#Hosting · 3 Min. Lesezeit · Tim Rinkel

WORDPRESS-ALARM! Patchstack-Report zeigt JETZT 11.334 Lücken in EINEM Jahr — DEINE Site ist Statistik!

WORDPRESS-ALARM! Patchstack-Report zeigt JETZT 11.334 Lücken in EINEM Jahr — DEINE Site ist Statistik!

NEUE WUCHT-DATEN: Patchstack hat das jährliche Sicherheits-Whitepaper veröffentlicht — und die Zahlen sind heftig: 11.334 neue Schwachstellen im WordPress-Ökosystem allein in 2025, ein Plus von 42 Prozent gegenüber 2024. Und nein, das ist kein Bug-Bounty-Bonus, das ist die echte Bedrohungslage.

Hinweis: Dieser Beitrag enthält Affiliate-Links (mit * gekennzeichnet). Kaufst du über einen dieser Links, erhalte ich eine kleine Provision — für dich ändert sich der Preis nicht.

UNGLAUBLICH: 4.124 Lücken brauchten Sofort-Schutz

Von den 11.334 Issues stuften die Patchstack-Analysten 36 Prozent (4.124 Stück) als real bedrohlich ein — heißt: ohne Mitigation-Regel anfällig für aktive Angriffe. Diese Schwachstellen wanderten direkt in RapidMitigate, Patchstacks WAF-Regelwerk.

SCHOCK: Über die Hälfte der Devs reagiert nicht rechtzeitig

Der heftigste Befund: 52 Prozent der Plugin-Entwickler wurden über Schwachstellen informiert und haben vor der öffentlichen Disclosure NICHT gepatcht. Heißt: Du bekommst die CVE-Meldung — und der Maintainer pennt noch. Patchstack veröffentlicht trotzdem, weil die Sicherheit der Nutzer wichtiger ist als die Bequemlichkeit der Entwickler.

SO knallt es bei den großen Themen:

  • Supply-Chain-Attacks: Im April 2026 wurden 30+ Plugins via gekaufte Maintainer-Konten mit Backdoors versehen.
  • Pre-Auth-RCEs: Plugins wie Quick Playground (CVE-2026-1830) erlaubten Datei-Upload ohne Login.
  • Auth-Bypasses: Really Simple Security riss Anfang Mai 4 Mio. Sites auf — ein einziger Plugin-Bug.
  • Stealthy-Malware: Backdoors blieben monatelang unentdeckt, weil sie als legitime Plugin-Updates getarnt waren.

EXTRA-TIPP: Hier setzt du den Hebel an

  1. Plugin-Audit jetzt: Geh im Admin-Backend durch deine Plugin-Liste. Alles, was du im letzten Quartal nicht gebraucht hast, fliegt raus.
  2. Update-Automation: WordPress-Core, Themes UND Plugins auf Auto-Update setzen — die zwei Tage Verzögerung kosten dich im Schnitt mehr als ein Hotfix-Release am Wochenende.
  3. Vulnerability-Feed: Patchstack (kostenpflichtig) oder Wordfence (Community-Tier kostenlos) blocken bekannte Angriffe automatisch.
  4. Backup-Strategie: Tägliches Off-Site-Backup mit 30 Tagen Retention — wenn doch was reinkommt, rollst du zurück.
  5. Activity-Log: Ein Audit-Log zeigt dir, wann Admin-Konten erstellt oder Optionen verändert wurden — frühe Erkennung schlägt teure Bereinigung.

FAZIT: WordPress ist sicher — wenn du es ernst nimmst

Die 11.334-Zahl klingt apokalyptisch, ist aber im Wesentlichen ein Ausdruck der Marktgröße. Bei Millionen aktiv genutzter Plugins werden zwangsläufig viele Schwachstellen gefunden. Entscheidend ist nicht der absolute Zähler, sondern deine Mean-Time-to-Patch. Wer wöchentlich updatet, fängt 95 Prozent aller Angriffsversuche schon vor der Brandung ab.

Häufige Fragen

Sollte ich auf einen managed-WordPress-Provider umsteigen?
Wenn du keine Zeit für regelmäßige Audits hast: ja. Anbieter wie Kinsta, WP Engine oder die deutsche Managed-WordPress-Variante von All-Inkl übernehmen Core- und Plugin-Updates und betreiben eine eigene WAF. Selbst-hostende Profis sind weiter besser dran, brauchen aber Disziplin.
Was kostet Patchstack im Vergleich zu Wordfence?
Wordfence bietet einen kostenlosen Tier mit Basis-Schutz; die Premium-Variante startet bei rund 119 USD/Jahr. Patchstack beginnt bei rund 9 USD/Monat pro Site und ist auf Hosting-Provider und Agenturen mit vielen Sites zugeschnitten. Für eine einzelne Hobby-Site reicht Wordfence Free oft aus.
Was mache ich, wenn ein Plugin-Maintainer nicht patcht?
Erstens: Plugin sofort deaktivieren, falls die Lücke ausnutzbar ist. Zweitens: Nach Alternativen suchen (z. B. via WP-Tavern oder das Patchstack-Verzeichnis). Drittens: Patchstack-Mitigation-Regeln aktivieren, sie schützen auch ungepatchte Versionen vor bekannten Exploits.
Welche Plugins fliegen am schnellsten?
Alles, was seit über 18 Monaten kein Update mehr hatte, sollte raus oder ersetzt werden. Auch Plugins, die nur eine einzige Funktion erfüllen, lassen sich oft durch Code-Snippets oder einen Block ersetzen — weniger Code = weniger Angriffsfläche.

Quellen: aktuelle Berichterstattung von Anbietern, Security-Researcher, Branchen-Magazinen und Fachpresse vom Mai 2026. Stand: 11. Mai 2026.

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert