Ihre WordPress-Website ist ein Angriffsziel. Keine Meinung — eine Statistik.
Web Development
· 9 Min. Lesezeit
Im Jahr 2025 wurden 11.334 Schwachstellen im WordPress-Ökosystem entdeckt — 91 % in Plugins. Mediane Zeit bis zum ersten Angriff nach öffentlicher Bekanntmachung: 5 Stunden. Was das für die Unternehmenswebsite bedeutet und was Sie tun können.
Vor einigen Jahren genügte es, dass eine Website in Google präsent war.
Heute sind die Dinge komplizierter. Kunden suchen Informationen mit ChatGPT, Gemini, Claude oder Perplexity. KI-Systeme verstehen, analysieren und empfehlen Inhalte auf eine grundlegend andere Weise als klassische Suchmaschinen — und sie haben eigene Kriterien dafür, welche Websites sie zitieren und empfehlen.
Es gibt jedoch ein Thema, über das wir in Gesprächen über die „Zukunftssicherheit" einer Website selten sprechen: die Sicherheit und technische Performance der Plattform, auf der sie läuft.
Und wenn Ihre Website auf WordPress läuft — besonders wenn sie vor 3-5 Jahren gebaut und seitdem nicht grundlegend überarbeitet wurde — sollten die Daten aus 2026 Ihre Aufmerksamkeit erregen.
Was die Zahlen aus 2026 über WordPress aussagen
Das sind keine Meinungen. Sie stammen aus dem Jahresbericht von Patchstack State of WordPress Security in 2026, veröffentlicht im Februar 2026, sowie aus den Berichten von Wordfence und SolidWP für das erste Quartal des Jahres.
- 11.334 neue Schwachstellen wurden im WordPress-Ökosystem im Jahr 2025 entdeckt — die höchste jemals verzeichnete Zahl, ein Anstieg von 42 % gegenüber 2024.
- 91 % der Schwachstellen befinden sich nicht in WordPress selbst, sondern in Plugins. Der WordPress-Kern ist relativ gut gesichert; Plugins sind die primäre Angriffsfläche.
- 43 % der Schwachstellen können ohne Authentifizierung ausgenutzt werden — ein Angreifer braucht kein Passwort, kein Konto.
- Mediane Zeit bis zum ersten Angriff nach Bekanntmachung einer Schwachstelle: 5 Stunden. Nicht Tage, nicht Wochen.
- 52 % der Plugin-Entwickler haben Schwachstellen nicht gepatcht, bevor diese öffentlich wurden.
- 46 % der entdeckten Schwachstellen hatten zum Zeitpunkt der Veröffentlichung keinen verfügbaren Patch.
- Eine WordPress-Website betreibt im Durchschnitt 20-25 Plugins — jedes Plugin ist eine Abhängigkeit, jede Abhängigkeit eine potenzielle Schwachstelle.
Ein reales Beispiel aus dem Mai 2026
Es bedarf keiner hypothetischen Szenarien. Am 8. Mai 2026 entdeckte Wordfence eine kritische Schwachstelle im Plugin Burst Statistics — einem Analysetool, das von über 200.000 WordPress-Websites genutzt wird.
Die Schwachstelle, katalogisiert als CVE-2026-8181 mit einem Schweregrad von 9,8 von 10, ermöglichte es jedem — ohne jedes Konto, ohne jedes Passwort — die vollständige Kontrolle über eine Website zu übernehmen, einschließlich der Erstellung gefälschter Administrator-Konten.
Der Patch erschien am 12. Mai. Zwischen dem 8. und 12. Mai blockierte Wordfence über 7.400 Angriffe, die auf diese Schwachstelle abzielten — an einem einzigen Tag.
Burst Statistics ist ein Analyse-Plugin, kein Sicherheits-Plugin. Es ist nicht „verdächtig" oder obskur. Es ist ein normales, beliebtes Werkzeug, das aus guten Gründen von Zehntausenden von Websites genutzt wird. Und es war vier Tage lang eine offene Tür.
Geschwindigkeit: das andere Problem, das Sie immer aufschieben
Sicherheit ist ein akutes Problem. Geschwindigkeit ist ein chronisches — weniger dramatisch, aber mit ebenso konkreten Auswirkungen.
Core Web Vitals sind die Metriken, mit denen Google die reale Performance einer Website aus Nutzerperspektive misst. Die wichtigste davon, LCP (Largest Contentful Paint), misst, wie lange es dauert, bis der Hauptinhalt auf dem Bildschirm erscheint. Der „gute" Schwellenwert im Jahr 2026: unter 2 Sekunden.
Das Problem mit WordPress ist nicht, dass die Plattform grundlegend langsam wäre. Das Problem ist, dass jedes Plugin Skripte, Stile und Datenbankabfragen hinzufügt. Eine Website mit 20 Plugins — die Durchschnittszahl — hat 20 Abhängigkeiten, die bei jedem Besuch geladen werden, oft sequenziell, oft das Seitenrendering blockierend.
Und die Konsequenz ist nicht mehr nur ein ungeduldiger Nutzer, der die Seite verlässt. Neuere Forschungen zeigen, dass schlechte Performance Sie auch aus KI-Ergebnissen ausschließt. Systeme wie ChatGPT, Perplexity oder Google AI Overviews, die Inhalte zitieren und empfehlen, haben eigene Auswahlkriterien — und die Geschwindigkeit und technische Struktur Ihrer Website gehören dazu.
Geschwindigkeit ist kein Vorteil, den Sie gewinnen. Sie ist der Boden, auf dem Sie stehen müssen, um überhaupt im Spiel zu sein.
Warum es nicht WordPress’ Schuld ist — und warum es trotzdem wichtig ist
Es ist wert, es direkt zu sagen: WordPress ist keine schlechte Plattform. Sie betreibt 43,5 % aller Websites im Internet. Das Plugin-Ökosystem hat Millionen von Menschen ermöglicht, funktionale Websites ohne fortgeschrittene technische Kenntnisse zu erstellen.
Das Problem ist nicht WordPress selbst. Das Problem ist, wie Ihre spezifische Website gebaut wurde und der Kontext, in dem sie heute läuft.
Eine WordPress-Website, die vor 4-5 Jahren gebaut wurde, mit damals ausgewählten Plugins, mit einem Theme, das keine aktiven Updates mehr erhält, mit einer Datenstruktur, die nicht überarbeitet wurde — diese Website läuft heute in einem völlig anderen Ökosystem als dem, für das sie konzipiert wurde. Sie hat sich nicht weiterentwickelt. Die Bedrohungen schon.
Wie die Alternative in der Praxis aussieht
In den letzten 2 Jahren haben wir Unternehmen beim Übergang von WordPress zu Anwendungen und Websites auf modernen Technologien geholfen — React, Next.js, Headless-Systeme mit dedizierten CMSs, strukturierte APIs.
Der konkrete Unterschied ist nicht visuell, obwohl sich auch das Design verändert. Er ist architektonischer Natur:
- Keine Abhängigkeiten von Drittanbieter-Plugins — der auf der Website laufende Code wird speziell für Sie geschrieben und kontrolliert, nicht aus externen Quellen mit eigener Angriffsfläche bezogen.
- Messbare Ladegeschwindigkeit — die von uns gelieferten Websites erzielen LCP-Werte unter 1,2 Sekunden unter realen Bedingungen, verglichen mit 3-6 Sekunden bei typischen WordPress-Installationen mit Plugins.
- Semantische Struktur für KI — Inhalte werden so ausgezeichnet und strukturiert, dass KI-Systeme sie korrekt verstehen, zitieren und empfehlen können.
- Vereinfachte Administration — keine Plugin-Updates, keine Versionskonflikte, kein „Die Website ist nach einem Update kaputtgegangen".
Was wir konkret tun, wenn Sie uns kontaktieren
Wir empfehlen nicht jedem eine Migration. Der erste Schritt ist eine Analyse Ihrer aktuellen Website — kostenlos, ohne jede Verpflichtung.
Wir prüfen: den realen Performance-Score, die Schwachstellen aktiver Plugins, die technische Struktur gegenüber AI-Search-Anforderungen und ob es reale Vorteile bei einer Modernisierung gibt oder nicht.
Wenn es keine klaren Vorteile gibt, sagen wir es Ihnen direkt. Es macht weder für Sie noch für uns Sinn, eine Migration durchzuführen, die keinen messbaren Mehrwert bringt. Wenn es sie gibt, präsentieren wir einen konkreten Vorschlag: was gebaut wird, in welcher Zeit, zu welchen Kosten und mit welchen erwarteten Ergebnissen.
Bevor Sie diese Seite schließen
Wenn Ihre Website auf WordPress läuft und älter als 3 Jahre ist, stellen Sie sich drei schnelle Fragen: Wissen Sie, wie viele aktive Plugins sie hat? Wissen Sie, wann das letzte Sicherheitsaudit war? Wissen Sie, wie lange das Laden auf einem Telefon mit durchschnittlicher 4G-Verbindung dauert?
Wenn Sie nicht alle drei Antworten kennen, lohnt sich ein Blick. Es dauert 30 Minuten und kostet nichts.