WordPress-Updates konsequent durchführen: Was auf dem Spiel steht
WordPress ist das meistgenutzte Content-Management-System der Welt – und genau das macht es zum bevorzugten Ziel für Angreifer. Wer eine WordPress-Website betreibt, übernimmt damit eine technische Verantwortung, die sich nicht auf das Veröffentlichen von Inhalten beschränkt. Sie erstreckt sich auf Sicherheit, Stabilität, Performance und zunehmend auch auf regulatorische Compliance. Regelmäßige Updates sind dabei nicht eine von vielen Maßnahmen – sie sind die Grundvoraussetzung für einen professionellen digitalen Betrieb.
Was sich in der Praxis zeigt: Viele Unternehmen erkennen das Problem – und handeln trotzdem nicht konsequent. Nicht aus Unwissenheit, sondern weil interne Kapazitäten fehlen, Prozesse nicht etabliert sind oder das Thema schlicht zwischen anderen Prioritäten verloren geht. Das Ergebnis sind WordPress-Installationen, die zuverlässig aussehen und leise verwundbar sind.
Die Zahlen sprechen eine klare Sprache
Im Jahr 2025 wurden insgesamt 11.334 neue Sicherheitslücken im WordPress-Ökosystem entdeckt – ein Anstieg von 42 Prozent gegenüber 2024. Zum Vergleich: Schon 2024 waren es 7.966 neue Schwachstellen, was damals einem Plus von 34 Prozent gegenüber dem Vorjahr entsprach.
Das entspricht rund 22 neuen Sicherheitslücken pro Tag. 96 Prozent davon fanden sich in Plugins, 4 Prozent in Themes. Im WordPress-Core selbst wurden lediglich sieben Schwachstellen entdeckt – keine davon mit ernsthaftem Gefahrenpotenzial.
Das Muster dahinter ist konsistent: WordPress als System ist solide gebaut und wird aktiv gepflegt. Das eigentliche Risiko entsteht im Ökosystem drumherum – und durch ausbleibende Updates.
Besonders bemerkenswert: 2025 wurden mehr hochgradige Schwachstellen im WordPress-Ökosystem entdeckt als in den beiden Vorjahren zusammen – ein Anstieg, der maßgeblich auf Premium-Komponenten aus Marktplätzen wie Envato zurückzuführen ist.
Angreifer handeln schneller als Admins reagieren
Was die Lage 2025 und 2026 fundamental verändert hat, ist nicht nur die Menge der Schwachstellen, sondern die Geschwindigkeit ihrer Ausnutzung. 2018 betrug die durchschnittliche Zeit zwischen der Veröffentlichung einer Schwachstelle und ihrer ersten aktiven Ausnutzung 63 Tage. 2025 ist dieser Median auf fünf Stunden gesunken. Das ist kein Druckfehler.
Die Konsequenz für Website-Betreiber ist direkt: Wer auf einen Workflow setzt, bei dem man von einer Schwachstelle liest, ihre Relevanz bewertet und dann ein Update im nächsten Wartungsfenster einplant – dem ist dieses Zeitfenster längst geschlossen. Die am stärksten attackierten Schwachstellen werden bereits ausgenutzt, während Administratoren noch überlegen, ob das Update dringend ist.
Erschwerend kommt hinzu, dass Angreifer auch ältere Schwachstellen gezielt ausnutzen – in der Hoffnung, Seiten zu treffen, die nicht konsequent aktuell gehalten werden.
Das Plugin-Problem: Verlassen, ungepatch, gefährlich
Im Jahr 2024 wurden 1.614 Plugins aus Sicherheitsgründen aus dem WordPress-Verzeichnis entfernt, davon 1.450 mit hoch- oder mittelprioritären Schwachstellen. Trotz der Entfernung aus dem offiziellen Repository bleiben diese Plugins auf zahlreichen Websites weiterhin aktiv und setzen sie damit Angriffen aus.
Hinzu kommt ein strukturelles Problem: 827 Plugins und Themes wurden 2024 als aufgegeben eingestuft. Diese verlassenen Erweiterungen schaffen Sicherheitslücken in WordPress-Installationen, da sie keine kritischen Sicherheitsupdates mehr erhalten.
Laut Patchstack haben 46 Prozent aller 2025 veröffentlichten Schwachstellen vom Plugin-Entwickler zum Zeitpunkt der öffentlichen Bekanntgabe keinen Fix erhalten. Das zeigt, warum Website-Betreiber sich nicht allein auf Plugin-Updates als Sicherheitsmaßnahme verlassen können.
Was das bedeutet: Selbst wer konsequent aktualisiert, kann auf einem Plugin sitzen, das schlicht nie gepatcht wird – weil der Entwickler das Projekt stillschweigend aufgegeben hat. Das macht regelmäßige Plugin-Audits zur Pflicht, nicht zur Kür. In unserer täglichen Arbeit in der Webentwicklung ist die erste Frage bei einer übernommenen WordPress-Installation immer: Welche Plugins sind noch aktiv gepflegt?
Cross-Site-Scripting dominiert die Angriffsvektoren
Fast die Hälfte aller 2024 dokumentierten WordPress-Schwachstellen waren Cross-Site-Scripting-Lücken (47,7 %), gefolgt von Broken Access Control (14,19 %) und Cross-Site Request Forgery (11,35 %).
43 Prozent der 2024 entdeckten WordPress-Sicherheitslücken konnten ohne Authentifizierung ausgenutzt werden – das bedeutet: kein gestohlenes Passwort nötig, kein interner Zugang. Ein veraltetes Plugin reicht.
Updates sind kein reines Sicherheitsthema
So gewichtig die Sicherheitsdimension ist – sie ist nicht der einzige Grund, warum ein ungepflegtes WordPress-System zum Problem wird. Updates wirken in mehreren Dimensionen gleichzeitig, und alle davon haben direkten Einfluss auf den Geschäftsbetrieb.
Performance und Sichtbarkeit in Suchmaschinen
Eine sichere und schnelle WordPress-Website verbessert nicht nur das Vertrauen der Nutzer – sie beeinflusst auch die Suchmaschinenplatzierung. Google nutzt Geschwindigkeit, Stabilität und Sicherheit als Rankingfaktoren, was Performance-Optimierung genauso wichtig macht wie Content.
Wenn WordPress-Websites technische Probleme aufweisen, ist eine veraltete Software-Version häufig die Ursache – denn neuere Versionen enthalten typischerweise Performance- und Optimierungsverbesserungen.
Für professionell betriebene Business-Websites bedeutet das: Wer auf veralteten Core-Versionen läuft, verschenkt messbare Geschwindigkeit – und damit Sichtbarkeit in Suchmaschinen sowie Conversion-Potenzial.
WordPress 6.9 zeigt, was auf dem Spiel steht
WordPress 6.9 brachte unter anderem ein Notes-Feature für Block-Level-Kommentare in Beiträgen und Seiten, das redaktionelle Reviews deutlich vereinfacht, sowie eine Abilities API – ein standardisiertes, maschinenlesbares Berechtigungssystem, das die Grundlage für KI-gestützte und automatisierte Workflows legt.
Auf der Performance-Seite liefert 6.9 On-Demand Block CSS, das Styles nur für tatsächlich genutzte Blöcke lädt, optimierte Cron-Ausführung für bessere Core Web Vitals durch verbesserte Time to First Byte sowie ein aktualisiertes Template-System für reduzierte CSS-Ausgabe.
WordPress 6.9 verbessert nicht nur die User Experience – es optimiert auch die technische Struktur sowohl für klassisches SEO als auch für das aufkommende Feld der Generative Engine Optimization (GEO).
Wer diese Version nicht eingespielt hat, läuft nicht nur mit Sicherheitslücken – er verliert gegenüber Wettbewerbern an technischer Substanz.
Kompatibilität als stiller Kostenfaktor
WordPress, PHP, Themes und Plugins sind ein System vieler voneinander abhängiger Komponenten. Wer eine Ebene vernachlässigt, riskiert Inkompatibilitäten, die sich in Fehlfunktionen, visuellen Brüchen oder kompletten Seitenausfällen äußern. Das sind keine theoretischen Szenarien – das sehen wir in Projekten regelmäßig, wenn wir veraltete Installationen übernehmen.
Warum Updates trotzdem ausbleiben
Das vielleicht überraschendste Ergebnis aus 2024: Mehr als die Hälfte der Plugin-Entwickler, denen Patchstack eine Schwachstelle gemeldet hatte, patchten das Problem nicht vor der öffentlichen Bekanntgabe.
Auf Betreiberseite ist das Bild ähnlich. Fehlende interne Prozesse, Angst vor Kompatibilitätsproblemen nach dem Update, knappe IT-Ressourcen – die Gründe sind bekannt. Keiner davon ist eine valide Begründung dafür, bekannte Sicherheitslücken offen zu lassen. Unternehmen riskieren damit potenzielle Datenpannen, regulatorische Verstöße, Reputationsschäden und finanzielle Verluste. Die durchschnittlichen Kosten eines Datenschutzvorfalls lagen 2024 bei 4,88 Millionen US-Dollar.
Die Entscheider, die wir in Projekten treffen, wissen das oft. Das Problem ist nicht Einsicht – es ist Kapazität und fehlende Struktur.
Ein strukturierter Ansatz statt reaktivem Handeln
Wer WordPress professionell betreibt, braucht keine Perfektion – aber klare Prozesse. Aus unserer Projekterfahrung haben sich folgende Maßnahmen als besonders wirksam erwiesen:
Automatische Updates gezielt aktivieren WordPress erlaubt es, Minor-Updates und Sicherheits-Patches automatisch einzuspielen. Angesichts eines Exploit-Fensters von fünf Stunden ist das keine Komfortfunktion mehr, sondern eine Notwendigkeit. Sicherheitsupdates sollten idealerweise innerhalb von 24 Stunden eingespielt werden. Routine-Feature-Updates können einem gemäßigteren Zeitplan folgen – mit vorherigem Test in einer Staging-Umgebung –, aber Updates, die Sicherheitslücken schließen, sollten diesen langsameren Rhythmus nicht haben.
Staging-Umgebungen als Pflichtbestandteil Major-Updates direkt auf dem Live-System einzuspielen ist ein kalkuliertes Risiko, das sich vermeiden lässt. Eine Testumgebung identifiziert Kompatibilitätsprobleme, bevor Nutzer davon betroffen sind. Das gibt die nötige Sicherheit, um Updates auch tatsächlich zeitnah durchzuführen – statt sie aus Angst vor Folgeschäden aufzuschieben.
Plugin-Hygiene als fortlaufender Prozess Nicht jedes Plugin, das heute funktioniert, wird morgen noch gepflegt. Regelmäßige Audits der installierten Erweiterungen – mit Blick auf letzte Update-Zeitpunkte, Aktiv-Installationen und Support-Status – sind keine einmalige Aufgabe, sondern ein kontinuierlicher Bestandteil des Website-Betriebs.
Proaktives Vulnerability-Tracking Tools wie Wordfence oder Patchstack informieren in Echtzeit über neue Schwachstellen in installierten Plugins und Themes. Angreifer scannen kontinuierlich nach veralteter Software, ungepatchten Schwachstellen und Fehlkonfigurationen. Die Realität ist klar: Viele WordPress-Seiten bleiben auch nach öffentlicher Bekanntgabe von Sicherheitslücken angreifbar – einfach weil Updates verzögert oder ignoriert werden.
Backups als unverzichtbare Basis Vor jedem Update gehört ein vollständiges Backup der Website. Nicht als bürokratische Pflicht, sondern als echtes Sicherheitsnetz – das erst den Spielraum schafft, Updates konsequent und ohne Zögern durchzuführen.
Regulatorischer Druck: Der EU Cyber Resilience Act kommt
Was viele WordPress-Betreiber noch nicht auf dem Radar haben: Der EU Cyber Resilience Act (CRA) ist am 10. Dezember 2024 in Kraft getreten. Die Meldepflichten für aktiv ausgenutzte Schwachstellen gelten ab dem 11. September 2026, die vollständige Anwendung aller Anforderungen ab dem 11. Dezember 2027.
WordPress-Plugin- und Theme-Entwickler müssen den CRA einhalten. Das umfasst verpflichtende Sicherheitsaudits, formale Prozesse zur Offenlegung von Schwachstellen und dokumentiertes Incident-Reporting – stilles Patchen von Sicherheitsproblemen ist nicht mehr erlaubt.
Der CRA gilt als potenzieller Wendepunkt für Open-Source-Sicherheit – vergleichbar mit dem Einfluss, den die DSGVO auf den Datenschutz hatte.
Für Unternehmen, die WordPress-basierte Systeme betreiben, heißt das: Wer heute keine dokumentierten Update- und Schwachstellen-Management-Prozesse hat, wird spätestens durch regulatorische Anforderungen dazu gezwungen. Die Konsequenzen bei Verstößen sind nicht nur Bußgelder – Behörden können Plugins auch unmittelbar von WordPress.org, CodeCanyon und anderen für EU-Nutzer zugänglichen Plattformen entfernen lassen.
Wer jetzt handelt, steuert selbst. Wer wartet, reagiert auf Zwang.
Mehrschichtige Sicherheit als Realität anerkennen
WordPress-Core-, Plugin- und Theme-Schwachstellen sind für nahezu die Hälfte aller Malware-Infektionen verantwortlich – der Rest hängt mit schlechter Sicherheitshygiene zusammen. Updates schließen bekannte Lücken – aber sie ersetzen keine mehrschichtige Verteidigungsstrategie.
Da 46 Prozent der 2025 veröffentlichten Schwachstellen zum Zeitpunkt der öffentlichen Bekanntgabe keinen Developer-Fix hatten, ist das alleinige Warten auf ein offizielles Plugin-Update keine tragfähige Strategie. Virtual-Patching-Systeme, die Schutzregeln im Moment der Veröffentlichung einer Schwachstelle ausrollen, adressieren das Fünf-Stunden-Fenster direkt.
Das heißt konkret: Updates bleiben unverzichtbar – aber ein modernes WordPress-Sicherheitskonzept kombiniert zeitnahe Updates mit proaktivem Monitoring, Backup-Strukturen und, wo sinnvoll, application-layer Schutz.
Professioneller Betrieb braucht professionelle Struktur
Für viele Unternehmen ist die Herausforderung keine fehlende Motivation, sondern fehlende Kapazität. IT-Teams sind ausgelastet, interne Prozesse für Website-Wartung fehlen, und das Thema fällt zwischen alle Stühle.
Wir begleiten Unternehmen als Digitalagentur beim strukturierten Betrieb ihrer WordPress-Umgebungen – von der initialen Bestandsaufnahme über die Einrichtung sicherer Update-Prozesse bis zum laufenden Monitoring. Unser Ansatz für Website-Wartung und Pflege geht dabei bewusst über das mechanische Einspielen von Updates hinaus: Kompatibilitätsprüfung, Backup-Management, Vulnerability-Tracking und proaktives Handeln bei neuen Bedrohungen sind fester Bestandteil.
Für Unternehmen, die über WordPress hinaus denken oder auf maßgeschneiderte Lösungen setzen wollen, lohnt sich auch der Blick auf Alternativen: Headless CMS-Architekturen, Craft CMS oder andere Systeme können je nach Anforderung die bessere strategische Entscheidung sein. Die ehrlichste Empfehlung ist immer die, die zum tatsächlichen Bedarf passt – nicht die, die am einfachsten umzusetzen ist.
Eine aktuelle, gepflegte WordPress-Installation ist mehr als ein Sicherheitsmerkmal. Sie ist Ausdruck professionellen digitalen Betriebs – und ein klares Signal nach innen wie außen, dass das eigene digitale Auftreten ernst genommen wird. Für Unternehmen, die ihre Website als kritische Infrastruktur betrachten – und wer Bestellungen entgegennimmt, Leads generiert oder Kunden online bedient, tut das –, ist der Abstand zwischen "Ich update, wenn ich Zeit habe" und "Mein Hosting regelt das automatisch" zunehmend der Abstand zwischen sicher und kompromittiert.
