Sicherheit7 Min. Lesezeit07. Juli 2026
WordPress-Sicherheit in Zahlen (2026)
Kurz gesagt
91 % der WordPress-Schwachstellen stecken 2025 in Plugins, nicht im Core — bei 11.334 neuen Lücken (+42 % gegenüber 2024) und 46 % ohne Patch zum Zeitpunkt der Veröffentlichung. Wer WordPress betreibt, hält Plugins aktuell, härtet den Login und überwacht die Seite.
Wie sicher ist WordPress wirklich? Die Antwort steckt in den Zahlen der großen Security-Anbieter — und sie ist eindeutig: Das Risiko liegt fast nie im WordPress-Kern, sondern in Plugins und in fehlenden Updates. Hier die wichtigsten Statistiken 2025/2026, jeweils mit Quelle.
WordPress ist das größte Angriffsziel im Web
WordPress betreibt 41,5 % aller Websites weltweit und 59,2 % aller Seiten mit bekanntem CMS — mehr als alle anderen Systeme zusammen (W3Techs 2026). Diese Dominanz macht WordPress automatisch zum lohnendsten Ziel: Was gegen WordPress funktioniert, funktioniert potenziell gegen Millionen Seiten.
91–96 % der Schwachstellen stecken in Plugins — nicht im Core
91 % der 2025 gemeldeten Schwachstellen lagen in Plugins, 9 % in Themes und nur eine Handvoll im WordPress-Core, alle niedrig priorisiert (Patchstack 2026). 2024 waren es sogar 96 % Plugin-Anteil — eine Zahl, die Wordfence unabhängig bestätigt (Wordfence 2024). Die Lehre: Der WordPress-Kern ist bemerkenswert sicher; das Risiko kommt mit jedem installierten Plugin hinzu.
Das Tempo nimmt zu: 11.334 neue Lücken in 2025
Im WordPress-Ökosystem wurden 2025 11.334 neue Schwachstellen entdeckt — ein Anstieg von 42 % gegenüber 2024 (Patchstack 2026). 2024 waren es 7.966, also rund 22 neue Lücken pro Tag (Patchstack 2025). Besonders heikel: 46 % der 2025er Lücken hatten zum Zeitpunkt der Veröffentlichung keinen Patch, und die Zahl der High-Severity-Lücken stieg um 113 %.
Angreifer sind schnell — und automatisiert
Die mediane Zeit bis zur Massen-Ausnutzung stark angegriffener Lücken lag 2025 bei nur 5 Stunden; rund die Hälfte der High-Impact-Lücken wird binnen 24 Stunden ausgenutzt (Patchstack 2026). Wordfence blockierte 2024 über 54 Milliarden bösartige Requests und mehr als 55 Milliarden Brute-Force-Login-Versuche; häufigster Exploit-Vektor war XSS mit 9 Milliarden Versuchen (Wordfence 2024). XSS war 2024 zugleich mit knapp 50 % aller neuen Einträge der häufigste Schwachstellen-Typ (Patchstack 2025).
Was in gehackten Seiten wirklich steckt
Von allen durch Sucuri bereinigten CMS-Infektionen entfielen 95,5 % auf WordPress (Sucuri, Reportjahr 2023). Bei den kompromittierten Seiten fand sich in 49 % mindestens eine Backdoor — der Hauptgrund für Reinfektionen. 39 % der infizierten Installationen waren zum Infektionszeitpunkt veraltet, und bei 55 % der Datenbank-Malware-Fälle existierte zusätzlich ein bösartiger Admin-User. (Diese vier Werte stammen aus dem jüngsten veröffentlichten Sucuri-Jahresreport für 2023.)
Was die Zahlen fürs Handeln bedeuten
Die Statistik ist eindeutig — und praktisch umsetzbar:
- Plugins aktuell halten und ausmisten. 91–96 % der Lücken kommen von hier; jedes ungenutzte Plugin ist unnötiges Risiko.
- Updates nicht aufschieben. 39 % der gehackten Seiten waren veraltet; bei 5 Stunden bis zum Massen-Exploit zählt jeder Tag.
- Login härten und überwachen. Brute-Force läuft milliardenfach automatisiert — 2FA, Login-Limits und Monitoring stoppen den Großteil.
- Backups testen. Bei 49 % Backdoor-Quote ist ein sauberes, geprüftes Backup oft der schnellste Weg zurück.
Fazit
WordPress selbst ist sicher — das Risiko entsteht durch Plugins, fehlende Updates und einen ungehärteten Login. Wer diese drei Hebel im Griff hat, eliminiert den Großteil der realen Angriffsfläche.
Genau das übernimmt Forge12 als WordPress-Sicherheit & Wartung zum Festpreis — Updates, Härtung, Monitoring und geprüfte Backups. Ist deine Seite bereits betroffen? WordPress gehackt — Soforthilfe (Erst-Analyse kostenlos). Grundlagen: WordPress-Sicherheit und WordPress härten.