Zurück zum Blog
9 Min. Lesezeit
WordPress-Sicherheit

Der Stand der WordPress-Sicherheit 2026: Erkenntnisse aus 10.000 Audits

Aggregierte, anonymisierte Daten — die Zahlen, die jeder Freelancer und jede Agentur kennen sollte, bevor sie mit Kunden über Sicherheit sprechen.

Kernaussagen
  • 72 % der WordPress-Sites exponieren ihre Versionsnummer öffentlich — eine triviale Korrektur, die ein wichtiges Targeting-Signal für Angreifer beseitigt
  • Plugin-Schwachstellen machen 52 % aller bei Audits identifizierten WordPress-Sicherheitsprobleme aus
  • Die meisten Korrekturen dauern weniger als 30 Minuten — das Problem ist nicht die technische Komplexität, sondern die Sichtbarkeit

Beim Auditing von Tausenden von WordPress-Sites entstehen Muster. Keine Theorien — Zahlen. Echte URLs, echte Konfigurationen, echte Fehler, die sich von einer Site zur nächsten auf vorhersehbare Weise wiederholen.

Dieser Artikel präsentiert aggregierte, anonymisierte Daten aus der Analyse von WordPress-Sites im Jahr 2026. Das Ziel ist nicht, Seitenbetreiber zu beschuldigen, sondern den realen Stand der WordPress-Sicherheit in der Praxis zu dokumentieren — weit weg von Marketing-Narrativen und generischen Checklisten.

Für Freelancer und Webagenturen sind diese Zahlen Gold wert. Sie verwandeln ein abstraktes Gespräch über "Sicherheit" in sachliche, konkrete Argumente, die für einen potenziellen Kunden schwer zu ignorieren sind.

Stand der WordPress-Sicherheit 2026 — Statistiken aus 10.000 Audits: exponierte Version, anfällige Plugins, XML-RPC
72%
Version WP exposée
48%
Plugins vulnérables
78%
XML-RPC activé
65%
Headers manquants

Das große Bild: WordPress, Hauptziel des Webs

WordPress hat 2026 einen Marktanteil von 62,8 % bei den CMS. Das ist gleichzeitig seine Stärke und seine Schwäche: Die Allgegenwart von WordPress macht es zur Nummer-eins-Zielscheibe automatisierter böswilliger Akteure.

Die automatischen WordPress-Core-Updates haben die Core-Sicherheit seit WordPress 5.5 erheblich verbessert. Die große Mehrheit der Core-Installationen ist jetzt auf dem neuesten Stand. Das Problem hat sich verlagert — zu Plugins, Themes und Konfigurationen.

Die Realität der geprüften Sites: Die meisten sind "sicher genug" in dem Sinne, dass sie noch nicht kompromittiert wurden. Aber "noch nicht kompromittiert" ist nicht dasselbe wie "sicher." Angriffsvektoren sind offen und warten einfach darauf, von einem automatisierten Bot gefunden zu werden.

Das Hosting spielt eine wichtige Rolle. Sites auf günstigem Shared Hosting zeigen konsistent mehr Konfigurationsprobleme als solche auf Managed Hosting oder dedizierten VPS. Die Korrelation ist stark und beständig.

Die 5 häufigsten Sicherheitsprobleme

Unter allen bei unseren Audits durchgeführten Sicherheitstests treten fünf Probleme statistisch dominant auf. Hier sind die Zahlen mit ihrer praktischen Bedeutung.

1. WordPress-Version exponiert — 72 % der Sites

Das Meta-Generator-Tag, die readme.html-Datei und der X-Powered-By-Header verraten oft die genaue installierte WordPress-Version. Für einen Angreifer ist das der erste Filter: "Diese Site läuft auf WP 6.4.2, hier sind die bekannten CVEs für diese Version." Lösung: Generator-Tag über functions.php entfernen, readme.html und install.php blockieren.

2. Veraltete Plugins mit bekannten CVEs — 48 % der Sites

Fast die Hälfte der geprüften Sites hat mindestens ein Plugin mit einer bekannten, in CVE-Datenbanken dokumentierten Schwachstelle. Mediane Zeit seit Veröffentlichung des verfügbaren Patches: 47 Tage. Anders gesagt: Die Korrektur existierte seit durchschnittlich 47 Tagen — und niemand hatte sie angewendet.

3. Fehlende Sicherheits-Headers — 65 % der Sites

Content Security Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy — diese HTTP-Header fehlen bei zwei Dritteln der geprüften WordPress-Sites. Dabei erfordert ihre Einrichtung nur wenige Zeilen in der .htaccess oder der nginx-Konfiguration. Das Verhältnis von Aufwand zu Schutz ist außergewöhnlich günstig.

4. XML-RPC aktiviert — 78 % der Sites

XML-RPC ist eine veraltete WordPress-API, die die Ausführung von Remote-Befehlen ermöglicht. Sie ist standardmäßig aktiviert und wird selten deaktiviert. Ergebnis: 78 % der Sites exponieren einen Brute-Force-Angriffsvektor, der Tausende von Anmeldeversuchen in einer einzigen HTTP-Anfrage über die system.multicall-Methode ausführen kann.

5. Directory Listing aktiviert — 23 % der Sites

Bei jeder vierten WordPress-Site ist das Directory Browsing auf dem Server aktiviert. Das erlaubt es jedem, den Inhalt von /wp-content/uploads/, /wp-content/plugins/ und anderen sensiblen Ordnern aufzulisten. Es ist eine Zeile in der .htaccess: Options -Indexes.

"Das WordPress-Sicherheitsproblem ist nicht technischer Natur — es ist ein Sichtbarkeitsproblem. Die meisten Website-Betreiber wissen nicht, dass sie exponiert sind."

SSL & HTTPS: fast da, aber noch nicht ganz

Die gute Nachricht: 95 % der WordPress-Sites haben ein gültiges SSL-Zertifikat. Let's Encrypt hat die HTTPS-Adoption revolutioniert — ein echter Fortschritt.
Die weniger gute Nachricht: Ein SSL-Zertifikat zu haben bedeutet nicht, dass die Site "über HTTPS sicher" ist. Unter Sites mit gültigem SSL haben 12 % gemischte Inhalte — Ressourcen (Bilder, Skripte, CSS), die über HTTP auf einer HTTPS-Seite geladen werden. Das unterbricht die SSL-Kette, löst Warnungen in modernen Browsern aus und macht den Schutz des Zertifikats teilweise ungültig.
Die HSTS-Adoption (HTTP Strict Transport Security) bleibt niedrig: etwa 30 % der HTTPS-Sites haben es konfiguriert. HSTS weist den Browser an, die Site niemals über HTTP zu laden, auch wenn der Nutzer die URL ohne https:// eingibt. Es ist ein einfacher, aber wirkungsvoller Schutz gegen Downgrade-Angriffe.
Ein weiteres wiederkehrendes Muster: Sites, die HTTPS auf WordPress-Ebene erzwingen (über wp-config.php oder ein Plugin), aber ohne Umleitung auf Server-Ebene. Das Ergebnis: Die HTTP-Version bleibt zugänglich, erzeugt doppelte Inhalte und einen potenziellen Angriffsvektor.

Performance und Sicherheit: zwei Seiten desselben Problems

Ein oft übersehener Aspekt: Langsame Sites und unsichere Sites neigen dazu, dieselben Sites zu sein. Das ist kein Zufall — es ist eine kausale Korrelation.

Ein hoher TTFB (Time To First Byte über 1 Sekunde) weist typischerweise auf überlastetes, günstiges Shared Hosting hin. Diese Hosts haben auch häufig Standard-PHP- und Serverkonfigurationen, die keine Sicherheits-Best-Practices durchsetzen: expose_php aktiviert, zu permissives open_basedir, kein ModSecurity.

Schwere Seiten — über 4 MB — sind oft ein Zeichen für minimal gepflegte Sites. Und eine Site, die seit 6 Monaten nicht gewartet wurde, hat durchschnittlich dreimal höhere Wahrscheinlichkeit, Plugins mit bekannten CVEs zu haben, als eine regelmäßig aktualisierte Site.

Kurz gesagt: Wenn Sie die Performance einer Site auditieren, erhalten Sie auch Signale über ihr Wartungsniveau — und damit über ihr Sicherheitsniveau. Deshalb kombiniert Orilyt Performance- und Sicherheitstests in einem einheitlichen Audit.

Die Wartungslücke: das eigentliche Problem

Unter den geprüften Sites hatte ein erheblicher Anteil seit mehr als 6 Monaten keine Updates erhalten. Plugins, Themes, WordPress Core — keine Updates seit mindestens 180 Tagen.

Die Korrelation zwischen fehlendem Wartungsvertrag und niedrigen Sicherheits-Scores ist stark und beständig. Sites mit einem aktiven Dienstleister haben deutlich bessere Sicherheits-Scores — nicht weil der Dienstleister Wunder vollbringt, sondern weil regelmäßige Updates mechanisch die überwiegende Mehrheit der bekannten Schwachstellen eliminieren.

Für Freelancer ist diese Zahl ein direktes Geschäftsargument: "Ohne Wartungsvertrag hat Ihre Site eine X-prozentige Wahrscheinlichkeit, innerhalb von 6 Monaten eine ungepatchte bekannte Schwachstelle zu haben." Das ist keine Hypothese — es ist eine Zahl aus echten Daten.

Kunden, die einen Angriff oder Hack erlitten haben, sind fast universell aufgeschlossen. Kunden, die noch nie Probleme hatten, sind schwieriger zu überzeugen. Aggregierte Daten machen das Risiko greifbar, bevor es sich materialisiert.

Was das für Freelancer und Agenturen bedeutet

Jede Statistik in diesem Artikel ist ein Gesprächseinstieg mit einem Kunden. Der Unterschied zwischen einem Freelancer, der sagt "Ihre Site ist nicht sicher", und einem, der sagt "72 % der WordPress-Sites exponieren ihre Version, und Ihre gehört dazu — hier ist, was das in der Praxis bedeutet", ist enorm.

Daten verwandeln eine Meinung in einen sachlichen Befund. Und sachliche Befunde, dokumentiert und präsentationsfertig, schließen Verträge. Genau das produziert Orilyt für jedes Audit: keinen generischen Score, sondern Einzeltests mit FIA-Empfehlungen (Fakt, Auswirkung, Aktion), die bereit sind, in einen Kundenbericht eingefügt zu werden.

Die konkrete Chance: wiederkehrende Wartung. Ein Audit deckt Probleme auf. Probleme erfordern Wartung. Wartung generiert wiederkehrende Einnahmen. Der Kreislauf ist einfach, muss aber mit Daten angestoßen werden, die dem Kunden einen Grund zum Handeln geben.

Die Zahlen in diesem Artikel sollen nicht erschrecken — sie sollen aufklären. Ein aufgeklärter Kunde versteht den Wert Ihrer Expertise. Und ein Kunde, der den Wert Ihrer Expertise versteht, wird zu einem Kunden, der für diese Expertise zahlt.

"Daten lügen nicht. 48 % der Sites mit ungepatchten CVEs — das ist kein hypothetisches Problem. Das ist der aktuelle Stand des WordPress-Webs."

Die Checkliste der 5 Prioritätskorrekturen

Wenn Sie priorisieren müssen, sind das die 5 Maßnahmen mit dem höchsten Sicherheits-Impact im Verhältnis zur investierten Zeit.

  1. WordPress-Version verbergen: Meta-Generator-Tag entfernen, readme.html und install.php via .htaccess blockieren
  2. XML-RPC deaktivieren: eine Zeile in functions.php — add_filter('xmlrpc_enabled', '__return_false')
  3. Sicherheits-Headers hinzufügen: X-Frame-Options, X-Content-Type-Options, Referrer-Policy in .htaccess oder wp-config
  4. Plugins und Themes aktualisieren: Auto-Updates für kleinere Releases aktivieren, größere einplanen
  5. Directory Listing deaktivieren: Options -Indexes in der Root-.htaccess hinzufügen

WordPress-Sicherheit 2026: eine Chance, kein Schicksal

Der Stand der WordPress-Sicherheit 2026 ist nicht katastrophal — aber weit von zufriedenstellend entfernt. Die überwiegende Mehrheit der bei Audits identifizierten Probleme sind bekannte, dokumentierte Probleme mit einfachen, schnellen Korrekturen.

Das eigentliche Problem ist nicht technischer Natur. Es ist ein Sichtbarkeits- und Priorisierungsproblem. Website-Betreiber wissen nicht, dass ihre Version exponiert ist. Sie haben noch nie von XML-RPC gehört. Sie wissen nicht, dass ihre Headers fehlen.

Hier haben Freelancer und Agenturen eine entscheidende Rolle. Nicht als Angstverkäufer, sondern als Übersetzer — technisches Risiko in Geschäftssprache umwandeln. Und zum Übersetzen braucht man Daten. Orilyt liefert die Daten.

Sicherheit einer WordPress-Site in 2 Minuten auditieren
Starten Sie ein kostenloses Audit und erhalten Sie 56 Sicherheits-, Performance- und SEO-Tests — mit Empfehlungen, die präsentationsfertig für Ihre Kunden sind.
Kostenloses Audit starten
WordPress Sicherheit Statistiken 2026 Audit Schwachstellen Freelancer
Zurück SPF et DMARC : les 2 tests email que chaque audit devrait inclure Weiter Vulnérabilités plugins et thèmes WordPress : 3 tests qui révèlent votre surface d'attaque