Deine Website läuft, das Design gefällt, alles ist gut – bis eines Morgens eine fremde Werbung auf deiner Startseite steht oder Google eine rote Warnung anzeigt. Genau dann fragen sich viele zum ersten Mal: Wie sicher ist meine WordPress-Seite eigentlich? Die ehrliche Antwort hängt weniger von WordPress selbst ab als davon, wie die Seite gepflegt wird.

Ich bin Mustafa von Numara Design aus Pforzheim. In diesem Artikel erkläre ich dir ohne Panikmache und ohne Technik-Kauderwelsch, wo die echten Risiken bei WordPress liegen – und was ein Betrieb ganz konkret tun kann, um auf der sicheren Seite zu sein.

Wie groß ist das Risiko bei WordPress wirklich?

WordPress ist das mit Abstand meistgenutzte System für Websites weltweit. Das ist praktisch, macht es aber auch zum beliebtesten Ziel. Wo viele Türen gleich gebaut sind, lohnt es sich für Angreifer, einen passenden Dietrich zu bauen – und den dann automatisch an Millionen Türen auszuprobieren.

Die Zahlen aus dem Jahr 2025 sind deutlich: Es kamen 11.334 neue Sicherheitslücken in der WordPress-Welt dazu, ein Plus von rund 42 Prozent gegenüber dem Vorjahr. Wichtig ist aber, wo diese Lücken stecken – und da wird es interessant.

11.334

neue WordPress-Sicherheitslücken allein im Jahr 2025 – ein Plus von rund 42 % gegenüber dem Vorjahr.

Quelle: Patchstack, State of WordPress Security 2026

91 %

dieser Lücken stecken in Plugins und Erweiterungen – nicht im WordPress-Kern selbst.

Quelle: Patchstack, State of WordPress Security 2026

~5 Std.

dauert es im Median von der Veröffentlichung einer Lücke bis zu den ersten Massen-Angriffen.

Quelle: Patchstack / branchenübliche Beobachtungen

Nicht WordPress ist das Problem – sondern die Plugins

Das ist die wichtigste Botschaft, und sie ist auch die fairste: WordPress selbst ist nicht unsicher. Der Kern, also das eigentliche System, wird von vielen Leuten gepflegt und ist ordentlich abgesichert. Die 91 Prozent der Lücken stecken fast alle in den kleinen Zusatzprogrammen – den Plugins und Erweiterungen, die man installiert, um eine Funktion nachzurüsten.

Stell dir dein System wie ein solides Haus vor. Die Mauern stehen. Aber jedes Plugin ist wie ein zusätzliches Fenster, das jemand nachträglich einbaut. Ein gutes Fenster ist dicht. Ein billiges, das nie mehr gewartet wird, lässt sich irgendwann aufhebeln. Je mehr Fenster, desto mehr Stellen, auf die du achten musst.

Gut zu wissen

Viele Websites sammeln über die Jahre Plugins an, die längst niemand mehr braucht – ein alter Bilder-Slider, ein Formular, das ersetzt wurde. Jedes davon bleibt ein mögliches offenes Fenster, auch wenn es nichts mehr tut. Aufräumen ist hier echte Sicherheitsarbeit.

Warum Zeit hier alles ist: rund 5 Stunden bis zum Angriff

Viele stellen sich einen Angriff wie einen Einbrecher vor, der sich gezielt deine Seite aussucht. So läuft es fast nie. In Wahrheit sind das automatische Programme, die pausenlos das ganze Internet abklappern und jede Tür durchprobieren.

Wird eine neue Lücke in einem Plugin öffentlich, dauert es im Median nur rund fünf Stunden, bis diese automatischen Angriffe im großen Stil starten. Das heißt: Zwischen „die Lücke ist bekannt“ und „sie wird ausgenutzt“ liegt oft weniger als ein Arbeitstag. Wer dann noch tagelang mit einem Update wartet, lässt das Fenster genau in der gefährlichsten Zeit offen.

Sicherheit ist kein Einmalprojekt, sondern laufender Schutz.

Der Mindestschutz: sieben Dinge, die wirklich zählen

Die gute Nachricht: Du musst kein Technik-Experte werden. Es gibt einen klaren Grundschutz, der die allermeisten automatischen Angriffe schon abfängt. Diese sieben Punkte gehören dazu:

  • HTTPS (Schloss-Symbol): Die Verbindung zwischen Besucher und Seite ist verschlüsselt. Ohne das warnt der Browser heute offen vor deiner Seite.
  • Aktuelles System: WordPress und Design immer auf dem neuesten Stand halten – hier werden bekannte Lücken geschlossen.
  • Wenige Plugins: Nur installieren, was du wirklich brauchst. Jedes zusätzliche ist ein zusätzliches Risiko.
  • Automatische Updates: Sicherheits-Updates sollten von allein einspielen, damit das Zeitfenster klein bleibt.
  • Firewall (WAF): Ein Schutzschild vor der Seite, das verdächtige Anfragen abfängt, bevor sie überhaupt ankommen.
  • Regelmäßige Backups: Automatische Sicherungskopien, damit du im Ernstfall in Minuten wieder online bist – statt bei null anzufangen.
  • Spam-Schutz: Formulare und Kommentare absichern, damit sie nicht mit Müll und schädlichen Links geflutet werden.

Der teuerste Fehler

Keine Backups zu haben. Wird eine Seite ohne Sicherung gehackt, bleibt oft nur der komplette Neuaufbau – Zeit, Nerven und Geld. Mit einem aktuellen Backup ist derselbe Vorfall in vielen Fällen eine Sache von wenigen Stunden.

Die Alternative: eine schlanke Bauweise ohne all die Fenster

Es gibt noch einen anderen Weg, und den gehe ich bei vielen meiner Kunden bewusst: eine schlanke, sogenannte „statische“ Bauweise. Vereinfacht gesagt ist die Seite dabei nicht ein ständig laufendes Programm mit vielen beweglichen Teilen, sondern fertig „gebacken“ und ausgeliefert – wie ein gedrucktes Plakat statt einer Maschine, die pausenlos läuft.

Der Vorteil: Es gibt schlicht viel weniger Angriffsfläche. Keine Anmeldemaske, in die man sich reinhacken kann, kaum Plugins, die veralten. Genau so baue ich bei Numara die meisten Seiten für lokale Betriebe – schnell, sicher und wartungsarm. Das ist nicht für jeden Fall die richtige Wahl, aber für eine klassische Betriebs-Website oft die entspanntere.

Mein ehrlicher Tipp

Wenn du schon eine WordPress-Seite hast, wirf sie nicht sofort weg. Prüf zuerst: Läuft alles aktuell, gibt es Backups, sind ungenutzte Plugins raus? Das bringt am meisten. Über eine schlankere Bauweise lohnt es sich nachzudenken, wenn eine Seite ohnehin ansteht oder die Wartung dich ständig Zeit kostet.

Das Fazit in einem Satz

WordPress ist nicht unsicher, aber es will gepflegt werden – die Gefahr steckt fast immer in veralteten Plugins und fehlenden Updates, und weil Angriffe heute automatisch und in Stunden ablaufen, entscheidet nicht Glück über deine Sicherheit, sondern eine Handvoll Routinen, die im Hintergrund laufen. Ob du die selbst übernimmst oder abgibst, ist deine Sache – ganz ohne geht es bei WordPress leider nicht.

Passend dazu: Website-Wartung: warum sie sich wirklich lohnt und DSGVO, Cookies & Tracking: was Pflicht ist.