WordPress treibt fast die Hälfte des Webs an und ist damit die am stärksten gezielte Plattform im Internet. Im Jahr 2025 veränderte sich die Bedrohungslandschaft auf eine Weise, die die meisten herkömmlichen Sicherheitsstrategien unzureichend machte. Die Schwachstellenzahlen stiegen stark, die Exploitation-Zeitlinien sanken auf Stunden, und Angreifer setzten immer ausgefeiltere Malware ein, die darauf ausgelegt war, Bereinigungsversuche zu überstehen.
Diese Übersicht stützt sich auf Sicherheitsdaten aus dem Jahr 2025, um WordPress- und WooCommerce-Website-Besitzern zu helfen, die realen Risiken ihrer Seiten zu verstehen und welche praktischen Schritte sie unternehmen können, um diese Lücken zu schließen.
Sicherheitsforscher identifizierten 2025 11.334 neue Schwachstellen im WordPress-Ökosystem, ein Anstieg von 42 % gegenüber dem Vorjahr. Davon waren 4.124 so schwerwiegend, dass eine aktive Schadensminderung erforderlich war, und 1.966 hatten eine hohe Schweregradbewertung, was auf eine hohe Wahrscheinlichkeit einer massenhaften automatisierten Ausnutzung hindeutet.
Um das ins Verhältnis zu setzen: Im Jahr 2025 wurden in WordPress mehr schwerwiegende Schwachstellen entdeckt als in den beiden Vorjahren zusammen. Das ist kein allmählicher Trend. Es stellt eine deutliche Beschleunigung der Aufmerksamkeit von Angreifern auf das WordPress-Ökosystem dar.
Plugins machten 91 % aller neu gemeldeten Schwachstellen aus. Die restlichen 9 % machten Themen aus. WordPress Core selbst meldete nur sechs Probleme, alle mit niedriger Priorität.
Diese Verteilung unterstreicht eine einfache Realität: Die Kernsoftware ist nicht das Problem. Das Risiko liegt in den Drittanbieter-Komponenten, die darüber lagen, und die meisten WordPress-Seiten betreiben Dutzende davon.
Nein. Premium-Komponenten stellen oft einen gefährlicheren toten Fleck dar als ihre kostenlosen Gegenstücke.
Sicherheitsforscher führten eine gezielte Analyse der Premium-Marktplatzkomponenten durch, einschließlich derjenigen, die über Envato verteilt werden. Die Ergebnisse waren signifikant:
Der Grund ist nicht, dass Premium-Plugins nachlässiger gebaut sind. Das liegt daran, dass Sicherheitsforscher nur begrenzten Zugang zu kostenpflichtiger Software haben, sodass weniger Augen den Code prüfen. Eine geringere Prüfung bedeutet nicht ein geringeres Risiko. Das bedeutet ein geringeres Bewusstsein für bestehende Risiken.
Nur 54 %. Im Jahr 2025 wurden 46 % der gemeldeten Schwachstellen vom Plugin-Entwickler vor der Öffentlichkeit nicht behoben. Das bedeutet, dass Schwachstellendetails öffentlich wurden und in vielen Fällen sofort für Angreifer verfügbar waren, bevor Patches für Seitenbetreiber verfügbar waren.
Sich auf Plugin-Updates als primäre Sicherheitsmaßnahme zu verlassen, ist im Allgemeinen unzureichend, da fast die Hälfte der offengelegten Schwachstellen keinen Patch enthält.
Schneller, als es die meisten Update-Pläne erlauben. Für die am stärksten gezielten Schwachstellen betrug die gewichtete mittlere Zeit von der öffentlichen Offenlegung bis zur aktiven Ausnutzung fünf Stunden.
Ungefähr die Hälfte aller hochkarätigen Schwachstellen wurde innerhalb von 24 Stunden nach Offenlegung ausgenutzt. Dieses Fenster umfasst eine Zeit, in der die meisten Seitenadministratoren entweder nichts von dem Problem wissen oder noch keine Gelegenheit hatten, einen verfügbaren Patch anzuwenden.
Die ersten 24 Stunden nach einer Offenlegung einer Schwachstelle stellen typischerweise das risikoreichste Zeitfenster für eine WordPress-Seite dar. Ohne automatisierte Minderungsmaßnahmen sind die meisten Standorte genau in diesem Zeitraum exponiert.
Broken Access Control stand 2025 an der Spitze der Liste der ausgenutzten Schwachstellenkategorien. Diese Kategorie ist besonders schwer zu verteidigen, da die Angriffe normales authentifiziertes Nutzerverhalten nachahmen. Es gibt keine offensichtlichen Injektionsstrings oder fehlgeleitete Anfragen, die eine traditionelle Web-Anwendungs-Firewall fangen sollte.
Weitere stark ausgenutzte Schwachstellenklassen waren:
WooCommerce-bezogene Plugins erschienen in der Liste der zehn am meisten Zielgruppen, darunter eine WooCommerce Payments Privilege Escalation Schwachstelle aus dem Jahr 2023, die weiterhin aktiv gegen ungepatchte Installationen angegriffen wurde.
Nicht effektiv genug. Penetrationstests, die 2025 bei mehreren Hosting-Anbietern durchgeführt wurden, ergaben, dass standardisierte Verteidigungskonfigurationen, darunter interne WAFs und Cloudflare, nur 26 % der WordPress-Schwachstellen-Exploit-Versuche blockierten. Insbesondere bei bekannten ausgenutzten Schwachstellen sank die Blockrate auf 12 %.
Die Leistung variierte erheblich zwischen den Hosting-Umgebungen, was vor allem auf die Konfiguration interner WAF-Regeln zurückzuführen war. Generische WAF-Regeln funktionieren gegen nicht-WordPress-spezifische Angriffe recht gut, sind aber schlecht mit WordPress-spezifischen Schwachstellenklassen übereinstimmt, die für die meisten realen Ausnutzungsaktivitäten verantwortlich sind.
Das Verhalten nach Kompromissen wurde 2025 anspruchsvoller und schwerer zu beheben. Die Analyse von Milliarden von Malware-Infektionen in der globalen Hosting-Infrastruktur zeigte deutliche Veränderungen darin, wie Angreifer arbeiten, sobald sie Zugang zu einer Seite erhalten.
Angreifer bevorzugen zunehmend injizierte Dateien gegenüber eigenständigen bösartigen Dateien. Eine eingeschleuste Datei ist eine legitime WordPress-Kerndatei, Plugin-Datei oder Themedatei, die so modifiziert wurde, dass sie bösartigen Code enthält. Da die Basisdatei legitim ist, markieren löschbasierte Scan-Tools sie inkonsistent oder übersehen sie komplett.
Das Entfernen von injizierter Malware erfordert die Identifizierung und chirurgische Reinigung des bösartigen Schnipsels aus einer ansonsten gültigen Datei. Das Löschen der Datei selbst zerstört die Seite. Diese Unterscheidung erzwingt eine bedeutende Veränderung in der Funktionsweise von Sanierungsinstrumenten.
Ja. Die böswillige Datei-Upload-Aktivitäten haben sich im November und Dezember 2025 fast verdreifacht. Dieser Anstieg ist kein Zufall. Q4 kombiniert Spitzenverkehr mit reduziertem IT-Personal und schafft so ein Umfeld, in dem Angreifer mit geringerer Wahrscheinlichkeit sofortiger Entdeckung oder Reaktion agieren können. WooCommerce-Ladenbesitzer, die aktive Feiertagsaktionen durchführen, agieren im risikoreichsten Zeitfenster des Jahres und verfügen oft über die wenigsten internen Ressourcen, um darauf zu reagieren.
Die am weitesten verbreiteten Malware-Kampagnen hatten ein gemeinsames Designziel: so lange wie möglich nicht entdeckt zu werden. Drei Ausweichmuster waren besonders weit verbreitet.
Selektive Inhaltsbereitstellung
Kampagnen, darunter japanischer SEO-Spam, Jgalls und Parrot TDS, liefern unterschiedliche Inhalte, je nachdem, wer die Anfrage stellt. Suchmaschinen-Crawler erhalten mit Schlüsselwörtern gefüllten Spam, um Rankings zu manipulieren. Menschliche Besucher werden auf Phishing-Seiten oder betrügerische Shops weitergeleitet. Seitenbetreiber und Scanner sehen typischerweise saubere Inhalte. Die Infektion bleibt unsichtbar, bis Kunden anfangen zu klagen oder der organische Suchverkehr zusammenbricht.
Parrot TDS erweiterte diese Technik 2025 weiter, indem es KI-Trainings-Crawler erkannte, darunter auch solche von OpenAI und Google. Saubere Inhalte werden Crawlern bereitgestellt, während böswillige Weiterleitungen weiterhin menschliche Besucher umleiten, was die Erkennung durch automatisierte Audits noch unzuverlässiger macht.
Speicher-residente Persistenz
Die Lock360-Malware-Familie führt bösartigen Code direkt im Serverspeicher aus, anstatt ihn in Dateien zu speichern. Wenn ein Administrator eine infizierte Datei wie index.php oder .htaccess bereinigt, schreibt der speicherresidente Prozess den bösartigen Code sofort wieder zurück. Support-Teams befinden sich oft in einem kontinuierlichen Kreislauf aus Aufräumen und erneuten Infektionen, bis der zugrundeliegende Speicherprozess beendet wird – etwas, wofür die meisten Standard-Scan-Tools nicht geeignet sind.
Erweiterung der Uploader-Infrastruktur
Die Uploader-Skriptaktivität hat sich im Juni 2025 nahezu verdoppelt und blieb bis zum Jahresende erhöht. Uploader sind Werkzeuge, die es Angreifern ermöglichen, nach Belieben zusätzliche Nutzlasten auf einer kompromittierten Seite bereitzustellen. Ihr anhaltender Anstieg signalisiert eine strategische Verschiebung hin zu dauerhaftem Zugang statt einmaliger Ausbeutung. Eine Seite, die von einer Infektion gereinigt wurde, kann durch einen ruhenden Uploader, der die Reinigung überstanden hat, erneut infiziert werden.
Mehrere Trends konvergieren sich und bilden WordPress-Sicherheit komplexer, nicht weniger.
Die KI-unterstützte Entwicklung beschleunigt die Produktion individueller Plugins. Agenturen erstellen Plugin-Funktionalitäten auf Abruf und setzen KI-generierte Frontends bereit, die mit React gebaut wurden, während sie WordPress als Backend-CMS verwenden. Dies erweitert die Angriffsfläche weit über den traditionellen Umfang von Core, Plugins und Themes hinaus. Individuell codierte Komponenten, JavaScript-Pakete und PHP-Abhängigkeiten bringen alle Sicherheitsrisiken mit sich, die Standard-WordPress-Scan-Tools nicht bewerten sollen.
Gleichzeitig senkt KI die Hürde für Angreifer, autonom Schwachstellen zu entdecken und auszunutzen. Die gleichen Werkzeuge, die zum schnelleren Bau von Seiten verwendet werden, werden auch genutzt, um Schwächen darin zu finden und auszunutzen.
Auf regulatorischer Ebene drängt der EU Cyber Resilience Act kommerzielle WordPress-Plugin-Anbieter, formelle Offenbarungsprogramme für Schwachstellen als gesetzliche Voraussetzung für die Verbreitung von Software an europäische Nutzer einzuführen. Die meisten Plugin-Entwickler verfügen derzeit nicht über die internen Ressourcen, um große Mengen an eingehenden Sicherheitsberichten zu verwalten. Diese Lücke wird Reibungen zwischen der Schwachstellenidentifikation und der Verfügbarkeit von Patches schaffen – ein Zeitraum, der laut Ausnutzungsdaten von 2025 bereits erhebliche Risiken birgt.
Die Daten von 2025 machen für jeden, der einen WooCommerce-Shop betreibt, mehrere Dinge deutlich.
Die Grundlagen der WordPress-Sicherheit haben sich nicht geändert: Software auf dem neuesten Stand halten, die Plugin-Verbreitung begrenzen und starke Zugangsdaten verwenden. Was sich geändert hat, ist, dass diese Maßnahmen für sich allein nicht mehr ausreichen.
Exploitation-Zeitpläne sind auf Stunden komprimiert. Malware ist darauf ausgelegt, eine Standardreinigung zu überstehen. Premium-Plugins bergen versteckte Risiken. Und die Angriffsfläche einer typischen WordPress-Seite wächst, da KI-generierte Komponenten in den Stack gelangen.
Effektive WordPress-Sicherheit im Jahr 2026 erfordert automatisierte Schwachstellenminderung, die innerhalb der ersten Stunden nach der Offenlegung aktiviert wird, eine Server-Malware-Erkennung, die in der Lage ist, eingeschleusten Code und speichergebundene Bedrohungen zu identifizieren, sowie eine klare Transparenz in jede auf der Seite laufende Komponente – unabhängig davon, ob sie über das Admin-Panel installiert oder durch individuelle Entwicklung erstellt wird.
Seiten, die Sicherheit als proaktiven, kontinuierlichen Prozess behandeln, sind deutlich besser positioniert als solche, die auf regelmäßige Bereinigungen nach Problemen angewiesen sind.
