WordPress-Plugin-Sicherheit ist eine Katastrophe: 11.000+ Schwachstellen in einem Jahr

331 neue WordPress-Plugin-Schwachstellen in einer einzigen Woche. Das ist kein Bug. Das ist ein ganzes Ökosystem in Flammen.

WordPress betreibt 43% aller Websites im Internet. Das sind ungefähr 605 Millionen Seiten.

Sein Plugin-Ökosystem ist zur größten einzelnen Angriffsfläche im Web geworden. Allein im Jahr 2025 dokumentierte Patchstack 11.334 neue Schwachstellen — ein Anstieg von 42% gegenüber dem Vorjahr. 91% davon waren in Plugins. WordPress Core hatte nur 2.

Das ist kein Problem, das besser wird. Es beschleunigt sich.

⚡ 30-Sekunden-Urteil

• 11.334 neue WordPress-Schwachstellen im Jahr 2025 — 42% Anstieg gegenüber 2024
• 91% aus Plugins — WordPress Core ist in Ordnung, das Ökosystem ist das Problem
• 46% ungepatcht vor Veröffentlichung — Angreifer kennen die Lücke, bevor es einen Fix gibt
• 45% innerhalb von 24 Stunden ausgenutzt — du hast Stunden, nicht Tage, um zu reagieren
• 331 neue Schwachstellen in einer einzigen Woche (25. März 2026)
• CVSS-10.0-Exploit (Modular DS) gab jedem unauthentifizierten Nutzer Admin-Zugang
• Supply-Chain-Angriffe schleusen jetzt Malware über legitime Plugin-Updates ein
• Wordfence Free verzögert Sicherheitsregeln um 30 Tage — du bist während des kritischsten Zeitfensters ungeschützt
• Bester Schutz: Plugins minimieren, Cloudflare WAF (kostenlos) nutzen oder WordPress komplett verlassen

Die Zahlen werden schlimmer

Schwachstellen-Wachstum (Jahr für Jahr)

Die Trendlinie ist erschreckend:

• 2023: ~5.600 Schwachstellen
• 2024: 7.966 Schwachstellen (+42%)
• 2025: 11.334 Schwachstellen (+42% erneut)

Das ist kein lineares Wachstum. Es potenziert sich. Bei diesem Tempo wird 2026 16.000+ neue Schwachstellen im WordPress-Ökosystem bringen.

März 2026: Ein typischer Monat

SolidWP verfolgt wöchentliche Schwachstellen. So sah der März 2026 aus:

• Woche vom 4. März: 281 Schwachstellen (108 Plugins, 173 Themes) — 225 ungepatcht
• Woche vom 11. März: 209 Schwachstellen (98 Plugins, 111 Themes) — 134 ungepatcht
• Woche vom 18. März: 159 Schwachstellen (6 Core, 130 Plugins, 23 Themes) — 46 ungepatcht
• Woche vom 25. März: 331 Schwachstellen (275 Plugins, 56 Themes) — 120 ungepatcht

Das sind 980 neue Schwachstellen in einem einzigen Monat. Durchschnittlich 35 pro Tag. Und zwischen 15-80% davon waren zum Zeitpunkt der Veröffentlichung ungepatcht.

Die schlimmsten Übeltäter

Modular DS Plugin: CVSS 10.0 (Die Bestnote des Versagens)

Im Januar 2026 entdeckten Sicherheitsforscher CVE-2026-23550 im Modular DS Plugin — eine Schwachstelle mit einer Bewertung von 10.0 von 10.0 auf der CVSS-Schweregradskala. Das ist die maximal mögliche Punktzahl. Das bedeutet:

• Keine Authentifizierung erforderlich — jeder kann sie ausnutzen
• Keine Benutzerinteraktion nötig — der Angreifer sendet einfach eine Anfrage
• Voller Admin-Zugang — vollständige Kontrolle über die Website

Der Angriff war simpel: ?origin=mo&type=xxx an eine URL anhängen, und du bist Admin. 40.000+ Websites liefen mit diesem Plugin.

Dies wurde aktiv in freier Wildbahn ausgenutzt, bevor die meisten Seiten updaten konnten.

WPvivid Backup & Migration: Remote Code Execution auf 900.000 Websites

CVE-2026-1357 betraf WPvivid, installiert auf fast 900.000 Websites. CVSS 9.8. Die Schwachstelle ermöglichte es unauthentifizierten Angreifern, beliebige Dateien hochzuladen und Code auf dem Server auszuführen — vollständige Remote Code Execution ohne Anmeldung.

Die Ursache? Fehlerhafte RSA-Entschlüsselungs-Fehlerbehandlung kombiniert mit unzureichender Pfad-Bereinigung. Ein Backup-Plugin — etwas, das du zum Schutz deiner Website installierst — wurde zum Angriffsvektor für ihre Kompromittierung.

Ally Plugin: SQL-Injection auf 400.000+ Websites

CVE-2026-2413 ermöglichte SQL-Injection über den URL-Pfad selbst. Keine Authentifizierung nötig. 400.000+ aktive Installationen. Der Patch kam erst am 23. Februar 2026 — Wochen nach der Veröffentlichung.

Das 46%-Problem: Ungepatcht vor Veröffentlichung

Hier ist der Grund, warum WordPress-Plugin-Sicherheit grundlegend kaputt ist: 46% der Schwachstellen haben keinen Patch verfügbar, wenn sie öffentlich bekanntgegeben werden.

Das bedeutet:

1. Sicherheitsforscher findet eine Schwachstelle
2. Kontaktiert den Plugin-Entwickler (verantwortungsvolle Offenlegung)
3. Entwickler behebt sie nicht innerhalb des Standard-90-Tage-Fensters
4. Schwachstelle wird veröffentlicht — jetzt wissen Angreifer davon
5. Es gibt keinen Fix. Deine einzige Option ist, das Plugin zu deaktivieren.

Gleichzeitig sind Angreifer schnell:

• 20% der Schwachstellen werden innerhalb von 6 Stunden nach Veröffentlichung ausgenutzt
• 45% innerhalb von 24 Stunden
• 70% innerhalb von 7 Tagen

Also werden fast die Hälfte aller Schwachstellen ohne Patch veröffentlicht, und Angreifer beginnen innerhalb von Stunden mit der Ausnutzung. Die Mathematik spricht nicht für dich.

Supply-Chain-Angriffe: Der neue Albtraum

2025-2026 hat sich die Bedrohung weiterentwickelt. Angreifer hörten auf, nur bestehende Schwachstellen auszunutzen — sie begannen, die Plugins selbst zu kompromittieren.

Wie Supply-Chain-Angriffe funktionieren

1. Angreifer verschafft sich Zugang zum Konto eines Plugin-Entwicklers (oder dem Quell-Repository des Plugins)
2. Schleust bösartigen Code in ein legitimes Plugin-Update ein
3. Das Update installiert sich automatisch auf jeder Website, die dieses Plugin nutzt
4. Malware läuft jetzt auf Tausenden von Websites, ausgeliefert über das offizielle WordPress-Update-System

Reale Beispiele

Gravity Forms (Juli 2025): Eines der beliebtesten Formular-Plugins von WordPress wurde von einem Supply-Chain-Angriff getroffen. Infizierte Downloads betrafen sowohl manuelle Installationen als auch Composer-Pakete.

Januar 2026 Malware-Kampagne: Wordfence entdeckte Malware, die als “WP-antymalwary-bot.php” getarnt war — absichtlich falsch geschrieben, um wie ein Sicherheits-Plugin auszusehen. Sie wurde über kompromittierte Plugin-Updates verbreitet.

Das Ausmaß: Laut Patchstack erhielten über 2 Millionen Websites kompromittierte Updates in einem großen Supply-Chain-Vorfall, bevor er entdeckt wurde. 92% der erfolgreichen WordPress-Sicherheitsverletzungen im Jahr 2025 kamen von Plugins und Themes — nicht von WordPress Core.

Das ist das grundlegende Problem: Die Stärke von WordPress (Erweiterbarkeit) ist gleichzeitig seine tödliche Schwäche. Jedes Plugin ist ein potenzieller Eintrittspunkt, und das Update-System, das dich eigentlich schützen soll, ist jetzt der Angriffsvektor.

Wordfence Free: Die 30-Tage-Sicherheitslücke

Viele WordPress-Nutzer verlassen sich auf Wordfence für ihren Schutz. Die kostenlose Version ist auf Millionen von Websites installiert.

Hier ist, was die meisten Nutzer nicht wissen: Wordfence Free verzögert Firewall-Regeln und Malware-Signaturen um 30 Tage im Vergleich zur Premium-Version.

Überleg mal, was das angesichts der obigen Daten bedeutet:

• 45% der Schwachstellen werden innerhalb von 24 Stunden ausgenutzt
• 70% werden innerhalb von 7 Tagen ausgenutzt
• Wordfence Free schützt dich 30 Tage lang nicht

Du bist während des gesamten kritischen Zeitfensters ungeschützt. Bis Wordfence Free seine Regeln aktualisiert, wird die Schwachstelle seit einem Monat aktiv ausgenutzt. Die kostenlose Version ist im Grunde Sicherheitstheater für aktive Bedrohungen.

Premium kostet $119/Jahr. Das ist pro Website. Wenn du 5 WordPress-Websites betreibst, sind das $595/Jahr nur für grundlegenden Echtzeitschutz.

Was dich wirklich schützt

1. Cloudflare WAF (Kostenlos)

Cloudflares kostenloses Angebot beinhaltet eine Web Application Firewall, die viele WordPress-Exploits am Netzwerkrand abfängt — bevor sie deinen Server erreichen. Es ist nicht WordPress-spezifisch, blockiert aber gängige Angriffsmuster (SQL-Injection, XSS, Path Traversal), die den Großteil der Plugin-Exploits ausmachen.

Es ist kostenlos. Es gibt keinen Grund, es nicht zu nutzen.

2. Plugins minimieren (Radikale Reduzierung)

Jedes Plugin ist eine Angriffsfläche. Die Mathematik ist einfach:

• 20 Plugins = 20 potenzielle Eintrittspunkte
• 5 Plugins = 5 potenzielle Eintrittspunkte
• 0 Plugins = 0 plugin-basierte Eintrittspunkte

Überprüfe jedes Plugin. Frage dich: “Gibt es einen Weg, das ohne Plugin zu machen?” Für viele Funktionen (Analytics, Formulare, SEO) lautet die Antwort ja — durch Code oder externe Dienste, die nicht auf deinem Server laufen.

3. Statische Seiten-Generatoren (Die nukleare Option)

Eine statische Website hat keinen serverseitigen Code. Keine Datenbank. Keine Plugins, die auf dem Server ausgeführt werden. Kein WordPress. Keine Angriffsfläche.

Wenn deine Website hauptsächlich aus Inhalten besteht (Blog, Dokumentation, Marketing-Seite), eliminiert ein statischer Generator die gesamte Kategorie serverseitiger Schwachstellen. Ich habe darüber geschrieben in Wie man einen Blog ohne WordPress-Unsinn startet und Beste WordPress-Blog-Alternativen.

Die Seite, die du gerade liest, läuft nicht auf WordPress. Es ist eine statische Website hinter Cloudflare. Plugin-Schwachstellen sind nicht mehr mein Problem.

Das Fazit

WordPress selbst ist in Ordnung. Zwei Core-Schwachstellen im Jahr 2025. Das WordPress-Team leistet gute Sicherheitsarbeit.

Das Plugin-Ökosystem steht in Flammen. 11.334 Schwachstellen in einem Jahr. 331 in einer einzigen Woche. Ein CVSS-10.0-Exploit, der jedem Admin-Zugang gibt. Supply-Chain-Angriffe, die Malware über offizielle Update-Kanäle einschleusen. 46% der Schwachstellen ungepatcht vor Veröffentlichung. Angreifer nutzen sie innerhalb von Stunden aus.

605 Millionen Websites laufen auf WordPress. Das Plugin-Ökosystem, das die meisten davon antreibt, ist grundlegend unsicher, und die Entwicklung wird schlimmer — 42% mehr Schwachstellen pro Jahr, und es potenziert sich.

Jedes Plugin, das du installierst, ist eine Wette, dass sein Entwickler Schwachstellen schneller patcht, als Angreifer sie ausnutzen können. Wenn 46% der Entwickler es nicht schaffen, vor der Veröffentlichung zu patchen, und Angreifer innerhalb von Stunden zuschlagen, verlierst du diese Wette fast die Hälfte der Zeit.

Wenn du WordPress für E-Commerce, Mitgliederseiten oder komplexe Webanwendungen brauchst — minimiere Plugins, nutze Cloudflare WAF, investiere in Wordfence Premium und beobachte die wöchentlichen Berichte von SolidWP.

Wenn du WordPress nicht brauchst — wenn du einen Blog, ein Portfolio oder eine Marketing-Seite betreibst — hör auf, es zu benutzen. Es gibt schnellere, sicherere Alternativen, die das gesamte Problem eliminieren.

Vertrau mir nicht — Überprüfe alles

• Patchstack: State of WordPress Security 2026 (vollständiger Bericht)
• SolidWP: WordPress Vulnerability Report — 25. März 2026
• CVE-2026-23550: Modular DS CVSS 10.0 (The Hacker News)
• CVE-2026-1357: WPvivid RCE auf 900K Websites (BleepingComputer)
• CVE-2026-2413: Ally SQL-Injection, 400K+ Websites (SecurityWeek)
• Gravity Forms Supply-Chain-Angriff (Patchstack)
• Wordfence Free vs Premium (30-Tage-Verzögerung)
• WordPress-Marktanteil (W3Techs)

---

Volle Offenlegung: Ich verdiene $0 an jedem in diesem Artikel erwähnten Produkt. Keine Affiliate-Beziehungen mit WordPress, Cloudflare, Wordfence oder einer WordPress-Alternative. Dieser Artikel existiert, weil 605 Millionen Websites verdienen zu wissen, was in dem Ökosystem passiert, von dem sie abhängen.