WordPress ist ein Sicherheitsrisiko. Wann ein Wechsel Sinn ergibt.
7.966 neue Sicherheitslücken. In einem Jahr. In einem einzigen CMS-Ökosystem.
Das ist keine Panikmache. Das ist der Patchstack State of WordPress Security Report 2025, basierend auf Daten aus 2024. Laut Patchstack: 34 % mehr Schwachstellen als im Vorjahr. 96 % davon in Plugins. 43 % ohne Login ausnutzbar. Und die Zahl steigt jedes Jahr — von 2.000 im Jahr 2020 auf knapp 8.000 in 2024.
WordPress betreibt 42,8 % aller Websites weltweit. Das macht es zum attraktivsten Ziel für Angreifer. Nicht weil WordPress schlecht programmiert ist — der Core hatte 2024 nur 7 Schwachstellen. Sondern weil das Plugin-Ökosystem eine Angriffsfläche bietet, die kein anderes CMS hat.
Dieser Artikel zeigt die Fakten. Nicht um WordPress pauschal zu verurteilen. Sondern um Ihnen eine fundierte Entscheidung zu ermöglichen: Lohnt es sich, WordPress abzusichern? Oder ist ein Wechsel die bessere Investition?
Das Wichtigste in Kürze
| Thema | Key Takeaway |
|---|---|
| Schwachstellen | 7.966 neue in 2024 (+34 %). 96 % aus Plugins. 43 % ohne Login ausnutzbar. Trend: vervierfacht in 5 Jahren. |
| Hosting hilft nicht | 87,8 % der Exploits umgehen die Sicherheit von Managed Hosting (Patchstack-Test). |
| Kosten eines Hacks | 500-800 EUR Bereinigung + 60-90 % SEO-Traffic-Verlust + DSGVO-Bußgelder bis 20 Mio. EUR. |
| Supply-Chain-Risiko | Juni 2024: 8 Plugins kompromittiert, 116.000 Websites betroffen. Backdoors in offiziellen WordPress.org-Plugins. |
| Die Alternative | Static Sites (Astro/Next.js): Kein PHP, keine Datenbank, keine Plugins = keine Plugin-Schwachstellen. |
Das WordPress-Sicherheitsproblem in Zahlen
Die Zahlen stammen aus drei unabhängigen Quellen: Patchstack (größter WordPress-Schwachstellen-Aggregator), Wordfence (größter WordPress-Sicherheitsanbieter) und Sucuri (unabhängiger Website-Sicherheitsdienst).
Schwachstellen-Explosion: 2020 bis 2025
| Jahr | Neue WordPress-Schwachstellen | Veränderung |
|---|---|---|
| 2020 | ca. 2.000 | — |
| 2021 | ca. 2.500 | +25 % |
| 2022 | ca. 4.500 | +80 % |
| 2023 | 5.943 | +32 % |
| 2024 | 7.966 | +34 % |
Das sind 22 neue Schwachstellen pro Tag. 333 pro Woche. Und der Trend zeigt nach oben, nicht nach unten.
Wo die Schwachstellen stecken
- 96 % in Plugins (Patchstack 2025)
- 4 % in Themes
- 7 Schwachstellen im WordPress Core selbst
Der Core wird gut gewartet. Das Problem ist das Ökosystem: 60.000+ Plugins, entwickelt von unabhängigen Dritten, mit unterschiedlicher Code-Qualität und unvorhersehbaren Update-Zyklen.
Was das in der Praxis bedeutet
- 43 % aller Schwachstellen sind ohne Anmeldung ausnutzbar
- 35 % der Schwachstellen bleiben laut Wordfence 2024 ungepatcht
- 827 Plugins und Themes wurden laut Patchstack 2024 aufgegeben — permanente Sicherheitslücken ohne Fix
- 95,5 % aller von Sucuri erkannten gehackten CMS-Websites liefen laut Sucuri Hacked Website Report auf WordPress
Was kostet ein WordPress-Hack Ihr Unternehmen?
Mehr als die Bereinigung. Ein gehackter WordPress-Website kostet Sie direkte Bereinigungskosten (500-800 Euro), 60-90 % Traffic-Verlust durch Google-Warnungen, potenzielle DSGVO-Bußgelder und — am teuersten — den Vertrauensverlust Ihrer Kunden.
Direkte Kosten
| Posten | Kosten |
|---|---|
| Malware-Bereinigung (Spezialist) | 500-800 EUR |
| Sucuri Security Platform (Jahresabo, inkl. Cleanup) | ab 229 USD/Jahr |
| Wordfence Einzel-Bereinigung | ca. 490 USD |
SEO-Schaden
Wenn Google Ihre Website als „gehackt" markiert, passiert Folgendes:
- 60-90 % Traffic-Verlust — sofort
- Ihre Seiten fallen von Seite 1 auf Position 50+
- Angreifer injizieren Spam-Links (Pharma, Casino), die Ihre thematische Autorität zerstören
- Recovery nach Bereinigung: Google-Review innerhalb von 24 Stunden möglich, SEO-Recovery dauert Wochen bis Monate
DSGVO-Konsequenzen
Ein Hack wird nicht bestraft. Fehlende Schutzmaßnahmen werden bestraft.
- DSGVO-Bußgeldrahmen: bis 20 Millionen Euro oder 4 % des Jahresumsatzes
- Europaweit 2024: 1,22 Milliarden Euro DSGVO-Bußgelder verhängt (DLA Piper)
- Deutsches Rekord-Bußgeld 2025: 45 Millionen Euro (Vodafone — wegen Sicherheitsmängeln)
- Auch KMU-Bußgelder von 5.000-50.000 Euro sind seit 2023 häufig
Eine WordPress-Website mit bekannten, ungepatchten Schwachstellen kann als fahrlässig gewertet werden. Besonders wenn sensible Daten verarbeitet werden — Patientendaten, Mandanteninformationen, Kundenadressen.
Kundenvertrauen
- 65 % der Betroffenen verlieren Vertrauen nach einem Datenleck (IBM/Ponemon)
- 31 % beenden die Geschäftsbeziehung
- 46 % der Organisationen erleiden messbaren Reputationsschaden
Supply-Chain-Attacks: Das unterschätzte Risiko
Im Juni 2024 wurden 5 WordPress.org-Benutzerkonten kompromittiert. Angreifer nutzten geleakte Zugangsdaten, um bösartige Updates an offizielle Plugins zu verteilen. Insgesamt waren 8 Plugins betroffen — auf bis zu 116.000 WordPress-Websites.
Der Schadcode erstellte versteckte Admin-Konten, injizierte SEO-Spam und installierte Backdoors, die auch nach einer Bereinigung bestehen blieben.
Das ist kein Einzelfall. Ende 2025 wurden die Plugins GutenKit (40.000 Installationen) und Hunk Companion (8.000 Installationen) für großflächige Angriffe ausgenutzt — trotz verfügbarer Patches.
Was Supply-Chain-Attacks besonders gefährlich macht: Sie kommen über den offiziellen Update-Kanal. Ihr WordPress aktualisiert automatisch — und installiert damit den Schadcode. Kein Security-Plugin erkennt das, weil das Update als legitim gilt. Warum jedes einzelne WordPress-Plugin ein Sicherheitsrisiko darstellt, zeigt unser detaillierter Artikel.
Warum reichen Sicherheits-Plugins und Managed Hosting nicht aus?
Weil sie Symptome behandeln, nicht die Ursache. Security-Plugins schützen nur vor bekannten Schwachstellen, erhöhen selbst die Angriffsfläche und können Zero-Day-Exploits nicht verhindern. Managed Hosting bietet eine dickere Mauer — aber die 25 Plugin-Türen bleiben offen.
Der Patchstack-Hosting-Test
Patchstack testete 11 bekannte Schwachstellen bei 5 Managed-Hosting-Anbietern. Das Ergebnis:
- 87,8 % der Exploit-Versuche umgingen die Hosting-Sicherheit
- Zwei Hoster blockierten keinen einzigen Exploit
- Der beste Hoster (Cloudflare WAF) blockierte nur 4 von 11
Managed Hosting ist besser als Shared Hosting. Aber es ist keine Garantie.
Was Security-Plugins kosten — und was sie nicht können
| Plugin | Preis | Was es NICHT kann |
|---|---|---|
| Wordfence Premium | 149 USD/Jahr | Kein Cleanup inklusive. Zero-Days nicht erkannt. |
| Sucuri Platform | 229 USD/Jahr | Nur reaktiv. Performance-Impact durch Scanning. |
| Solid Security | 99 USD/Jahr | Weniger Funktionen. Kein eigenes Cleanup. |
Das Grundproblem: Ein Security-Plugin ist selbst ein Plugin. Es erhöht die Angriffsfläche, die es schützen soll. WordPress mit Sicherheits-Plugin ist wie ein Schloss mit 26 Türen statt 25 — die 26. hat ein besseres Schloss, aber es ist trotzdem eine weitere Tür.
Die Update-Falle
- 52 % der Plugin-Entwickler patchen nicht nach Schwachstellen-Offenlegung (Patchstack)
- WordPress 6.9 (Dezember 2025) machte 3 große Plugins gleichzeitig unbrauchbar
- WooCommerce brauchte 10 Tage und 3 Versionen für Stabilität nach WP 6.9
- Im Dezember 2025 wurden über 150 Plugins aus dem offiziellen Repository entfernt
Updates sollen die Sicherheit verbessern. In der Praxis verursachen sie häufig Ausfälle — weil 25 unabhängige Entwickler nicht koordiniert arbeiten.
Sie sind unsicher, ob Ihre WordPress-Website ein Risiko darstellt? In einem kostenlosen Erstgespräch analysieren wir Ihre aktuelle Situation und zeigen Ihnen Ihre Optionen — ob Absicherung oder Wechsel. Kostenloses Erstgespräch vereinbaren
WordPress vs. Statische Websites: Die Angriffsfläche
| Aspekt | WordPress | Statische Website (Astro/Next.js) |
|---|---|---|
| Server-seitige Sprache | PHP (ständig aktiv) | Keine (nur HTML/CSS/JS) |
| Datenbank | MySQL (öffentlich erreichbar) | Keine |
| Login-Seite | wp-login.php (Brute-Force-Ziel) | Keine |
| Plugins | 18-25 Drittanbieter | 0 zur Laufzeit |
| SQL-Injection | Möglich (über Plugins) | Nicht möglich |
| XSS | Häufigster Angriffsvektor | Minimal |
| Supply-Chain-Risiko | Hoch (Plugin-Ökosystem) | Nur Build-Dependencies |
| Update-Pflicht | Ständig (Core + Plugins + Themes) | Nur bei Code-Änderungen |
98 % aller WordPress-Schwachstellen stammen aus Plugins und Themes. Eine statische Website hat keine Plugins zur Laufzeit. Dieser gesamte Angriffsvektor entfällt.
Eine mit Astro gebaute Website liefert vorab generierte HTML-Dateien, direkt vom CDN. Kein PHP. Keine Datenbank. Kein Login-Endpunkt. Was nicht existiert, kann nicht gehackt werden.
Wenn Sie Inhalte selbst pflegen wollen, kommt ein Headless CMS wie Payload zum Einsatz — architektonisch getrennt vom Frontend, mit eingebauter Sicherheit (SSO, CSRF-Schutz, Rate-Limiting). Lesen Sie, warum wir kein WordPress bauen und wie der CMS-Vergleich zwischen WordPress, Webflow und Payload ausfällt.
OWASP Top 10: WordPress ist bei 8 von 10 betroffen
Die OWASP Top 10 sind die zehn kritischsten Sicherheitsrisiken für Webanwendungen. WordPress ist für 8 davon relevant:
| OWASP-Kategorie | WordPress-Relevanz |
|---|---|
| A01: Broken Access Control | Hoch — häufig in Plugins |
| A03: Injection (XSS, SQLi) | Sehr hoch — XSS ist #1 WordPress-Schwachstelle |
| A04: Insecure Design | Hoch — offene Architektur |
| A05: Security Misconfiguration | Sehr hoch — Standard-Login, Standard-Prefix |
| A06: Vulnerable Components | Sehr hoch — 33 % ungepatcht |
| A07: Auth Failures | Hoch — Brute-Force auf wp-login.php |
| A08: Data Integrity Failures | Hoch — Supply-Chain-Attacks |
| A09: Logging/Monitoring | Mittel — nur mit zusätzlichen Plugins |
Statische Websites sind für die meisten dieser Kategorien nicht anfällig — weil die Angriffsvektoren technisch nicht existieren.
Was muss Ihre Branche besonders beachten?
Ärzte verarbeiten Gesundheitsdaten nach Artikel 9 DSGVO, Anwälte unterliegen der Verschwiegenheitspflicht nach §203 StGB, und Handwerker riskieren bei einem Hack den Verlust ihres Google-Rankings und damit ihrer Auftragsquelle. Jede Branche hat spezifische Risiken.
Ärzte und Praxen
Gesundheitsdaten fallen unter Artikel 9 DSGVO — besondere Kategorien personenbezogener Daten. Ein gehacktes Kontaktformular, über das Patienten Symptome beschreiben, ist ein meldepflichtiger Datenschutzvorfall.
Dazu kommt die KBV IT-Sicherheitsrichtlinie (seit April 2025, Umsetzungsfrist Oktober 2025): Firewalls, Antivirus, Backups und Security-Awareness-Schulungen sind Pflicht. WordPress mit 25 Plugins und bekannten Schwachstellen ist schwer als „angemessene Sicherheitsmaßnahme" zu argumentieren. Warum WordPress Arztpraxen schadet, haben wir in einem eigenen Artikel analysiert.
Anwälte und Kanzleien
§203 StGB: Verschwiegenheitspflicht gilt digital. Der Anwalt haftet strafrechtlich, wenn Dritte (Webhoster, Plugin-Entwickler) durch Sicherheitslücken Zugriff auf Mandantendaten erhalten und er diese nicht zur Verschwiegenheit verpflichtet hat. Eine WordPress-Website mit bekannten Schwachstellen kann als fahrlässige Verletzung der Verschwiegenheitspflicht gewertet werden.
Handwerker
Für lokale Handwerksbetriebe ist das Google-Ranking geschäftskritisch. Ein Hack mit Google-Warnung bedeutet 60-90 % Traffic-Verlust — und damit keine Anfragen, keine Aufträge, kein Umsatz. Die Downtime-Kosten für KMUs liegen bei 8.000-25.000 USD pro Stunde (ITIC 2024). Warum eine langsam ladende Website Sie bares Geld kostet, zeigen die Zahlen deutlich.
Wann sollten Sie WordPress ersetzen?
Nicht immer. Für einen einfachen Blog ohne Kontaktformular, ohne sensible Daten und ohne geschäftskritische Funktion kann WordPress ausreichen — wenn jemand sich regelmäßig um Updates kümmert. Aber für Unternehmenswebsites mit Kundendaten, Formularen und Geschäftskritikalität lohnt sich die Prüfung.
Checkliste: Sollte ich mein WordPress ersetzen?
- Verarbeiten Sie über die Website personenbezogene Daten? (Kontaktformular, Terminbuchung)
- Ist die Website Ihre Hauptquelle für Neukunden?
- Haben Sie mehr als 10 aktive Plugins?
- Werden Plugins mindestens wöchentlich aktualisiert?
- Haben Sie ein Security-Plugin UND Managed Hosting?
- Wurde die Website in den letzten 2 Jahren gehackt?
- Sind Sie in einer regulierten Branche? (Gesundheit, Recht)
- Wissen Sie, ob Ihr WordPress-Theme noch aktiv gepflegt wird?
- Können Sie im Falle eines Hacks innerhalb von 24 Stunden reagieren?
- Übersteigen die jährlichen Sicherheitskosten 1.000 Euro?
Bei 3 oder mehr „Nein"- oder „Unsicher"-Antworten: Ein Wechsel sollte geprüft werden.
ROI eines Wechsels
| Posten | WordPress (jährlich) | Custom Code (jährlich) |
|---|---|---|
| Managed Hosting | 180-360 EUR | 0-240 EUR |
| Security-Plugin | 150-229 EUR | 0 EUR |
| Wartung / Updates | 600-2.400 EUR | 0 EUR |
| Backup-Premium | 50-100 EUR | 0 EUR |
| Summe pro Jahr | 980-3.089 EUR | 0-240 EUR |
Über 5 Jahre: WordPress-Sicherheit kostet 4.900-15.445 Euro — ohne einen einzigen Hack. Die Einmalinvestition für eine Custom-Code-Migration liegt bei 5.000-15.000 Euro. Break-even: 3-5 Jahre ohne Hack. Mit einem Hack (Cleanup + SEO-Recovery): 2-3 Jahre.
Fazit: Die Architektur ist das Problem, nicht die Pflege
WordPress-Sicherheit ist kein Wissensproblem. Es ist ein Architekturproblem. Ein System, das 25 Drittanbieter-Plugins braucht, um zu funktionieren, hat 25 potenzielle Einfallstore. Kein Security-Plugin und kein Managed Hosting ändert das. Sie können die Mauer höher bauen — aber die Türen bleiben offen.
Die Alternative ist keine andere Mauer. Die Alternative ist ein Haus mit weniger Türen. Statische Websites mit Astro oder Next.js haben keine Plugins, keine Datenbank, keinen Login-Endpunkt. Was nicht existiert, kann nicht gehackt werden.
Das ist kein Dogma. Wenn WordPress für Ihre Situation funktioniert — Blog, keine sensiblen Daten, dedizierter IT-Verantwortlicher — dann nutzen Sie es. Aber wenn Ihre Website geschäftskritisch ist, sensible Daten verarbeitet oder Sie in einer regulierten Branche arbeiten: Rechnen Sie nach. Die Zahlen sind eindeutig.
Lohnt sich ein Wechsel für Sie? Wir analysieren Ihre WordPress-Website und zeigen Ihnen konkret: Wie groß ist das Risiko? Was kostet die Absicherung vs. eine Migration? Unverbindlich und ohne Verkaufsdruck. Kostenloses Erstgespräch vereinbaren
Häufig gestellte Fragen (FAQ)
Ist WordPress wirklich so unsicher?
Der WordPress Core wird gut gewartet (nur 7 Schwachstellen 2024). Das Problem ist das Plugin-Ökosystem: 7.966 neue Schwachstellen in 2024, 96 % aus Plugins. 35 % bleiben ungepatcht. Die Architektur erzeugt die Angriffsfläche.
Kann ich WordPress mit Security-Plugins sicher machen?
Teilweise. Security-Plugins reduzieren das Risiko, aber eliminieren es nicht. Sie schützen nur vor bekannten Schwachstellen und erhöhen selbst die Angriffsfläche. Patchstack zeigt: 87,8 % der Exploits umgehen auch Managed Hosting.
Was kostet es, WordPress gegen Custom Code auszutauschen?
Eine Custom-Code-Migration kostet 5.000-15.000 Euro einmalig. Dafür fallen die jährlichen WordPress-Sicherheitskosten (980-3.089 Euro) weg. Break-even: 3-5 Jahre ohne Hack, 2-3 Jahre mit einem Hack.
Was passiert mit meinen Inhalten beim Wechsel?
Alle Inhalte werden migriert. Texte, Bilder und SEO-Einstellungen werden in das neue System übernommen. Mit 301-Weiterleitungen bleibt Ihr Google-Ranking erhalten. Ein Headless CMS wie Payload ermöglicht weiterhin eigene Inhaltspflege.
Ist eine statische Website genauso flexibel wie WordPress?
Für die meisten Unternehmenswebsites: ja. Kontaktformulare, Terminbuchung, Blog, Mehrsprachigkeit — alles ist möglich. Der Unterschied: Bei Custom Code werden Funktionen eingebaut, nicht per Plugin nachgerüstet. Das Ergebnis ist schneller und sicherer.
Für wen ist WordPress trotzdem die richtige Wahl?
Für einfache Blogs ohne sensible Daten, wenn ein IT-Verantwortlicher wöchentlich Updates pflegt und ein Budget für Security-Plugin plus Managed Hosting vorhanden ist. Für geschäftskritische Websites mit Kundendaten ist Custom Code die sicherere Wahl.
Quellen & weiterführende Informationen
Sicherheitsberichte
- Patchstack: State of WordPress Security 2025 — 7.966 Schwachstellen, +34 % — patchstack.com
- Patchstack: Hosting Security Test — 87,8 % der Exploits umgehen Hosting — patchstack.com
- Wordfence: 2024 Annual WordPress Security Report — +68 % Offenlegungen, 35 % ungepatcht — wordfence.com
- Sucuri: 2023 Hacked Website Report — 95,5 % gehackte CMS = WordPress — sucuri.net
- WPScan: 64.782+ Schwachstellen in der Datenbank — wpscan.com
Kosten und Schäden
- IBM/Ponemon: Cost of Data Breach 2024 — 4,88 Mio. USD Durchschnitt — ibm.com
- DLA Piper: DSGVO-Bußgelder 2024 — 1,22 Mrd. EUR europaweit — dlapiper.com
- ITIC 2024: KMU-Downtime-Kosten — 8.000-25.000 USD/Stunde — itic-corp.com
Supply-Chain und Exploits
- Wordfence: Supply-Chain-Attack Juni 2024 — 8 Plugins, 116.000 Websites — wordfence.com
- BleepingComputer: Q1 2025 Most Targeted WordPress Flaws — bleepingcomputer.com
Standards und Recht
- OWASP Top 10 (2021): 8 von 10 Kategorien WordPress-relevant — owasp.org
- W3Techs: WordPress 42,8 % Marktanteil — w3techs.com
- DSGVO-Portal: Bußgeldverfahren 2024 — dsgvo-portal.de
Über den Autor
Sven Huchel
Geschäftsführer & Creative Director
Seit 2005 entwickelt Sven Websites, Brandings und digitale Strategien für Unternehmen im deutschsprachigen Raum. TÜV-zertifiziert für Verkaufspsychologie. Spezialisiert auf verkaufspsychologisch optimierte Websites für Ärzte, Anwälte und Unternehmer.
Sicherheits-Check für Ihre Website
Ihre WordPress-Website ist geschäftskritisch und Sie sind unsicher, ob sie sicher genug ist? Wir analysieren Ihre Situation: Wie groß ist das Risiko? Was kostet Absicherung vs. Wechsel?
Erstgespräch vereinbarenLetzte Aktualisierung: Februar 2026
Zurück zu Wissen