Die Sicherheitslage von WordPress bleibt auch im vierten Quartal 2025 angespannt. Die Zahl neu veröffentlichter Schwachstellen ist erneut gestiegen, während Angreifer weiterhin automatisiert und in großem Maßstab vorgehen. Besonders Plugins stehen im Fokus, viele Sicherheitslücken sind ohne Authentifizierung ausnutzbar. Der aktuelle Threat Intelligence Report von Wordfence zeigt klar: Ohne eine Kombination aus Prävention, Erkennung und kontinuierlicher Überwachung sind WordPress-Websites langfristig nicht ausreichend geschützt.
Warum WordPress-Sicherheit strategisch relevant ist
WordPress ist das weltweit meistgenutzte CMS – und genau das macht es zu einem bevorzugten Ziel für Cyberangriffe. Sicherheitslücken entstehen dabei nicht nur durch gezielte Hackerangriffe, sondern häufig durch veraltete Plugins, ungepatchte Schwachstellen oder fehlende Schutzmechanismen.
Eine moderne Sicherheitsstrategie endet daher nicht bei Firewalls oder Passwörtern. Entscheidend ist ein ganzheitlicher Ansatz, der Angriffe verhindert, Bedrohungen frühzeitig erkennt und im Ernstfall schnelle Reaktionen ermöglicht.
Die wichtigsten Erkenntnisse aus Q4 2025
Im vierten Quartal 2025 hat Wordfence insgesamt 2.213 neue WordPress-Schwachstellen veröffentlicht – ein Anstieg von rund 19 % im Vergleich zum Vorquartal. Besonders kritisch: Die Zahl der sogenannten „häufigen und gefährlichen“ Sicherheitslücken ist deutlich gestiegen.
Gleichzeitig zeigen die Zahlen, dass Sicherheitsmaßnahmen Wirkung zeigen. Sowohl die Anzahl erfolgreicher Infektionen als auch blockierter Brute-Force-Angriffe ist rückläufig. Dennoch bewegen sich die absoluten Werte weiterhin auf extrem hohem Niveau.
Zentrale Kennzahlen aus Q4 2025:
- Über 2.200 neu gemeldete Schwachstellen
- 131 als hochkritisch eingestufte Sicherheitslücken
- 9,1 Milliarden durch Firewalls blockierte Angriffe
- Rund 467.000 infizierte Websites weltweit
Schwachstellen: Plugins bleiben das größte Risiko
Wie bereits in den Vorquartalen betrifft der Großteil aller Sicherheitslücken WordPress-Plugins. Viele dieser Schwachstellen sind ohne Anmeldung ausnutzbar – Angreifer benötigen also weder Benutzerkonten noch spezielle Rechte.
Besonders häufig traten folgende Schwachstellentypen auf:
- Cross-Site-Scripting (XSS)
- Fehlende Autorisierungsprüfungen
- Cross-Site-Request-Forgery (CSRF)
- SQL-Injections und Datei-Uploads mit Schadcode
Alarmierend ist zudem, dass zum Quartalsende noch über 900 bekannte Sicherheitslücken ungepatcht waren. Für Website-Betreiber bedeutet das: Selbst bekannte Risiken bleiben oft über längere Zeit offen.
Angriffsmuster: automatisiert, global, dauerhaft
Die Auswertung der Angriffe zeigt ein klares Bild: Angriffe auf WordPress erfolgen überwiegend automatisiert und in extremem Umfang. Milliarden von Requests stammen von relativ wenigen, stark aktiven IP-Adressen und Bot-Netzen.
Neben gezielten Exploits auf bekannte Plugin-Schwachstellen spielen auch generische Angriffsmuster eine große Rolle – etwa das systematische Durchprobieren von Login-Daten oder das Ausnutzen schlecht gesicherter Upload-Funktionen.
Auffällig ist außerdem, dass Angriffe zunehmend parallel laufen: Während Firewalls Exploits blockieren, laufen im Hintergrund massenhaft Passwortangriffe auf Administrator- und Benutzerkonten.
Malware: weniger Funde, aber weiterhin hohes Risiko
Auch im Bereich Malware zeigt sich ein gemischtes Bild. Die Zahl neu erkannter Schadsoftware-Dateien ist zwar rückläufig, dennoch wurden im Quartal hunderttausende Websites mit Malware infiziert.
Typisch sind dabei:
- PHP-Dateien mit Backdoors oder Webshells
- JavaScript- und HTML-Code für Spam oder Weiterleitungen
- Schadcode in Upload- und Plugin-Verzeichnissen
Ein einzelner Befall bleibt selten isoliert: Pro infizierter Website wurden im Durchschnitt über 50 manipulierte Dateien gefunden.
Was das für Website-Betreiber bedeutet
Die Ergebnisse des Reports machen deutlich: Sicherheit ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Einzelmaßnahmen reichen nicht mehr aus.
Schutz
Ein leistungsfähiger Web Application Firewall, regelmäßige Updates von Plugins und Themes sowie gehärtete Konfigurationen bilden die erste Verteidigungslinie. Ziel ist es, Angriffe zu stoppen, bevor sie Schaden anrichten können.
Erkennung
Da kein Schutz hundertprozentig ist, spielt die frühzeitige Erkennung eine zentrale Rolle. Regelmäßige Scans helfen, Malware, verdächtige Dateien oder bekannte Schwachstellen zu identifizieren, bevor sie ausgenutzt werden.
Überwachung
Kontinuierliches Monitoring sorgt dafür, dass sicherheitsrelevante Ereignisse sofort sichtbar werden – etwa ungewöhnliche Login-Versuche, Dateiänderungen oder auffälliger Traffic. Nur so lassen sich Angriffe schnell einordnen und gezielt abwehren.
Fazit: Mehrschichtige Sicherheit ist Pflicht
Die Bedrohungslage für WordPress bleibt auch 2025 hoch. Die steigende Zahl an Schwachstellen, automatisierte Angriffe und ungepatchte Plugins zeigen, wie wichtig eine mehrschichtige Sicherheitsstrategie ist.
Wer Schutz, Erkennung und aktive Überwachung kombiniert, reduziert das Risiko erheblich und behält jederzeit den Überblick über den Sicherheitszustand der eigenen Website. WordPress-Sicherheit ist damit kein technisches Detail mehr – sondern ein zentraler Faktor für Stabilität, Vertrauen und langfristigen Geschäftserfolg.