01Start02Leistungen03Zenku Complete04Projekte05Preise06Über uns07Kontakt07Notfall08English
hello@zenku.studio
Erstgespräch buchen
WordPress · 11 Min.

WordPress Updates ignorieren: Was das wirklich kostet

Veröffentlicht am 14. Mai 2026 · von Simon Meyer
WordPress Updates ignorieren: Was das wirklich kostet

11.334 neue Schwachstellen in 2025, Median-Ausnutzung in 5 Stunden, Bereinigungskosten bis 2.800 EUR. Was passiert, wenn du WordPress-Updates aufschiebst, und was professionelle Wartung dagegen tut.

Du klickst die Update-Meldung in WordPress weg. Schon wieder. "Mach ich morgen." Das sagst du seit drei Monaten. In der Zwischenzeit hat Patchstack 11.334 neue Sicherheitslücken im WordPress-Ökosystem dokumentiert. Allein im Jahr 2025. Das sind 36 neue Plugin-Schwachstellen pro Tag.

Die meisten Seitenbetreiber unterschätzen, wie schnell Angreifer zuschlagen. Die Median-Zeit bis zur ersten Ausnutzung einer bekannten Schwachstelle liegt bei 5 Stunden – nicht Tagen. Dein "mach ich morgen" ist für Hacker ein offenes Scheunentor.

WordPress betreibt 42,2 % aller Websites weltweit (W3Techs, Mai 2026). Das macht es zum lukrativsten Ziel. Rund 13.000 WordPress-Seiten werden jeden Tag gehackt. Und in den allermeisten Fällen war die Ursache vermeidbar.

WordPress-Schwachstellen: +42 % in einem Jahr
11.334
neue Schwachstellen in 2025
5 Std.
Median bis zur ersten Ausnutzung
13.000/Tag
gehackte WordPress-Seiten weltweit

Warum Plugins das größte Risiko sind

Der WordPress-Core ist gut abgesichert. 2025 wurden dort genau 6 Schwachstellen gefunden. Das Problem sitzt woanders: 91 % aller Sicherheitslücken kommen aus Plugins. Die restlichen 9 % aus Themes.

Jedes Plugin, das du installierst, erweitert deine Angriffsfläche. Viele Plugin-Entwickler sind Einzelpersonen oder kleine Teams ohne dediziertes Security-Audit. Ergebnis: 1.966 schwerwiegende Schwachstellen (High Severity) allein in 2025. Das sind mehr als in den beiden Vorjahren zusammen.

Noch schlimmer: 46 % aller entdeckten Schwachstellen hatten zum Zeitpunkt der Veröffentlichung keinen Patch. Das heißt, selbst wenn du sofort updaten wolltest, gab es bei fast der Hälfte aller Lücken gar kein Update.

Das macht eine professionelle WordPress-Wartung so kritisch. Es reicht nicht, einfach auf "Alle aktualisieren" zu klicken. Jemand muss die Schwachstellen-Datenbanken im Blick behalten, Plugins ohne Patch vorsorglich deaktivieren und Alternativen evaluieren.

Wie schnell Hacker zuschlagen: Die Zahlen

Das Zeitfenster zwischen Veröffentlichung einer Schwachstelle und dem ersten Angriff hat sich rapide verkürzt. Laut Patchstack 2026 Report werden 20 % der stark ausgenutzten Schwachstellen innerhalb von 6 Stunden nach Bekanntgabe angegriffen. 45 % innerhalb von 24 Stunden.

Plugins
91 %
Themes
9 %
Core
6

Die 5-Stunden-Median-Zeit ist der eigentliche Weckruf. Automatisierte Bots scannen das Netz permanent nach bekannten Schwachstellen. Sobald eine neue Lücke öffentlich wird, beginnt das Rennen. Und wenn du deine Updates "irgendwann am Wochenende" machst, hast du längst verloren.

Websites, die älter als 3 Jahre sind, haben eine Hack-Rate von 42 %. Bei Seiten unter einem Jahr liegt sie bei 2 %. Der Grund ist simpel: Ältere Seiten sammeln technische Schulden. Veraltete Plugins, vergessene Theme-Installationen, nie geänderte Passwörter.

Was ein Hack wirklich kostet

Die direkten Bereinigungskosten sind nur die Spitze. Hier ein realistischer Überblick:

Szenario Kosten (EUR) Zeitaufwand
Standard-Bereinigung (Malware-Entfernung) 450 - 750 EUR 1 - 3 Tage
Schwerer Befall mit Backdoors 1.400 - 2.800+ EUR 3 - 7 Tage
Google-Blacklisting + Wiederherstellung 800 - 2.000 EUR 2 - 6 Wochen
Entgangene Umsätze (Downtime) variabel Tage bis Wochen
Reputationsschaden nicht bezifferbar Monate

Britische Unternehmen beziffern die durchschnittlichen Gesamtkosten eines Breach auf 25.700 GBP. Da sind Ausfallzeiten, Kundenverlust und Wiederherstellung eingerechnet. Für ein kleines Unternehmen kann das existenzbedrohend sein.

Falls du bereits betroffen bist: Unsere Website-Reparatur hilft bei der schnellen Bereinigung. Vorsorge kostet einen Bruchteil der Reparatur.

Die drei häufigsten Einfallstore

1. Schwache oder gestohlene Passwörter

81 % der gehackten WordPress-Seiten hatten schwache oder gestohlene Passwörter im Spiel. Brute-Force-Attacken auf /wp-admin/ laufen rund um die Uhr. Ohne Zwei-Faktor-Authentifizierung und starke Passwörter bist du ein leichtes Ziel.

2. Veraltete Plugins ohne Patches

36 neue Plugin-Schwachstellen pro Tag. Bei 46 %, die zum Zeitpunkt der Entdeckung keinen Patch haben, wird die reine "Update-Strategie" zum Glücksspiel. Du brauchst aktives Monitoring. Welche Plugins sind betroffen? Gibt es einen Patch? Wenn nicht: deaktivieren, bis einer verfügbar ist.

3. Billiges Shared Hosting ohne Isolation

Auf einem Shared-Hosting-Server reicht eine kompromittierte Seite, um alle anderen Accounts zu gefährden. Vernünftiges Hosting mit Container-Isolation, automatischen Backups und serverseitiger Firewall ist kein Luxus. Es ist Grundvoraussetzung.

Was professionelle Wartung konkret abdeckt

Eine gute WordPress-Wartung ist mehr als "Updates einspielen". Hier die wichtigsten Bausteine:

  • Tägliches Schwachstellen-Monitoring: Abgleich deiner installierten Plugins und Themes gegen aktülle CVE-Datenbanken.
  • Kontrollierte Updates: Erst Staging, dann Live. Nie blind auf Produktion.
  • Plugin-Audit: Regelmäßige Prüfung, ob jedes Plugin noch gepflegt wird und ob Alternativen sicherer sind.
  • Backup-Strategie: Tägliche Backups mit Off-Site-Speicherung. Im Ernstfall Wiederherstellung in Stunden, nicht Tagen.
  • Hardening: Zwei-Faktor-Authentifizierung, Login-Limitierung, Datei-Integritätsprüfung, XML-RPC-Absicherung.
  • Performance-Monitoring: Gehackte Seiten werden oft für Krypto-Mining oder Spam missbraucht. Ungewöhnliche Serverlast ist ein Frühwarnsignal.

Was das im Vergleich kostet? Eine realistische Kostenübersicht für Websites in 2026 findest du in unserem ausführlichen Guide. Spoiler: Wartung kostet 50 - 200 EUR pro Monat. Eine Hack-Bereinigung das Drei- bis Zehnfache.

WordPress-Sicherheit vs. Headless-Alternativen

Manche Unternehmen fragen sich, ob ein Wechsel weg von WordPress die Lösung ist. In unserem Vergleich WordPress vs. Next.js gehen wir darauf im Detail ein. Die kurze Antwort: Jedes System hat Angriffsflächen. WordPress hat mehr, weil es das größte Ökosystem ist. Aber ein gut gewartetes WordPress ist sicherer als ein schlecht gewartetes Next.js-Projekt.

Das Problem ist nicht die Plattform – es ist die Vernachlässigung.

Was du jetzt tun solltest

Drei Schritte, die du heute noch umsetzen kannst:

  1. Alle Updates einspielen. Jetzt. Nicht morgen. Plugins, Themes, Core. Mach vorher ein Backup.
  2. Passwörter prüfen. Admin-Accounts, FTP, Datenbank, Hosting-Panel. Alles ändern, was schwach ist. 2FA aktivieren.
  3. Plugin-Inventur machen. Jedes Plugin, das du nicht aktiv nutzt: löschen. Nicht deaktivieren. Löschen. Jedes deaktivierte Plugin ist totes Angriffspotenzial.

Wenn du keine Zeit oder kein Know-how hast, das selbst zu managen: Dafür gibt es professionelle Wartung. Das ist keine Schwäche. Das ist Arbeitsteilung.

WordPress-Sicherheit ernst nehmen?

Wir übernehmen Updates, Monitoring und Backup-Management, damit du dich auf dein Business konzentrieren kannst. Ohne böse Überraschungen.

Kostenlos beraten lassen