Eine Schweizer Anwaltskanzlei verliert nach einem WordPress-Hack zwei Wochen, ihre Reputation und mehrere zehntausend Franken. Die Lücke war seit Monaten bekannt, das Plugin nie aktualisiert. So weit, so unspektakulär. Genau das ist das Problem.
WordPress läuft auf über 40 Prozent aller Webseiten weltweit. Auch in der Schweiz. Und es wird systematisch gehackt. Wer das für Marketing-Drama hält, hat die offiziellen Quellen noch nicht gelesen.
Was das Bundesamt für Cybersicherheit dazu sagt
Das BACS (Bundesamt für Cybersicherheit, früher NCSC) betreibt eine eigene Seite für gehackte Webseiten. Dort steht direkt: Content-Management-Systeme wie WordPress, Joomla oder Typo3 sind beliebte Ziele für Angreifer, Schwachstellen im Code werden regelmässig ausgenutzt, und installierte Plugins gehören zu den häufigsten Einstiegspunkten.
Quelle: ncsc.admin.ch/Webseite gehackt
Das ist nicht ein privater Sicherheitsanbieter, der Angst verkauft. Das ist die staatliche Schweizer Stelle, deren Aufgabe genau diese Einschätzung ist.
Die Zahlen aus den internationalen Reports
Drei Datenpunkte, die jeder WordPress-Betreiber kennen sollte.
Quartal vier 2025: über 2’200 neue Schwachstellen. Der Threat Intelligence Report von Wordfence dokumentiert für das letzte Quartal 2025 einen Anstieg von rund 19 Prozent gegenüber dem Vorquartal. Statistisch sind das 24 neue Lücken pro Tag, sieben Tage die Woche.
97 Prozent aller Lücken kommen aus Plugins und Themes. Der State-of-WordPress-Security-Report 2024 von Patchstack zeigt: der WordPress-Core selbst ist relativ stabil. Das Problem sind die Erweiterungen, die du installierst, damit deine Seite überhaupt das tut, was du willst.
Mediane Zeit zwischen Lücke und Massenausnutzung: fünf Stunden. Sobald eine Schwachstelle veröffentlicht wird, beginnt das automatisierte Scannen. Wer nicht innerhalb von Stunden patcht, ist Teil der Statistik.
Drei Mechanismen, mit denen WordPress fällt
Plugin-Schwachstellen. Im Juli 2025 wurden im Plugin “HT Contact Form” drei kritische Lücken bekannt, CVSS-Bewertungen 9.1 bis 9.8. Über zehntausend Webseiten waren betroffen. Angreifer konnten ohne jede Authentifizierung beliebige Dateien hochladen oder löschen, einschliesslich der zentralen Konfigurationsdatei wp-config.php. Wer die löscht, versetzt die ganze Webseite in den Ersteinrichtungs-Zustand.
Admin-Login Brute-Force. Wordfence blockiert täglich über drei Milliarden Login-Versuche auf WordPress-Installationen. Das ist die alltägliche Hintergrundlast. Jeder schwache Admin-Pass ist eine offene Tür.
Veraltete Themes und Core-Versionen. Das BSI in Deutschland veröffentlicht regelmässig CVE-Warnungen für WordPress-Versionen. Allein im Dezember 2025 gab es Warnungen für WordPress Core bis Version 6.8.2. Wer das eingespielte Update verpasst, läuft weiter mit der bekannten Lücke.
Der Tag nach dem Hack
Ein realistisches Szenario, nicht erfunden:
Du öffnest am Montagmorgen deinen Browser und siehst, dass deine Webseite Spam-Werbung anzeigt. Oder noch peinlicher: ein Mandant ruft an, fragt warum deine Seite auf eine Glücksspielseite weiterleitet. Du loggst dich ein, das WordPress-Admin reagiert nicht mehr.
Ab diesem Moment läuft die Uhr.
Tag 1. Du suchst einen Dienstleister, der Notfall-Bereinigung macht. Tagessatz ab CHF 1’500. Erste Aufgabe: feststellen, was alles kompromittiert ist. Backup von letzter Woche? Möglicherweise schon infiziert, weil der Angriff Tage vorher anfing.
Tag 2 bis 3. Bereinigung läuft. Webseite ist offline. Im Suchergebnis bei Google steht jetzt: “Diese Seite kann Ihr Gerät schädigen”. Google entfernt deine Seite aus dem Index, bis das Problem behoben ist. SEO-Ranking, das du über Jahre aufgebaut hast, neutralisiert.
Tag 4 bis 5. Logs werden analysiert. Wurden Kundendaten exfiltriert? Falls ja, greift Artikel 24 revDSG: Meldepflicht an den EDÖB innert 72 Stunden. Auch an die Betroffenen, je nach Risiko. Bei einer Treuhand- oder Anwaltskanzlei: berufsrechtliche Konsequenzen möglich.
Woche zwei. Webseite ist wieder online. Aber: die nächste Lücke wartet schon im nächsten Plugin-Update. Du musst entscheiden: alles patchen und hoffen, oder Architektur ändern.
Gesamtkosten typischerweise: CHF 5’000 bis 15’000. Plus Opportunitätskosten der ausgefallenen Webseite. Plus Reputations-Schaden, der nicht in Franken messbar ist.
Das ist das normale Szenario. Bei einem Ransomware-Angriff oder einem gezielten Datenleck-Hack wird es teurer und länger.
WordPress vs Serverless: der nüchterne Vergleich
Eine Webseite muss kein laufender Server sein. Hier die vier Dimensionen, die für KMU zählen:
| Dimension | WordPress (klassisches Hosting) | Serverless (Astro auf AWS) |
|---|---|---|
| Hosting-Kosten | CHF 20 bis 80 pro Monat, fix, unabhängig vom Traffic. Plus Plugin-Lizenzen und Wartungs-Verträge. | Cents bis wenige Franken pro Monat, pay-per-request. Null Traffic kostet null. |
| Ausfall-Verhalten | Bei Traffic-Spitze: langsam oder offline. Bei Hack: Tage bis Wochen offline. | CloudFront SLA 99.99 Prozent. Bei Traffic-Spitze: skaliert automatisch hoch. |
| Angriffsfläche | Admin-Login, Plugins, Themes, Datenbank, FTP-Zugänge. Wöchentliche Sicherheits-Updates nötig. | Statisches HTML am Edge. Kein Server-Endpunkt offen. Keine Plugins. Keine Datenbank. |
| Skalierung | Server-Upgrade nötig, manuell. Bei Traffic-Spitze typischerweise teure Notfall-Migration. | Skaliert automatisch von einem Besucher auf eine Million ohne Eingriff. |
Was sich daraus ergibt: nicht jede Webseite muss serverless sein. Aber wenn deine Webseite eine Visitenkarte ist und kein interaktives System mit Login, dann ist die Frage berechtigt, warum überhaupt ein laufender Server dahinter steht.
Was nicht läuft, kann auch nicht gehackt werden. Was nichts verbraucht, kostet auch nichts. Das ist keine Marketing-Aussage, das ist die Physik der Architektur.
Was du jetzt tun kannst
Wenn du WordPress betreibst und nicht migrieren willst: die wichtigsten Schritte sind regelmässige Updates, ein Audit der installierten Plugins, starke Admin-Passwörter mit Zwei-Faktor-Authentifizierung, und tägliche Backups, die nicht auf demselben Server liegen.
Wenn du gerade eine neue Webseite planst oder einen Relaunch in Erwägung ziehst: prüfe ernsthaft die Alternative. Eine moderne Astro-Site auf AWS oder einem vergleichbaren CDN ist heute die saubere Antwort auf dieses Problem.
Ich habe eine Checkliste zusammengestellt, die du als PDF herunterladen kannst. Sie führt dich Schritt für Schritt durch eine ehrliche Bestandsaufnahme deiner aktuellen Webseite, mit konkreten Aktionen, die du selbst durchführen kannst.
→ PDF herunterladen: WordPress-Sicherheits-Checkliste für Schweizer KMU 2026
Wenn du Fragen zur Architektur einer neuen Webseite hast oder wissen willst, ob eine Migration für dich Sinn macht, buch ein 30-Min-Gespräch. Ehrliche Antwort inklusive, auch wenn die Antwort lautet: bleib bei WordPress, aber repariere folgende Dinge.
Quellen
- Bundesamt für Cybersicherheit BACS, Webseite gehackt, was nun?
- Wordfence Threat Intelligence Report Q4 2025 (DE-Zusammenfassung bei bitskin.de)
- Patchstack State of WordPress Security 2024 (DE-Zusammenfassung bei wp-munich.de)
- HT Contact Form Schwachstellen Juli 2025 (CVE-2025-7340/7341/7360)
- BSI Warnmeldung WordPress Core Dezember 2025 (CVE-2025-58246, CVE-2025-58674)
- Statistik 13’000 gehackte WordPress-Seiten täglich (DE-Zusammenfassung bei level-nord.de)
- Schweizerisches Datenschutzgesetz (revDSG) Art. 24 Meldepflicht