Skip to content
· 7 Min. Lesezeit

WordPress-Sicherheit 2026: Warum kleine Unternehmen weiterziehen

Letztes Jahr wurden über 13.000 WordPress-Schwachstellen offengelegt. So sieht ein Hack für ein kleines Unternehmen konkret aus: und warum Architektur, nicht Plugins, die einzige echte Lösung ist.

WordPressSecurityBusiness Strategy
Teilen

Letztes Jahr wurden über 13.000 WordPress-Schwachstellen offengelegt, mehr als doppelt so viele wie im Vorjahr. Sicherheitsforscher fanden kritische Lücken in Plugins, die von Millionen von Websites eingesetzt werden. Ransomware-Betreiber nehmen WordPress-Websites gezielt ins Visier, weil die Architektur vorhersehbar und die Plugin-Angriffsfläche groß ist (Patchstack und Sucuri veröffentlichen quartalsweise Berichte dazu).

Wer eine WordPress-Website für sein Unternehmen betreibt, hat die Angriffsfläche direkt auf der Startseite.

Warum WordPress so häufig angegriffen wird

WordPress betreibt rund 40 % aller Websites. Diese Konzentration macht es für Angreifer besonders attraktiv: Ein einziger Exploit lässt sich automatisiert gegen Millionen von Websites gleichzeitig einsetzen.

Plugins sind der Angriffsvektor Nummer eins. Im WordPress-Repository gibt es über 60.000 Plugins. Ein verbreitetes Plugin mit einer ungepatchten Schwachstelle kann über Nacht Zehntausende von Websites kompromittieren.

Themes bergen ähnliche Risiken. Premium-Themes aus fragwürdigen Marktplätzen enthalten häufig Backdoors oder anfälligen Code.

WordPress Core selbst erhält regelmäßige Sicherheits-Patches, doch Updates brechen Websites. Deshalb verzögern Betreiber die Aktualisierung. 42 % der gehackten WordPress-Websites liefen zum Zeitpunkt des Angriffs mit einer veralteten Version.

Shared Hosting platziert Ihre Website auf einem Server mit Hunderten anderer Websites. Gelingt Angreifern der Einbruch bei einer Nachbar-Website, wechseln sie mitunter auf andere Websites desselben Servers.

Wie ein WordPress-Hack konkret aussieht

SEO-Spam-Injektion

Hacker injizieren Tausende versteckter Links zu Pharma-, Glücksspiel- oder Erwachsenen-Websites in Ihre Seiten. Ihre Google-Rankings brechen ein. Ihre Kunden sehen Spam. Google setzt Ihre Domain auf die Blacklist.

Redirect-Hacks

Besucher Ihrer Website werden lautlos auf bösartige Seiten weitergeleitet. Sichtbar wird das nicht, weil der Redirect nur bei bestimmten Traffic-Mustern ausgelöst wird. Ihr organischer Traffic bricht auf unerklärliche Weise ein.

Phishing-Seiten

Angreifer legen gefälschte Login-Seiten auf Ihrer Domain an und sammeln darüber Zugangsdaten Ihrer Besucher. Ihre Website ist damit Teil eines aktiven Sicherheitsvorfalls.

Crypto-Mining

Bösartiges JavaScript läuft in den Browsern Ihrer Besucher und schürft Kryptowährung auf deren CPU.

Ransomware

Bei kleinen Websites selten, aber es kommt vor. Die gesamte Website wird verschlüsselt und es folgt eine Lösegeldforderung.

Die Wiederherstellung nach einem dieser Angriffe: 200 bis 2.000 Euro und mehr, dazu Tage an Ausfallzeit und der Reputationsschaden.

Die Plugin-Tretmühle

Um WordPress abzusichern, werden Sicherheits-Plugins benötigt. Doch Sicherheits-Plugins sind ebenfalls Plugins: Sie erweitern die Angriffsfläche, während sie diese gleichzeitig schützen sollen.

  • Jahresabonnements (100 bis 300 Euro pro Plugin)
  • Regelmäßige Updates (die andere Plugins beschädigen können)
  • Laufendes Monitoring und Konfiguration
  • Firewall-Regeln, die manchmal legitimen Traffic blockieren

Der architektonische Unterschied

Keine Datenbank im Internet. WordPress nutzt eine Datenbank (MySQL), auf die Plugins und Themes dauerhaft zugreifen. Eine statische Next.js-Website bietet keine Datenbank als Angriffsziel für SQL-Injection.

Keine PHP-Ausführung. WordPress führt bei jeder Anfrage PHP aus. Next.js liefert vorgebaute HTML-Dateien: eine deutlich kleinere Angriffsfläche.

Kein vergleichbares Plugin-Ökosystem. Abhängigkeiten sind JavaScript-Pakete (npm), die von Entwicklern gezielt verwaltet werden, kein Marktplatz mit über 60.000 Optionen unterschiedlicher Qualität.

Vercels Plattform übernimmt einen Teil des Sicherheits-Stacks. DDoS-Schutz, TLS, Edge-Caching: alles vom Plattform-Team von Vercel verwaltet. Anwendungscode, Datenverarbeitung und Inhalte bleiben in der Verantwortung des Kunden.

Kein WordPress-Admin-Panel. Angreifer lieben `/wp-admin`: eine bekannte URL, leicht per Brute-Force anzugreifen. Eine Next.js-Website hat keinen vergleichbaren zentralen Angriffspunkt.

Geschäftsrisiko

Automatisierte Angriffe gehören zum Alltag einer WordPress-Website mit dem aktuellen Marktanteil. Die geschäftliche Entscheidung lautet: weiter Zeit und Geld in die Verteidigung einer breiten Angriffsfläche investieren oder auf eine Architektur wechseln, die strukturell eine kleinere bietet.

webvise migriert WordPress-Websites zu Next.js mit festem Leistungsumfang und KI-gestützter Umsetzung. Migrationen liefern typischerweise bessere Performance, niedrigere Betriebskosten und eine kleinere serverseitige Angriffsfläche.

Die Praktiken von webvise sind an den ISO 27001- und ISO 42001-Standards ausgerichtet.