WordPress Jahresend-Check

WordPress Jahresend-Check

In der letzten Dezemberwoche 2025 wurden 293 neue Sicherheitslücken in WordPress-Plugins und Themes entdeckt, darunter eine kritische Schwachstelle, die über 100.000 Websites bedroht. Da 92% aller Angriffe über Plugins erfolgen, ist dringender Handlungsbedarf geboten: Ist Ihre Website noch vor dem Jahreswechsel sicher aufgestellt?

Dennis Schwenker-Sanders 9 Min. Lesezeit

293 neue Sicherheitslücken in einer Woche – ist deine Website betroffen?

Die letzte Dezemberwoche 2025 bringt eine alarmierende Nachricht für WordPress-Nutzer: In nur sieben Tagen wurden 293 neue Sicherheitslücken entdeckt – 274 davon in Plugins, 19 in Themes. Darunter eine kritische Schwachstelle im beliebten ACF Extended Plugin, die über 100.000 Websites betrifft. 150 weitere Plugins wurden komplett aus dem offiziellen Repository entfernt. Für Betriebe in Oldenburg, Ganderkesee, Hatten und der Region, die auf WordPress setzen, bedeutet das: Dringender Handlungsbedarf noch vor dem Jahreswechsel.

Die Zahlen sprechen eine deutliche Sprache: Laut aktuellen Berichten erfolgten 92% aller erfolgreichen WordPress-Hacks in 2025 über Plugins und Themes – nicht über WordPress selbst. Mit 43,4% aller Websites weltweit ist WordPress das beliebteste Content-Management-System, aber genau diese Popularität macht es zum bevorzugten Ziel für automatisierte Angriffe. Der perfekte Zeitpunkt also, um die eigene Website vor dem Jahreswechsel zu überprüfen und für 2026 sicher aufzustellen.

Das Problem: WordPress-Sicherheit ist ein Vollzeitjob geworden

WordPress selbst ist ein solides, sicheres System. Das Problem liegt woanders: In der Plugin- und Theme-Landschaft. Laut dem Patchstack State of WordPress Security Report 2024 stammen 97% aller bekannten Sicherheitslücken aus Plugins und Themes, nicht aus dem WordPress-Kern. Die WPScan-Datenbank listet mittlerweile über 62.000 bekannte Schwachstellen – Tendenz stark steigend.

Was das konkret bedeutet? 2024 blockierte das Sicherheits-Plugin Wordfence 48 Milliarden bösartige Anfragen gegen WordPress-Seiten. Das sind durchschnittlich 90.000 Angriffe pro Minute weltweit. Diese Angriffe laufen vollautomatisch ab – Bots scannen systematisch Millionen von Websites nach bekannten Schwachstellen und schlagen zu, sobald sie eine finden.

Die aktuelle Situation Ende 2025

Die Woche vom 17. Dezember 2025 zeigt beispielhaft, wie dynamisch die Bedrohungslage ist:

  1. 293 neue Schwachstellen in nur sieben Tagen entdeckt
  2. 150+ Plugins wurden vom WordPress-Team aus Sicherheitsgründen entfernt
  3. Kritische RCE-Vulnerability (Remote Code Execution) im ACF Extended Plugin – Angreifer können komplett die Kontrolle übernehmen
  4. 26% der Schwachstellen haben keine sofort verfügbaren Patches

Für lokale Betriebe in Oldenburg und Umgebung, die ihre Website selbst pflegen oder von einer Agentur betreuen lassen, stellt sich die Frage: Wer kümmert sich um diese Updates? Wer prüft wöchentlich, ob neue Sicherheitslücken die eigene Website betreffen? Und wer testet, ob nach einem Update noch alles funktioniert?

Eine Studie zeigt: 90% aller gehackten WordPress-Websites waren nicht auf dem aktuellen Stand. Das bedeutet im Umkehrschluss: Die meisten Angriffe wären vermeidbar gewesen – wenn die Website regelmäßig gewartet worden wäre.

Was ein erfolgreicher Hack bedeutet

Die Folgen einer gehackten Website sind für lokale Betriebe gravierend:

  1. Reputationsverlust: Google markiert gehackte Websites mit Warnhinweisen – potenzielle Kunden springen sofort ab
  2. SEO-Einbruch: Gehackte Websites verlieren massiv an Sichtbarkeit in den Suchergebnissen
  3. Datenverlust: Im schlimmsten Fall sind Kundendaten, Texte und Bilder unwiederbringlich weg
  4. Rechtliche Konsequenzen: Bei Verlust von Kundendaten drohen DSGVO-Bußgelder
  5. Wiederherstellungskosten: Professionelle Bereinigung einer gehackten Website kostet schnell 1.000-3.000€

Laut Sucuri wiesen im ersten Halbjahr 2024 über 473.000 infizierte Websites Malware-Injektionen auf – 69,46% davon mit aktiver Schadsoftware. Die häufigsten Infektionen: Backdoors (69,6%), Malware (72,7%) und SEO-Spam.

Die unbequeme Wahrheit über WordPress-Sicherheit

WordPress ist nicht unsicher – aber es erfordert kontinuierliche Wartung. Das Problem: Die meisten lokalen Betriebe haben weder die Zeit noch das technische Know-how, um sich wöchentlich mit Sicherheitsupdates zu beschäftigen.

Ein typisches Szenario sieht so aus:

  1. Website wurde vor 2-3 Jahren erstellt
  2. 15-25 Plugins installiert (für Kontaktformular, SEO, Caching, Sicherheit, Backup, etc.)
  3. Updates werden unregelmäßig eingespielt – oft nur wenn etwas nicht mehr funktioniert
  4. Niemand prüft, welche Plugins noch gebraucht werden
  5. Alte, deaktivierte Plugins bleiben auf dem Server liegen

Das Fatale: Auch deaktivierte Plugins sind angreifbar. Bots scannen die Verzeichnisstruktur und greifen verwundbare Dateien an, unabhängig davon, ob das Plugin aktiv ist oder nicht.

Lösung 1: WordPress-Installation aufräumen (DIY)

Wenn du deine WordPress-Website selbst betreust, solltest du vor dem Jahreswechsel folgende Schritte durchführen:

Schritt 1: Plugin-Audit durchführen (30 Minuten)

Logge dich in dein WordPress-Dashboard ein und gehe zu "Plugins → Installierte Plugins". Stelle dir bei jedem Plugin diese Fragen:

  1. Brauche ich das wirklich? Viele Plugins wurden mal installiert und nie genutzt
  2. Ist es aktuell? Wurde es in den letzten 6 Monaten aktualisiert?
  3. Wie viele Installationen? Plugins unter 10.000 aktiven Installationen haben oft schlechtere Wartung
  4. Gibt es Alternativen? Manchmal können 3 Plugins durch eines ersetzt werden

Sofort löschen (nicht nur deaktivieren!): Alle Plugins, die du nicht mehr brauchst oder die seit über einem Jahr nicht aktualisiert wurden.

Schritt 2: Alle Updates einspielen (15 Minuten)

Erstelle vorher ein Backup mit einem Plugin wie UpdraftPlus (kostenlos). Dann:

  1. WordPress-Kern aktualisieren
  2. Alle Plugins aktualisieren
  3. Theme aktualisieren
  4. Website testen: Funktioniert noch alles?

Wichtig: Wenn Plugins Updates anbieten, installiere sie. Die häufigste Ausrede "Das lief doch bisher auch so" ist genau der Grund, warum Websites gehackt werden.

Schritt 3: Sicherheits-Plugin installieren (10 Minuten)

Installiere ein kostenloses Sicherheits-Plugin wie Wordfence Security oder Solid Security. Diese Tools:

  1. Scannen deine Website nach bekannten Schwachstellen
  2. Schützen den Login-Bereich vor Brute-Force-Angriffen
  3. Informieren dich über neue Sicherheitslücken
  4. Blockieren automatisierte Angriffe

Die kostenlose Version reicht für die meisten kleinen Websites völlig aus.

Schritt 4: Starke Passwörter einrichten (5 Minuten)

Ein Bot braucht nur 4,5 Sekunden, um ein Passwort aus 10 Ziffern zu knacken. Bei einem Passwort mit 10 Zeichen (Buchstaben, Zahlen, Sonderzeichen) dauert es 2,13 Jahre. WordPress zeigt dir beim Passwort-Ändern an, wie stark dein Passwort ist – nutze nur "starke" Passwörter.

Lösung 2: Professionelle WordPress-Wartung (200-400€/Jahr)

Wenn du dir den monatlichen Wartungsaufwand nicht antun möchtest, gibt es professionelle Wartungsverträge. Diese umfassen typischerweise:

  1. Wöchentliche oder monatliche Updates von WordPress, Plugins und Themes
  2. Automatische Backups vor jedem Update
  3. Sicherheitsscans und Überwachung
  4. Wiederherstellung im Notfall
  5. Technischer Support bei Problemen

Zeitaufwand pro Jahr: Ca. 12-15 Stunden für Basis-Wartung, mehr bei komplexeren Websites mit vielen Plugins.

Für wen lohnt sich das? Für alle Betriebe, die keine Zeit oder Lust haben, sich monatlich mit technischen Details zu beschäftigen – aber trotzdem eine sichere Website haben wollen.

Lösung 3: Steig um auf Startklar CMS – sicher von Grund auf

Hier kommt die unbequeme, aber ehrliche Frage: Brauchst du wirklich WordPress?

WordPress ist ein fantastisches System – für Blogs, Magazine und große Content-Plattformen. Aber für eine lokale Unternehmenswebsite mit 5-8 Seiten? Da ist WordPress oft wie eine Fabrik, wenn du nur eine Werkstatt brauchst.

Das Problem mit dem Plugin-Ökosystem

WordPress selbst ist sicher. Das Problem sind die 60.000+ verfügbaren Plugins von unzähligen Entwicklern weltweit. Manche sind professionell gepflegt, andere werden nach zwei Jahren nicht mehr aktualisiert. Du als Webseitenbetreiber musst das sortieren, prüfen und verwalten.

Jedes Plugin ist:

  1. Eine potenzielle Sicherheitslücke
  2. Eine weitere Update-Aufgabe
  3. Ein möglicher Konflikt mit anderen Plugins
  4. Ein Grund, warum die Website langsamer lädt

Laut Statistik haben durchschnittliche WordPress-Websites 15-25 aktive Plugins. Das bedeutet: 15-25 verschiedene Entwickler, auf deren Wartungsqualität du angewiesen bist.

Startklar CMS: Die Alternative aus Oldenburg

Ich habe Startklar CMS genau für dieses Problem entwickelt: Eine WordPress-Alternative speziell für lokale Betriebe, die eine professionelle Website brauchen, aber keinen Vollzeit-Administrator.

Der entscheidende Unterschied: Keine Plugins von Drittanbietern. Alles, was deine Website kann, ist direkt im System integriert – entwickelt und gewartet von einer Person (mir). Keine 25 verschiedenen Entwickler, keine Plugin-Konflikte, keine wöchentliche Update-Schlacht.

Was Startklar CMS sicher macht

Sicherheit von Anfang an: Während bei WordPress Sicherheit über Plugins nachgerüstet wird, ist sie bei Startklar CMS von Grund auf dabei. Alle Templates, alle Komponenten erfüllen moderne Sicherheitsstandards – ohne dass du dich darum kümmern musst.

Kontrollierte Updates: Statt 25 Plugins von verschiedenen Entwicklern gibt es bei Startklar CMS ein zentrales Update – getestet, geprüft und eingespielt von mir. Keine bösen Überraschungen, keine Kompatibilitätsprobleme.

Keine Plugin-Hölle: Kontaktformular, SEO-Optimierung, Performance, Barrierefreiheit – alles ist direkt integriert. Du musst nicht recherchieren, welches Plugin das beste ist, ob es Sicherheitslücken hat oder ob es mit deinem Theme funktioniert.

Lokaler Support: Wenn etwas nicht funktioniert, rufst du mich an – nicht ein anonymes Support-Forum mit 10 widersprüchlichen Antworten. Als lokaler Entwickler aus Sandkrug bin ich persönlich für deine Website verantwortlich.

Für wen ist Startklar CMS die richtige Wahl?

Startklar CMS ist perfekt für dich, wenn du:

  1. Eine professionelle Unternehmenswebsite brauchst (keine Blog-Plattform)
  2. Keine Zeit für technische Wartung hast oder haben willst
  3. WordPress-Probleme kennst: Zu langsam, zu viele Plugins, ständige Updates
  4. Eine Website zum Selbstpflegen möchtest – Texte ändern, Bilder austauschen, ohne technisches Vorwissen
  5. Wert auf Sicherheit legst, ohne selbst zum IT-Experten werden zu müssen
  6. Mit einem lokalen Entwickler aus der Region arbeiten möchtest

Startklar CMS Pakete im Überblick

Die PreLaunch-Phase läuft noch bis 31. März 2026 – mit besonderen Konditionen:

  1. Onepager (495€): Perfekt für Vereine, Handwerker mit einfachem Internetauftritt
  2. Starter (880€): Klassische Unternehmenswebsite mit 5 Seiten, Kontaktformular, Google Maps
  3. Business (1.485€): Erweiterte Features, Blog-Funktion, mehrsprachig möglich
  4. Professional (2.475€): Individuelle Funktionen, E-Commerce-Integration, komplexe Anforderungen

PreLaunch-Vorteile (bis 31.03.2026):

  1. Launch-Angebot AI Starter für 995€ statt 1.275€
  2. 10% Rabatt auf alle Website-Pakete ab Business
  3. Direkter Draht zum Entwickler (also zu mir) für Fragen und Feedback
  4. Mitspracherecht bei zukünftigen Features

Alle Pakete beinhalten automatisch: Barrierefreie Umsetzung nach WCAG 2.1 AA, moderne Performance-Optimierung, DSGVO-konforme Basis, mobile Optimierung und sicheres System ohne Plugin-Abhängigkeiten.

Realistische Erwartungen: Was bringt sichere Technik?

Ob WordPress mit professioneller Wartung oder Startklar CMS – eine sichere Website schützt dein Unternehmen vor:

  1. Reputationsschäden durch Hacker-Warnungen in Google
  2. Datenverlust durch Malware-Angriffe
  3. Rechtlichen Problemen bei Verlust von Kundendaten
  4. Wiederherstellungskosten von 1.000-3.000€ im Ernstfall

Laut Wordfence Threat Report werden täglich über 3 Milliarden Login-Versuche auf WordPress-Installationen blockiert. Die Angriffe laufen automatisiert und betreffen jede Website – egal ob großes Unternehmen oder kleiner Handwerksbetrieb in Oldenburg.

Die gute Nachricht: 90% aller erfolgreichen Angriffe sind vermeidbar – durch regelmäßige Updates und saubere Systemarchitektur. Entweder du investierst Zeit in WordPress-Wartung, Geld in professionellen Service, oder du wählst ein System, das von Grund auf sicherer konzipiert ist.

Ausblick: Datenschutz 2026 im Fokus

Noch eine wichtige Nachricht für 2026: Der Europäische Datenschutzausschuss (EDSA) hat angekündigt, dass die koordinierte Aufsichtsaktion 2026 die Transparenz- und Informationspflichten gemäß Art. 12-14 DSGVO prüfen wird. Konkret: Datenschutzerklärungen werden gezielt kontrolliert.

Für Betriebe in Deutschland bedeutet das: Bis 2026 solltest du deine Datenschutzerklärung auf Vollständigkeit und Verständlichkeit prüfen. Fehlende oder mangelhafte Informationen können verstärkt geahndet werden. Mehr dazu in einem kommenden Artikel – für heute konzentrieren wir uns auf die akute WordPress-Sicherheit.

Dein nächster Schritt: Kostenloser Website-Check

Du bist unsicher, wie sicher deine Website wirklich ist? Ich biete Betrieben aus Oldenburg, Ganderkesee, Hatten, Wardenburg und Umgebung einen kostenlosen Website-Check an:

  1. 15-minütige Analyse deiner aktuellen Website
  2. Security-Check: Sind bekannte Schwachstellen vorhanden?
  3. Update-Status: Ist deine WordPress-Installation aktuell?
  4. Plugin-Audit: Welche Plugins kannst du löschen?
  5. Konkrete Handlungsempfehlungen für deine Situation

Wenn du mehr über Startklar CMS wissen möchtest: Auf startklar-oldenburg.de/cms findest du alle Infos zu den Paketen, Features und der PreLaunch-Aktion.

Als lokaler Webentwickler aus Sandkrug bin ich persönlich für dich da – keine Call-Center, keine anonymen Ticket-Systeme. Direkter Kontakt zu jemandem, der die Region kennt und versteht, was lokale Betriebe brauchen.

So erreichst du mich:

  1. Website: startklar-oldenburg.de (Kontaktformular)
  2. E-Mail: kontakt@startklar-oldenburg.de

Die 293 neuen Sicherheitslücken dieser Woche sind eine Erinnerung: 2025 ist fast vorbei, 2026 steht vor der Tür. Der Jahreswechsel ist der perfekte Zeitpunkt, deine Website-Strategie zu überdenken. Ob WordPress-Wartung oder Umstieg auf Startklar CMS – Hauptsache, deine Website ist sicher und du kannst dich auf dein Geschäft konzentrieren.

Veröffentlicht am 22. Dezember 2025 von Dennis Schwenker-Sanders

#Sicherheitslücken #Website Wartung #WordPress #Plugins #Alternative #Security

Artikel teilen: