte Fragen (FAQ)

Quellen & weiterführende Informationen

Sicherheitsberichte & Studien

1. Wordfence: 2024 Annual WordPress Security Report (April 2025) – wordfence.com
2. Patchstack: State of WordPress Security in 2025 – patchstack.com
3. WPScan: WordPress Vulnerability Database Statistics – wpscan.com
4. Sucuri: 2023 Hacked Website & Malware Threat Report – sucuri.net

Performance & Google

1. Google: Core Web Vitals Dokumentation – developers.google.com/search/docs/appearance/core-web-vitals
2. HTTP Archive / CrUX: CMS Core Web Vitals Rankings 2025 – httparchive.org
3. Google Think with Google: Core Web Vitals Business Impact – thinkwithgoogle.com

Markt & Recht

1. W3Techs: WordPress Usage Statistics – w3techs.com
2. BFSG (Barrierefreiheitsstärkungsgesetz) – bfsg-gesetz.de
3. Google PageSpeed Insights – pagespeed.web.dev