WordPress Sicherheitslücken: Die größten Risiken für dein Business

Lesezeit: ca. 9 Minuten

Zuletzt aktualisiert: Februar 2026

WordPress ist das beliebteste CMS der Welt. Über 40 % aller Websites laufen damit. Das macht es auch zum beliebtesten Ziel für Hacker. Nicht weil WordPress schlecht programmiert ist – sondern weil sich der Aufwand lohnt. Ein einziger Exploit, der bei 40 % aller Websites funktioniert, ist für Angreifer Gold wert.

Das Ergebnis: WordPress-Websites werden gehackt. Jeden Tag. Nicht nur die Großen – gerade kleine Unternehmenswebsites, die niemand aktiv betreut, sind leichte Ziele.

Warum gerade kleine Unternehmen betroffen sind

Du denkst vielleicht: "Warum sollte jemand meine kleine Website hacken? Ich bin doch kein Konzern."

Genau das ist das Missverständnis. Hacker greifen nicht gezielt deine Website an. Sie scannen automatisiert Millionen von WordPress-Installationen nach bekannten Schwachstellen. Deine Website ist nicht das Ziel – sie ist Beifang.

Und kleine Unternehmen sind besonders verwundbar, weil sie oft kein Budget für regelmäßige Updates haben, WordPress-Plugins seit Monaten oder Jahren nicht aktualisiert wurden, das Standard-Admin-Passwort noch aktiv ist und niemand regelmäßig prüft, ob die Website noch sicher ist.

Die 5 häufigsten Sicherheitslücken

1. Veraltete Plugins

Das ist mit Abstand das größte Risiko. Laut aktuellen Sicherheitsberichten stammen über 90 % aller WordPress-Sicherheitslücken aus Plugins – nicht aus dem WordPress-Core selbst.

Jedes Plugin ist ein Stück Software, das von einem Drittentwickler geschrieben wurde. Manche werden regelmäßig aktualisiert. Manche wurden seit 2 Jahren nicht angefasst. Und manche haben bekannte Sicherheitslücken, die in öffentlichen Datenbanken dokumentiert sind – für jeden Hacker einsehbar.

Typisches Szenario: Du hast ein Kontaktformular-Plugin installiert, das eine Sicherheitslücke hat. Ein Bot findet diese Lücke, nutzt sie aus und kann plötzlich Dateien auf deinem Server hochladen oder deine Datenbank auslesen.

Das Tückische: Du merkst es nicht sofort. Viele gehackte Websites laufen wochenlang weiter, während im Hintergrund Spam verschickt, Malware verteilt oder Kundendaten abgegriffen werden.

2. Brute-Force-Angriffe auf das Login

Jede WordPress-Website hat standardmäßig eine Login-Seite unter deinedomain.de/wp-admin. Jeder weiß das. Auch Hacker.

Brute-Force-Angriffe probieren automatisiert tausende Passwort-Kombinationen pro Minute durch. Wenn dein Admin-Benutzername "admin" ist und dein Passwort "Firma2024!" – dann ist dein Login in wenigen Minuten geknackt.

Was danach passiert: Der Angreifer hat vollen Zugriff auf dein WordPress-Backend. Er kann Inhalte ändern, Malware einschleusen, deine Website als Spam-Schleuder missbrauchen oder deine Kundendaten stehlen.

3. Veralteter WordPress-Core

WordPress veröffentlicht regelmäßig Sicherheitsupdates. Manche schließen kritische Lücken, die aktiv ausgenutzt werden. Wenn du diese Updates nicht einspielst, bleibt deine Website verwundbar – und die Lücke ist öffentlich dokumentiert.

Das ist, als würde der Hersteller deines Türschlosses sagen: "Achtung, unser Schloss hat eine Schwäche, hier ist die Lösung" – und du wechselst das Schloss einfach nicht.

4. Unsichere Themes

Nicht nur Plugins sind ein Risiko. Auch Themes können Sicherheitslücken enthalten. Besonders problematisch sind nulled Themes – das sind Premium-Themes, die von dubiosen Quellen kostenlos heruntergeladen werden. Die sind oft absichtlich mit Malware versehen.

Aber auch seriöse Themes können Schwachstellen haben, besonders wenn sie viele Funktionen mitbringen (Page Builder, Slider, Shortcodes). Mehr Code = mehr potenzielle Angriffsfläche.

5. Fehlende HTTPS-Verschlüsselung

Ohne SSL-Zertifikat werden alle Daten zwischen Browser und Server unverschlüsselt übertragen. Das betrifft auch Passwörter, Formulareingaben und persönliche Daten deiner Kunden.

Seit 2018 markiert Chrome Websites ohne HTTPS aktiv als "Nicht sicher". Google verwendet HTTPS außerdem als Ranking-Signal. Es gibt also keinen Grund mehr, ohne SSL zu arbeiten.

Was passiert, wenn deine Website gehackt wird?

Die Folgen sind ernster, als die meisten denken:

Google-Blacklist: Google erkennt gehackte Websites und zeigt eine Warnseite an: "Diese Website wurde möglicherweise gehackt." Dein Ranking ist sofort weg – und es kann Wochen dauern, bis du wieder rauskommen.

Kundendaten-Verlust: Wenn dein Kontaktformular Daten in einer WordPress-Datenbank speichert, können Hacker Namen, E-Mail-Adressen und Nachrichten deiner Kunden abgreifen. In der DSGVO-Welt ist das nicht nur peinlich – das kann teuer werden.

Website als Spam-Schleuder: Hacker nutzen gehackte Server, um Spam-Mails zu verschicken. Dein Hoster sperrt dann möglicherweise dein gesamtes Hosting-Paket.

Reputationsschaden: Stell dir vor, ein Kunde öffnet deine Website und sein Virenscanner schlägt Alarm. Oder er sieht seltsame Inhalte auf deiner Seite. Das Vertrauen ist sofort zerstört.

Kosten für die Reparatur: Ein gehacktes WordPress professionell bereinigen zu lassen kostet 300 bis 1.500 Euro – ohne Garantie, dass es nicht wieder passiert.

Wie du deine WordPress-Website absicherst

Wenn du bei WordPress bleibst, hier die wichtigsten Maßnahmen:

Sofort umsetzen:

• Alle Plugins und Themes auf die neueste Version aktualisieren
• WordPress-Core aktuell halten
• Starke, einzigartige Passwörter verwenden (mindestens 16 Zeichen, Passwort-Manager nutzen)
• Standard-Benutzername "admin" ändern
• Zwei-Faktor-Authentifizierung (2FA) für das Login aktivieren
• Login-URL ändern (weg von /wp-admin)

Regelmäßig machen:

• Mindestens wöchentlich alle Updates einspielen
• Regelmäßige Backups erstellen (und testen, ob sie funktionieren)
• Ungenutzte Plugins und Themes komplett löschen – nicht nur deaktivieren
• Sicherheits-Plugin installieren (z. B. Wordfence oder Sucuri)

Einmalig einrichten:

• SSL-Zertifikat aktivieren (bei den meisten Hostern kostenlos)
• Dateirechte auf dem Server korrekt setzen
• XML-RPC deaktivieren (wird oft für Angriffe missbraucht)
• Verzeichnis-Listing deaktivieren

Die unbequeme Wahrheit

Alle diese Maßnahmen helfen. Aber sie lösen das Grundproblem nicht: WordPress hat eine große Angriffsfläche, weil es eine Datenbank, serverseitigen Code, ein Admin-Panel und ein Plugin-System hat. Du kannst die Türen besser abschließen – aber das Haus hat trotzdem 50 Fenster.

Eine statische Website hat dieses Problem nicht. Keine Datenbank, kein Admin-Login, kein PHP, keine Plugins. Es gibt schlicht nichts, was ein Hacker angreifen könnte. Der Server liefert nur fertige HTML-Dateien aus – mehr nicht.

Das ist kein theoretischer Vorteil. Das ist der Unterschied zwischen einer Website, die du aktiv schützen musst, und einer, die von sich aus sicher ist.

Fazit: Sicherheit ist kein Feature – es ist eine Pflicht

Wenn du eine WordPress-Website betreibst, bist du verantwortlich für ihre Sicherheit. Das bedeutet regelmäßige Updates, Backups, Monitoring und schnelle Reaktion bei Problemen. Wenn du die Zeit und das Wissen dafür hast – kein Problem.

Wenn nicht, hast du zwei Optionen: Einen Wartungsvertrag abschließen, der das für dich übernimmt. Oder den Ansatz wechseln und auf eine Technologie setzen, bei der Sicherheit kein laufender Aufwand ist.

Du willst wissen, wie sicher deine aktuelle Website ist? Schick mir deine URL – ich schaue sie mir kostenlos an.

Weiterlesen:

• WordPress ist langsam? 7 Ursachen & Lösungen →
• Statische Website vs. WordPress: Der ehrliche Vergleich →
• Warum ohne CMS? Die technischen Hintergründe →