WordPress-Sicherheitslücken 2026: Warum veraltete Seiten gehackt werden

Q: Ist WordPress 2026 sicher zu nutzen?

Der WordPress-Kern ist einigermaßen sicher, aber das Ökosystem drumherum nicht. Rund 91% der WordPress-Sicherheitslücken stammen aus Plugins, und KI-Tools automatisieren Angriffe inzwischen. Eine Plugin-lastige WordPress-Seite trägt ein echtes, tägliches Risiko, besonders wenn Updates nicht sofort eingespielt werden.

Q: Muss ich WordPress-Plugins wirklich ständig aktualisieren?

Ja. Sobald eine Sicherheitslücke öffentlich wird, treffen die ersten automatisierten Angriffe üblicherweise innerhalb von etwa fünf Stunden ein. Updates auszulassen, selbst für ein paar Wochen, öffnet ein Zeitfenster, nach dem Bots aktiv suchen.

Die meisten denken über Website-Sicherheit erst nach, wenn sie versagt. So klingt es dann meistens:

"Meine WordPress-Seite wurde gehackt. Ich war nicht sehr aktiv und habe ein paar Updates verpasst." — Filipe, ein Entwickler, der seine Seite nach dem Hack neu aufgebaut hat

Filipe ist kein Einzelfall. Er ist die Regel. Etwa 13.000 WordPress-Seiten werden jeden einzelnen Tag gehackt, und die meisten auf dieselbe Weise wie seine: über Software, die still und leise veraltet ist. WordPress betreibt rund 40% des gesamten Webs, und genau deshalb ist es die meistangegriffene Website-Plattform der Welt. Das hier ist die ehrliche, einfache Version des Risikos, das du trägst, wenn du eine WordPress-Seite betreibst, und der einfachste Weg, es dauerhaft loszuwerden.

Was stimmt eigentlich nicht mit der WordPress-Sicherheit?

Der WordPress-Kern selbst ist nicht wirklich das Problem. 2025 wurde nur ein winziger Bruchteil neuer Lücken im Kern gefunden. Die Gefahr steckt in allem, was du oben draufsetzt. Die Zahlen aus 2025 sind deutlich:

11.334 neue Sicherheitslücken wurden im WordPress-Ökosystem gemeldet, ein Plus von rund 42% gegenüber dem Vorjahr.
91% dieser Lücken steckten in Plugins, eine Handvoll in Themes und nur ein Bruchteil im Kern.
43% lassen sich ganz ohne Login ausnutzen, ein Angreifer braucht also nie ein Passwort.
Die mittlere Zeit von der Veröffentlichung einer Lücke bis zum ersten Angriff liegt bei etwa fünf Stunden.
Bei fast der Hälfte der gemeldeten Lücken gab es am Tag der Veröffentlichung noch keinen Fix.

Eine typische WordPress-Seite betreibt 20 bis 30 Plugins. Jedes davon ist Code von einer anderen Person, mit einem anderen Zeitplan und anderen Sicherheitsgewohnheiten. Jedes ist eine Tür in deine Seite. Je mehr Türen du hinzufügst, desto mehr Schlösser musst du für immer im Auge behalten. Das ist ein großer Teil davon, warum sich WordPress wie so viel Arbeit anfühlt.

Das eigentliche Risiko: ausgelassene Updates

Hier ist die unbequeme Wahrheit, die Filipe erwischt hat. Der häufigste Grund, warum WordPress-Seiten gehackt werden, ist kein genialer Angreifer. Es ist veraltete Software.

Die Sicherheitsfirma Sucuri fand heraus, dass 61% der gehackten WordPress-Seiten beim Einbruch mit veralteter Software liefen.
Mehr als die Hälfte aller WordPress-Lücken geht auf veraltete Plugins zurück.

Updates sind kein optionaler Hausputz. Sie sind das Pflaster, das die Tür schließt, bevor jemand hindurchgeht. Aber Updates sind auch eine lästige Pflicht, und lästige Pflichten werden ausgelassen. Du hast viel zu tun. Ein Plugin-Update hat einmal dein Layout zerschossen, also drückst du jetzt mit Bauchschmerzen auf "aktualisieren". Monate vergehen. Das ist genau das Zeitfenster, auf das Angreifer warten.

Das Grausame ist das Timing. Sobald eine Lücke veröffentlicht ist, hämmern automatisierte Bots innerhalb von Stunden auf verwundbare Seiten ein. Du bekommst keine Wochen zum Reagieren, du bekommst einen Nachmittag. Wenn du "nicht sehr aktiv" bist, wie Filipe es ausdrückte, hast du das Rennen schon verloren, bevor du wusstest, dass es begonnen hat.

Warum es schnell schlimmer wird

Bis vor Kurzem brauchte es für Angriffe in großem Maßstab noch echte menschliche Arbeit. Das ändert sich gerade.

Eine neue Generation leistungsstarker KI-Modelle, die Sorte hinter Namen wie Mythos, Fable und GPT-5.4-Cyber, kann eine frisch veröffentlichte Lücke lesen und, in den falschen Händen, dabei helfen, funktionierenden Angriffscode in unter 15 Minuten zu schreiben. Sicherheitsforscher dokumentieren 2026 KI-Systeme, die eine Schwachstelle finden, den Exploit erzeugen und ihn über Tausende Seiten ausrollen, fast ganz ohne Mensch dazwischen. Was früher einen versierten Hacker erforderte, braucht jetzt kaum mehr als einen Prompt.

Diese Verschiebung bedeutet für gewöhnliche Seitenbetreiber drei Dinge:

Angriffe passieren schneller, oft innerhalb von Stunden nach Veröffentlichung einer Lücke.
Angriffe passieren in viel größerem Maßstab, weil die Kosten, eine weitere Seite anzugreifen, auf fast null sinken.
Kleine Seiten sind nicht mehr zu klein, um sich damit zu befassen. Automatisierten Tools ist es egal, ob du ein großes Unternehmen bist oder ein Ein-Personen-Studio. Sie scannen einfach alles.

Cyber-Bedrohungen stiegen ohnehin Jahr für Jahr. KI hat Öl ins Feuer gegossen. Eine WordPress-Seite voller Plugins ist jetzt ein Ziel in einem Spiel, in dem die Angreifer ein gewaltiges Upgrade bekommen haben und die meisten Seitenbetreiber nicht.

Statische Seiten: fast nichts zum Hacken

Du kannst eine Maschine, die in 15 Minuten neue Exploits schreibt, nicht durch Updates überholen. Der gewinnende Zug ist, dieses Spiel gar nicht erst zu spielen, und genau das macht eine statische Seite. Der Grund, warum sie so viel sicherer ist, ist wunderbar einfach: Es gibt fast nichts zum Hacken.

Eine WordPress-Seite betreibt bei jedem einzelnen Aufruf lebenden Code (PHP), eine Datenbank, eine Admin-Login-Seite und Dutzende Plugins auf einem Server. Jedes davon ist ein Ziel. Eine statische Seite ist nur schlichtes HTML, CSS und Bilder, direkt an den Besucher ausgeliefert. Der Unterschied, worauf ein Angreifer überhaupt zielen kann, ist deutlich:

Angriffsziel	WordPress	Statische Seite
Plugins (91% aller Lücken)	20–30 davon, immer alternd	Keine
Datenbank (SQL-Injection)	Ja, bei jedem Aufruf	Keine
Serverseitiger Code (PHP)	Läuft bei jeder Anfrage	Keiner
Admin-Login zum Durchprobieren	Ja, öffentlich	Keiner
Ständige Sicherheitsupdates	Nötig, für immer	Nicht nötig

Sicherheitsforscher beschreiben die Angriffsfläche einer statischen Seite als praktisch null. Es gibt keine Tür zum Abschließen, weil es keine Tür gibt. Als Bonus sind statische Seiten dramatisch schneller und fallen fast nie aus, weil es keine zerbrechliche Mechanik gibt, die kaputtgehen kann. Das ist der Kern davon, von WordPress auf eine statische Seite zu wechseln.

Du musst dich nicht zwischen sicher und einfach entscheiden

Der alte Einwand gegen statische Seiten war, dass sie schwer zu bearbeiten seien. Das stimmt nicht mehr. ShiftPress migriert deine bestehende WordPress-Seite auf eine schnelle statische Version und gibt dir einen KI-Editor, sodass du weiterhin Texte ändern, Bilder tauschen und Seiten veröffentlichen kannst, ohne je wieder Code, Plugins oder Updates anzufassen.

Du behältst die Seite, die du hast. Du verlierst das Wartungs-Hamsterrad und das tägliche Risiko, der nächste Filipe zu werden.

Schluss mit Patchen. Fang an zu entspannen.

ShiftPress macht aus deiner WordPress-Seite eine schnelle, statische, ohne Plugins zum Aktualisieren und mit fast nichts zum Hacken, plus einem KI-Editor, damit du weiterhin selbst Änderungen machen kannst. Wir nehmen in kleinen Gruppen auf. Komm auf die Warteliste für einen kostenlosen Blick auf deine Seite.

Auf die Warteliste ↗

Häufige Fragen

Ist WordPress 2026 sicher zu nutzen? +

Der WordPress-Kern ist recht sicher, aber das Ökosystem drumherum nicht. Rund 91% der Lücken stammen aus Plugins, und KI-Tools automatisieren Angriffe inzwischen. Eine Plugin-lastige WordPress-Seite trägt ein echtes, tägliches Risiko, besonders wenn Updates nicht sofort eingespielt werden.

Wie werden WordPress-Seiten am häufigsten gehackt? +

Durch veraltete Software. Rund 61% der gehackten WordPress-Seiten liefen beim Einbruch mit veralteten Plugins, Themes oder Kern. Angreifer nutzen automatisierte Tools, um bekannte Lücken innerhalb von Stunden nach Veröffentlichung auszunutzen.

Muss ich Plugins wirklich ständig aktualisieren? +

Ja. Sobald eine Lücke öffentlich ist, treffen die ersten automatisierten Angriffe üblicherweise innerhalb von etwa fünf Stunden ein. Updates auszulassen, selbst für ein paar Wochen, öffnet ein Zeitfenster, nach dem Bots aktiv suchen.

Warum sind statische Seiten sicherer als WordPress? +

Eine statische Seite hat keine Plugins, keine Datenbank, keine Login-Seite und keinen serverseitigen Code, der bei jedem Aufruf läuft. Gängige Angriffe wie SQL-Injection und Plugin-Exploits haben kein Ziel, also ist die Angriffsfläche praktisch null.

Kann ich auf eine statische Seite umziehen, ohne sie nicht mehr bearbeiten zu können? +

Ja. ShiftPress migriert deine WordPress-Seite auf eine schnelle statische Version und bringt einen KI-Editor mit, sodass du Texte, Bilder und Seiten ohne Code, Plugins oder Sicherheitsupdates ändern kannst.

Das Fazit

WordPress ist nicht unsicher, weil die Menschen dahinter nachlässig wären. Es ist unsicher, weil es von dir verlangt, für immer einen Stapel fremder Plugins zu pflegen, und in dem Moment, in dem du zurückfällst, wirst du zum Ziel. Da KI Angriffe Monat für Monat schneller und billiger macht, ist "ich aktualisiere das später" ein größeres Glücksspiel als je zuvor. Eine statische Seite nimmt dieses Glücksspiel vom Tisch, indem sie das entfernt, worauf Angreifer zielen. Du kannst deine Seite behalten, sie weiter bearbeiten und aufhören, nachts wach zu liegen und dich zu fragen, ob heute der Tag ist, an dem du zum nächsten mahnenden Zitat wirst.