WordPress Plugins: Warum mehr nicht besser ist
30 Plugins installiert, 12 davon deaktiviert, 5 seit Jahren nicht aktualisiert. Kommt dir bekannt vor? Dann ist dieser Artikel für dich. Hier erfährst du, warum jedes Plugin deine Website langsamer, unsicherer und instabiler macht – und wie du aufräumst.
Plugins sind das Fundament des WordPress-Ökosystems. Sie machen WordPress flexibel, erweiterbar und für fast jeden Zweck einsetzbar. Das ist gleichzeitig die größte Stärke und die größte Schwäche.
Denn jedes Plugin, das du installierst, hat Konsequenzen. Nicht sichtbar, nicht sofort spürbar – aber real.
Was jedes Plugin mit deiner Website macht
Jedes aktive WordPress-Plugin wird bei jedem einzelnen Seitenaufruf geladen. Egal ob der Besucher die Funktion nutzt oder nicht. Das bedeutet konkret:
Zusätzliche Datenbankabfragen. Die meisten Plugins speichern Einstellungen in der WordPress-Datenbank. Bei jedem Seitenaufruf werden diese Einstellungen abgerufen. 20 Plugins = 20+ zusätzliche Datenbankabfragen.
Zusätzliche CSS- und JavaScript-Dateien. Jedes Plugin bringt eigenen Code mit. Ein Slider-Plugin lädt seine Slider-Bibliothek. Ein Formular-Plugin lädt seine Validierungs-Scripts. Ein Social-Media-Plugin lädt seine Share-Buttons. Zusammen sind das oft 10–25 zusätzliche HTTP-Requests.
Zusätzlicher PHP-Code. Der Server muss den Code jedes Plugins ausführen, bevor die Seite ausgeliefert wird. Je mehr Plugins, desto mehr Arbeit für den Server, desto langsamer die Seite.
Ergebnis: Eine WordPress-Installation mit 25 Plugins hat typischerweise eine Ladezeit von 4–8 Sekunden und einen PageSpeed-Score unter 50.
Das Sicherheitsproblem
Performance ist nicht das einzige Problem. Plugins sind die Hauptursache für WordPress-Sicherheitslücken.
Jedes Plugin ist Software von einem Drittentwickler. Manche Entwickler kümmern sich gut um ihre Plugins – regelmäßige Updates, Sicherheitspatches, guter Code. Andere veröffentlichen ein Plugin und fassen es dann nie wieder an.
Über 90 % aller bekannten WordPress-Sicherheitslücken stammen aus Plugins. Das ist kein Zufall – es liegt daran, dass das Plugin-Ökosystem kaum kontrolliert wird. Jeder kann ein Plugin im WordPress-Verzeichnis veröffentlichen. Es gibt keine strenge Code-Review. Kein Qualitäts-Check.
Und jedes Plugin, das du installierst – auch deaktivierte – ist potenziell ein Einfallstor.
Die typische Plugin-Sammlung eines kleinen Unternehmens
Ich sehe bei vielen WordPress-Websites die gleiche Geschichte:
| Plugin | Zweck | Wirklich nötig? |
|---|---|---|
| Yoast SEO | SEO-Grundlagen | Ja, aber nur 10 % der Features werden genutzt |
| Contact Form 7 | Kontaktformular | Ja |
| WPBakery/Elementor | Page Builder | Der größte Performance-Killer |
| Wordfence | Sicherheit | Nötig, weil WordPress unsicher ist |
| UpdraftPlus | Backups | Nötig, weil WordPress fragil ist |
| Smush/ShortPixel | Bildkomprimierung | Nötig, weil WordPress Bilder nicht optimiert |
| WP Super Cache | Caching | Nötig, weil WordPress langsam ist |
| Akismet | Spam-Schutz | Nötig, weil WordPress Spam-Kommentare bekommt |
| Cookie Notice | DSGVO | Nötig, weil andere Plugins Cookies setzen |
| Classic Editor | Alten Editor zurückholen | Weil Gutenberg nervt |
| + 10–15 weitere | Diverse | Meist unklar oder vergessen |
Fällt dir was auf? Die Hälfte der Plugins existiert nur, um Probleme zu lösen, die WordPress selbst verursacht. Sicherheits-Plugins, weil WordPress unsicher ist. Caching-Plugins, weil WordPress langsam ist. Backup-Plugins, weil WordPress kaputtgehen kann.
Du bezahlst Performance, um Probleme zu lösen, die ohne das System gar nicht existieren würden.
Wie du aufräumst
Wenn du bei WordPress bleibst, hier der Aktionsplan:
Schritt 1: Inventur
Geh auf "Plugins → Installierte Plugins". Geh jedes einzelne Plugin durch und frag dich: Weiß ich, was dieses Plugin tut? Nutze ich es aktiv? Was passiert, wenn ich es deaktiviere?
Schritt 2: Sofort löschen
Deaktivierte Plugins: Wenn ein Plugin deaktiviert ist, lösche es komplett. Deaktiviert heißt nicht weg – der Code liegt noch auf deinem Server und kann ein Sicherheitsrisiko sein.
Plugins, die du nicht kennst: Wenn du nicht weißt, wozu ein Plugin da ist, google den Namen. Wenn es nicht kritisch ist, deaktiviere es und teste die Website. Funktioniert alles? Dann löschen.
Plugins, die das Gleiche tun: Zwei SEO-Plugins? Zwei Formular-Plugins? Eins muss weg.
Schritt 3: Page Builder hinterfragen
Page Builder wie Elementor, WPBakery oder Divi sind mit Abstand die größten Performance-Killer. Sie laden riesige Mengen an CSS und JavaScript – oft 500 KB bis 1,5 MB zusätzlich.
Die Frage ist: Brauchst du den Page Builder wirklich? Wenn du die Seite einmal gebaut hast und sie selten änderst, könnte ein leichteres Theme ohne Page Builder die bessere Wahl sein.
Schritt 4: Alternativen prüfen
Manche Plugin-Funktionen lassen sich auch ohne Plugin lösen:
- SEO-Grundlagen (Meta-Tags, Sitemap) → können ins Theme eingebaut werden
- Kontaktformular → ein einfaches HTML-Formular mit PHP-Backend reicht
- Bildkomprimierung → Bilder vor dem Hochladen komprimieren (Squoosh)
- Social-Media-Buttons → einfache Links statt schwerer Plugins
Die Faustregel
Unter 10 Plugins: Guter Bereich. Die Website kann trotzdem schnell sein.
10–20 Plugins: Grenzwertig. Jedes weitere Plugin sollte kritisch geprüft werden.
Über 20 Plugins: Zu viel. Deine Website hat garantiert Performance- und Sicherheitsprobleme.
Über 30 Plugins: Höchste Zeit für eine grundsätzliche Frage: Brauchst du wirklich ein System, das 30 Erweiterungen braucht, um zu funktionieren?
Die grundsätzliche Frage
Hier ist der Elefant im Raum: Wenn du 15 Plugins brauchst, um deine Website sicher, schnell und funktionsfähig zu machen – ist dann vielleicht nicht WordPress das Problem?
Eine statische Website braucht null Plugins. Keine Sicherheits-Plugins, weil es nichts zu hacken gibt. Keine Caching-Plugins, weil die Seiten schon fertig sind. Keine Backup-Plugins, weil die Dateien das Backup sind. Keine Bild-Plugins, weil du die Bilder einmal optimierst und fertig.
Das ist keine Kritik an WordPress als Software. Es ist die Erkenntnis, dass manche Werkzeuge für manche Aufgaben überdimensioniert sind.
Du willst wissen, welche deiner Plugins du wirklich brauchst – und was dich Performance kostet? Schick mir deine URL – ich mache einen kostenlosen Check.
Häufige Fragen
Als Faustregel: unter 10 Plugins ist gut, 10–20 ist grenzwertig, über 20 garantiert Performance- und Sicherheitsprobleme. Jedes aktive Plugin wird bei jedem Seitenaufruf geladen und verlangsamt die Website. Wichtiger als die Anzahl ist: Brauche ich dieses Plugin wirklich?
Über 90 % aller WordPress-Sicherheitslücken kommen aus Plugins. Das Plugin-Ökosystem ist kaum kontrolliert – jeder kann ein Plugin veröffentlichen. Veraltete, nicht mehr gewartete Plugins mit bekannten Sicherheitslücken sind das häufigste Einfallstor für Hacker.
Deaktivierte Plugins immer komplett löschen. Kandidaten zum Entfernen: doppelte Plugins (zwei SEO-Tools), sehr selten genutzte Plugins, Page Builder (größte Performance-Killer), und Plugins, die nur andere WordPress-Probleme beheben (Caching, Sicherheit, Bildoptimierung).