WordPress 01. Juni 2026 6 Min. Lesezeit

99 Plugin-Lücken in einer Woche: Was Ihre WordPress-Seite jetzt braucht

In einer einzigen Woche meldete Wordfence 99 neue Sicherheitslücken in WordPress-Plugins. Fast alle Angriffe auf kleine Websites laufen über genau diesen Weg — und in 30 Minuten sichern Sie den Großteil ab.

P
Pageartist
Abstraktes Raster aus Plugin-Kacheln, eine davon herausgebrochen, mit feinem Vorhängeschloss aus goldenen Konturlinien

In einer einzigen Woche im Mai 2026 hat der Sicherheitsdienst Wordfence 99 neue Schwachstellen in WordPress-Plugins gemeldet. Nicht über das Jahr verteilt, nicht im großen Stil bei Konzern-Seiten — in sieben Tagen, verteilt auf Plugins, die auch auf ganz normalen Praxis-, Handwerks- und Selbstständigen-Websites laufen. Genau hier liegt das Risiko, das viele unterschätzen.

Eine Woche, 99 Lücken — und keine davon im WordPress-Kern

Der wöchentliche Schwachstellen-Report von Wordfence für den Zeitraum 18. bis 24. Mai 2026 listet 99 Sicherheitslücken in 87 Plugins und einem Theme. Das ist die entscheidende Zahl: Fast alles davon steckt in Erweiterungen, nicht im WordPress-Kern selbst. WordPress als Fundament wird vom Kern-Team eng gepflegt. Die Plugins, die Sie installieren, kommen von hunderten verschiedenen Anbietern — mit sehr unterschiedlicher Sorgfalt.

Zwei Beispiele aus genau diesem Zeitraum zeigen, wie ernst das ist. In „WP Maps Pro" erlaubte eine Lücke (CVE-2026-8732) einem nicht angemeldeten Angreifer, sich selbst ein Administrator-Konto anzulegen und einzuloggen — komplette Kontrolle über die Seite, ohne ein einziges Passwort zu kennen. Und im weit verbreiteten Code-Snippet-Plugin „WPCode" konnten Nutzer mit Autoren-Rechten über einen XML-RPC-Bypass eigenen PHP-Code einschleusen und ausführen (CVE-2026-8832). Die erste Lücke trifft also schon Besucher ganz ohne Zugang, die zweite setzt immerhin ein eingeschränktes Konto voraus — beide enden im schlimmsten Fall bei der vollständigen Übernahme der Seite.

Warum das gerade kleine Seiten trifft

Der häufigste Irrtum: „Meine Seite ist zu klein, da schaut niemand hin." Das stimmt nicht — weil niemand persönlich hinschaut. Angriffe auf WordPress laufen automatisiert. Bots durchsuchen das ganze Netz nach Seiten mit einer bekannten verwundbaren Plugin-Version und schlagen zu, sobald sie eine finden. Ob dahinter ein großer Online-Shop oder die Website einer Physiotherapie-Praxis mit zwölf Plugins steckt, ist dem Bot egal. Verwundbar ist verwundbar.

Und kleine Betriebe sind oft schlechter geschützt: keine eigene IT, Plugins die vor zwei Jahren „mal eben" installiert und nie wieder angefasst wurden, ein Theme aus einem alten Projekt. Genau diese Seiten sind das leichteste Ziel.

◆ Tipp

Loggen Sie sich einmal in Ihr WordPress-Backend ein und schauen Sie unter „Plugins" nach, wie viele davon ein verfügbares Update anzeigen. Jedes ausstehende Update ist eine bekannte, öffentlich dokumentierte Lücke, die jeder Angreifer nachlesen kann.

Was Sie in 30 Minuten tun können

Sie brauchen dafür keinen Entwickler. Diese fünf Schritte decken den Großteil des Risikos ab:

  1. Updates einspielen. WordPress-Kern, alle Plugins und das Theme auf den aktuellen Stand bringen. Vorher ein Backup machen (siehe Punkt 4). Updates schließen genau die Lücken, die in Reports wie dem von Wordfence öffentlich werden.
  2. Automatische Updates aktivieren. Für Plugins, denen Sie vertrauen, lassen sich Updates seit WordPress 5.5 automatisch einspielen. Das nimmt Ihnen die Arbeit ab und schließt Lücken oft schon, bevor Sie davon hören.
  3. Ungenutzte Plugins löschen — nicht nur deaktivieren. Ein deaktiviertes Plugin liegt weiter auf dem Server und kann trotzdem angreifbar sein. Was Sie nicht brauchen, gehört vollständig entfernt.
  4. Backups einrichten. Ein automatisches tägliches Backup, das auch außerhalb des Servers gespeichert wird, ist Ihre Versicherung. Wenn doch etwas passiert, spielen Sie einen sauberen Stand zurück, statt bei null anzufangen.
  5. Zwei-Faktor-Anmeldung für das Backend. Selbst wenn ein Passwort durchsickert, kommt ohne den zweiten Faktor niemand rein. Für Admin-Konten ist das heute Pflicht.
99
Plugin-Lücken in einer Woche (Wordfence, 18.–24. Mai 2026)
87
betroffene Plugins
1
verwundbares Theme im selben Zeitraum

Weniger Plugins, weniger Angriffsfläche

Die wirksamste langfristige Maßnahme ist die unbequemste: weniger installieren. Jedes Plugin ist Code von außen, den Sie auf Ihre Seite lassen — und jede Zeile davon kann eine Lücke enthalten. Eine Seite mit 8 gepflegten Plugins ist deutlich sicherer als eine mit 25, von denen die Hälfte seit Monaten kein Update gesehen hat. Bevor Sie das nächste Plugin installieren, lohnt die Frage: Wird es aktiv weiterentwickelt? Wann kam das letzte Update? Brauche ich die Funktion wirklich?

Sicherheit bei WordPress ist keine einmalige Aktion, sondern Pflege. Wer seine Plugins regelmäßig aktualisiert, ausmistet und ein Backup im Rücken hat, ist gegen die automatisierten Massenangriffe gut aufgestellt. Genau diese laufende Wartung übernehmen wir für die Seiten, die wir betreuen — damit aus 99 Lücken pro Woche kein Problem für Ihren Betrieb wird.

Lass uns über dein Projekt sprechen.

30 Minuten Erstgespräch, kostenlos und unverbindlich. Konkrete Antworten statt Sales-Pitch.

→ Kontakt aufnehmen

Weiterlesen

Abstrakte geschichtete Block-Grid-Komposition mit feinen Goldlinien als Metapher für die neue WordPress-Editor-Architektur
WordPress
WordPress 7.0 erscheint morgen: das sollten kleine Betriebe wissen
Abstrakte editoriale Komposition mit gold-konturiertem Plugin-Modul, das einen feinen Bruch im Material zeigt
WordPress
WordPress-Plugin-Backdoor: Was Website-Betreiber jetzt tun müssen
Editorial-Komposition: gestreckter Lade-Balken mit leuchtendem Fortschrittssegment, angedeutete Browser-Fenster-Silhouette aus feinen Goldlinien — Sinnbild für WordPress-Performance
WordPress
Warum deine WordPress-Seite langsam ist — und was du dagegen tun kannst