'Wir machen Updates, wenn wir Zeit haben.' Diesen Satz hören wir oft. Meistens kurz bevor jemand erklärt, dass seine Website seit Wochen nicht mehr erreichbar ist, fremde Inhalte anzeigt oder von Google als unsicher markiert wurde.
Das ist kein Zufall. Veraltete WordPress-Installationen sind das Einfallstor Nummer eins für Hackerangriffe auf KMU-Websites. Nicht weil WordPress unsicher wäre — sondern weil Updates nicht konsequent eingespielt werden.
Warum veraltete Plugins so gefährlich sind
Wenn eine Sicherheitslücke in einem WordPress-Plugin oder Theme entdeckt wird, passiert folgendes: Der Entwickler veröffentlicht einen Patch. Sicherheitsforscher und Angreifer lesen denselben Changelog. Angreifer entwickeln innerhalb von Stunden automatisierte Scanner, die das Internet nach ungepatchten Installationen absuchen. Wer nicht innerhalb weniger Tage aktualisiert, ist angreifbar.
Die Zeitspanne zwischen öffentlicher Bekanntmachung und massenhafter Ausnutzung einer Lücke ist heute oft kleiner als 24 Stunden. 'Wir machen Updates wenn wir Zeit haben' ist deshalb keine Sicherheitsstrategie.
Welche Komponenten betrifft das?
WordPress-Core selbst wird vom Core-Team regelmäßig mit Security-Patches versorgt und hat bei aktiviertem Auto-Update keine langen Lücken. Das eigentliche Risiko liegt bei Plugins und Themes. Ein durchschnittliches WordPress-KMU betreibt zwischen 20 und 60 aktive Plugins — von denen erfahrungsgemäß 30–40 % nicht regelmäßig aktualisiert werden. Hinzu kommen oft inaktive Plugins, die zwar deaktiviert sind, deren Dateien aber noch auf dem Server liegen und Angriffsfläche bieten.
Was ein Hack wirklich kostet
Die direkten Kosten: Bereinigung durch einen Entwickler (4–12 Stunden), ggf. Hosting-Wiederherstellung, Google-Re-Indexierung nach Safe-Browsing-Markierung (2–8 Wochen). Die indirekten Kosten: Verlorener Traffic während der Downtime, Reputationsschaden bei Kunden, die Ihre kompromittierte Website aufgerufen haben, mögliche DSGVO-Meldepflicht gegenüber der Datenschutzbehörde, wenn Nutzerdaten betroffen sind.
Ein typischer Bereinigungsaufwand liegt bei 600–2.500 €. Ein Jahres-Wartungsvertrag für eine KMU-Website liegt deutlich darunter.
Die wichtigsten Schutzmaßnahmen
Monatliche Updates aller Plugins, Themes und WordPress-Core. Regelmäßige Security-Scans mit Tools wie Wordfence oder Sucuri. Automatische tägliche Backups mit getesteter Wiederherstellbarkeit. Entfernung nicht benötigter Plugins — auch deaktivierte. Starke, einzigartige Admin-Passwörter und Zwei-Faktor-Authentifizierung. Regelmäßige Prüfung der Admin-Benutzer auf unbekannte Accounts.
Fazit
WordPress-Sicherheit ist kein einmaliges Projekt, sondern eine laufende Aufgabe. Wer die Grundlagen konsequent umsetzt — aktuelle Software, regelmäßige Backups, Security-Monitoring — schließt den Großteil der realen Angriffsvektoren. Wer das an eine zuverlässige Agentur delegiert, hat nachts besser schlafen.
