WordPress im März 2026: Sicherheitsnotfall und großes Update

WordPress im März 2026: Sicherheitsnotfall und großes Update

WordPress stand im März 2026 vor einem beispiellosen Sicherheitsnotfall: Drei Updates in 24 Stunden, um kritische Schwachstellen zu beheben, während Version 7.0 ansteht. Diese chaotische Situation betrifft auch Betriebe in Oldenburg direkt und erfordert sofortiges Handeln. Entdecken Sie, was genau passiert ist und wie Sie Ihre Website jetzt effektiv schützen.

Dennis Schwenker-Sanders 12 Min. Lesezeit

WordPress steht im März 2026 vor zwei Herausforderungen gleichzeitig: der schnellste Patch-Zyklus der WordPress-Geschichte mit drei Sicherheits-Updates in 24 Stunden und der bevorstehende Release von Version 7.0. Auch für Betriebe in Oldenburg und Umgebung bedeutet das konkrete Handlungsschritte. Wer WordPress nutzt, muss jetzt aktiv werden. Wer über einen Relaunch oder CMS-Wechsel nachdenkt, sollte die aktuelle Situation bei der Planung berücksichtigen.

WordPress ist mit 43,4 % Marktanteil das weltweit meistgenutzte Content-Management-System (W3Techs 2026). Unter den CMS-basierten Websites beträgt der Marktanteil sogar 62,8 %. Diese Verbreitung macht WordPress zum bevorzugten Ziel für Angreifer. Was im März 2026 passiert ist und was das für deine Website bedeutet, erfährst du in diesem Artikel.

Teil 1: Der WordPress-Sicherheitsnotfall vom 10.-11. März 2026

Was ist am 10.-11. März passiert?

WordPress hat vom 10. bis 11. März 2026 drei Core-Releases innerhalb von rund 24 Stunden veröffentlicht. Das ist der schnellste Patch-Zyklus in der WordPress-Geschichte (WordPress.org 2026). Was auf den ersten Blick wie gute Reaktionsfähigkeit aussieht, offenbart bei genauerem Hinsehen die Risiken des WordPress-Ökosystems.

WordPress 6.9.2 erschien am 10. März und patcht 10 Sicherheitslücken (WordPress.org 2026). Die kritischste: eine XXE-Injection (XML External Entity) in der getID3-Bibliothek (CVE-2026-3908), die das Auslesen der wp-config.php ermöglicht (Search Engine Journal 2026). Das bedeutet konkret: Angreifer können Datenbank-Zugangsdaten, Security Salts und API-Keys auslesen. Ein vollständiger Kompromittierungsvektor.

Weitere Schwachstellen in 6.9.2: Blind SSRF (CVE-2026-3901), PclZip Path Traversal (CVE-2026-3907), Stored XSS in Navigationsmenüs und AJAX-Authorization-Bypass (Search Engine Journal 2026). Allesamt ernste Lücken, die sofortiges Handeln erfordern.

Nur 5 Stunden nach 6.9.2 folgte Version 6.9.3, weil 6.9.2 bei manchen Themes weiße Seiten verursachte (WordPress.org 2026). Ein kritischer Fehler im Sicherheitspatch selbst. Am 11. März erschien Version 6.9.4, weil drei der zehn Patches in 6.9.2 unvollständig waren (WordPress.org 2026).

Warum ist das ein Problem?

Die chaotische Patch-Sequenz zeigt strukturelle Risiken: fehlerhafter Patch, White-Screen-Bug, unvollständige Fixes. Für Website-Betreiber bedeutet das Unsicherheit. Welche Version ist jetzt sicher? Kann ich 6.9.2 überspringen und direkt auf 6.9.4 aktualisieren? Was ist mit meinen Plugins und Themes?

Aus meiner Erfahrung mit lokalen Websites sehe ich ein wiederkehrendes Problem: Viele Betriebe wissen nicht, welche WordPress-Version läuft. Automatische Updates sind manchmal deaktiviert, weil frühere Updates zu Problemen führten. Andere nutzen Page Builder und Custom Themes, bei denen Updates manuell getestet werden müssen. Das Zeitfenster zwischen Patch-Veröffentlichung und Installation wird zur Gefahr.

Der Patchstack-Report 2026 liefert alarmierende Zahlen: 11.334 neue WordPress-Schwachstellen in 2025, ein Anstieg von 42 % (Patchstack 2026). 91 % davon betreffen Plugins (Patchstack 2026). Die mediane Zeit bis zur Massenausnutzung beträgt nur 5 Stunden (Patchstack 2026). Das bedeutet: Sobald eine Schwachstelle öffentlich wird, haben Angreifer binnen Stunden automatisierte Skripte am Laufen.

Aktuell gibt es ein konkretes Beispiel: Das Plugin Widget Options (über 100.000 Installationen) hat eine ungepatchte RCE-Lücke (SolidWP 2026). Remote Code Execution, also vollständiger Server-Zugriff für Angreifer. Solche Lücken bleiben oft wochenlang offen, weil Plugin-Entwickler langsamer reagieren als das WordPress Core Team.

Was viele nicht wissen: Die Angriffsdimension

WordPress-Websites werden im Durchschnitt alle 22 Minuten angegriffen (Hostinger 2026). Das sind keine gezielten Hacker-Angriffe auf deine spezifische Bäckerei oder Handwerksbetrieb. Das sind automatisierte Bot-Netzwerke, die systematisch WordPress-Installationen scannen und bekannte Schwachstellen ausnutzen.

Täglich werden etwa 13.000 WordPress-Seiten gehackt (Hostinger 2026). Pro Jahr sind das 4,7 Millionen kompromittierte Websites weltweit. Die Dunkelziffer liegt höher, weil viele Kompromittierungen unentdeckt bleiben. Im ersten Halbjahr 2024 verzeichnete Sucuri 473.135 infizierte Websites, 69,46 % wiesen Malware-Injektionen auf (Karsch Consult 2025).

Eine Studie von Sucuri zeigt: 39,3 % der gehackten WordPress-Seiten hatten zum Zeitpunkt des Vorfalls veraltete Software installiert (Kinsta 2023). Das ist der engste Zusammenhang zwischen Sicherheitslücke und tatsächlichem Hack. Veraltete Software ist ein direkter Risikofaktor.

Was jetzt zu tun ist: Die kritischen Bereiche

Jede WordPress-Website muss sofort auf Version 6.9.4 aktualisiert werden. Das ist keine Empfehlung, sondern eine Notwendigkeit. Die XXE-Injection ist ein vollständiger Kompromittierungsvektor. Ohne Update ist deine Website angreifbar.

Quick Check: Logge dich ins WordPress-Backend ein (wp-admin) und prüfe unter Dashboard → Aktualisierungen, welche Version läuft. Steht dort etwas anderes als 6.9.4, ist ein Update fällig.

Aber das Update alleine reicht nicht. Du musst vier Bereiche im Blick haben:

1. Core-Update mit Backup-Strategie

Das Update auf 6.9.4 muss erfolgen, aber nicht blind. Erst ein Backup erstellen (Datenbank + Dateien), dann Update durchführen, dann Website testen. Klingt einfach, ist in der Praxis aber komplex. Welches Backup-System nutzt du? Wo liegt das Backup? Wie stellst du es im Notfall wieder her? Das sind Fragen, die vor dem Update geklärt sein müssen.

2. Plugin-Audit durchführen

Über 91 % der WordPress-Schwachstellen betreffen Plugins (Patchstack 2026). Nach dem Core-Update müssen alle Plugins auf die neueste Version aktualisiert werden. Aber Vorsicht: Einige Plugins sind nicht mehr gepflegt, haben bekannte Sicherheitslücken oder sind mit neueren WordPress-Versionen inkompatibel. Ein Plugin-Audit bedeutet: Jedes Plugin einzeln prüfen, aktualisieren oder deaktivieren. Nicht genutzte Plugins sollten komplett gelöscht werden.

3. Automatische Updates konfigurieren

WordPress bietet automatische Updates für Core und Plugins. Viele Betriebe haben das deaktiviert, weil frühere Updates zu Problemen führten. Das ist nachvollziehbar, aber gefährlich. Die Lösung ist nicht, Updates zu vermeiden, sondern eine Update-Strategie zu haben. Staging-Umgebung, automatische Updates für Sicherheits-Patches, manuelle Tests für Major-Releases.

4. Sicherheits-Monitoring einrichten

Die 5-Stunden-Regel (mediane Zeit bis Massenausnutzung) bedeutet: Du musst wissen, wenn eine neue Schwachstelle deine Website betrifft. Das geht nicht manuell. Du brauchst ein System, das deine Website auf bekannte Schwachstellen scannt und dich benachrichtigt. Wordfence, Sucuri oder ähnliche Security-Plugins bieten das. Aber auch hier gilt: Das Plugin muss richtig konfiguriert sein.

WordPress Security-Check für Betriebe in der Region

Du willst wissen, ob deine WordPress-Website von den aktuellen Schwachstellen betroffen ist? Ich biete einen kostenlosen 20-Minuten Security-Check an:

  1. Prüfung der WordPress-Version und Update-Status
  2. Plugin-Audit: Veraltete, ungepflegte oder anfällige Plugins identifizieren
  3. Backup-Strategie: Ist ein aktuelles Backup vorhanden und wiederherstellbar?
  4. Handlungsplan: Welche Updates sind dringend, welche können warten?

Kostenlos und unverbindlich. Für Betriebe in Oldenburg, Ganderkesee und Umgebung.

→ Kontaktformular auf level-nord.de

Teil 2: WordPress 7.0 kommt am 9. April – was KMU jetzt vorbereiten müssen

Was ist neu in WordPress 7.0?

Während die Sicherheitslücken akute Handlung erfordern, steht am 9. April 2026 das größte WordPress-Update seit Jahren an: Version 7.0. Der Release Candidate 1 erscheint am 19. März 2026 (WordPress.org 2026). Der finale Release ist für den 9. April geplant, zeitgleich mit dem WordCamp Asia Contributor Day (WordPress.org 2026).

Aktuell liegt Beta 5 vor (12. März 2026). Die Kernfeatures sind stabil: Real-Time Collaboration (gleichzeitiges Bearbeiten via HTTP-Polling/CRDT-Sync, zunächst 2 Bearbeiter), AI Connectors UI (zentrales Dashboard für KI-Anbieter unter Einstellungen → Connectors), Abilities API für KI-Services, Client-seitige Medienverarbeitung und DataViews-Admin-Redesign (WordPress.org 2026, WPEdition 2026).

Die wichtigste Änderung steht aber im Kleingedruckten: Minimum PHP-Version 7.4 (365i 2026, DeveloPress 2026). Websites auf PHP 7.2 oder 7.3 können nicht auf WordPress 7.0 aktualisieren. Sie bleiben auf 6.9.x stehen, bis der Server-PHP-Version aktualisiert ist.

Warum ist das jetzt relevant?

Der Release am 9. April fällt genau in die Osterzeit. Ostern ist am 5. April 2026. Für viele Betriebe bedeutet das: Relaunch-Projekte müssen entweder vor Ostern abgeschlossen sein (dann auf WordPress 6.9) oder nach Ostern starten (dann idealerweise direkt auf 7.0). Die Oster-Feiertage sind ein schlechter Zeitpunkt für WordPress-Updates, weil Support-Kapazitäten begrenzt sind.

Aus meiner Erfahrung als Webentwickler aus Sandkrug sehe ich bei Website-Checks in der Region häufig veraltete PHP-Versionen. Viele Hosting-Anbieter haben PHP 7.4 oder 8.0 als Standard, aber ältere Websites laufen noch auf PHP 7.2 oder 7.3, weil beim letzten Server-Update Kompatibilitätsprobleme befürchtet wurden.

Das Problem: Ohne PHP-Upgrade kein WordPress 7.0. Und ohne WordPress 7.0 keine Sicherheits-Updates ab einem bestimmten Zeitpunkt. WordPress hat eine klare Strategie: Alte PHP-Versionen werden nach und nach fallen gelassen, um moderne Features zu ermöglichen. PHP 7.2 und 7.3 sind seit 2020 bzw. 2021 End-of-Life (php.net). Keine Sicherheits-Updates mehr.

Was bedeuten die neuen Features konkret?

Real-Time Collaboration klingt nach Google Docs für WordPress. Zwei Bearbeiter können gleichzeitig an einem Beitrag arbeiten, Änderungen werden in Echtzeit synchronisiert. Für Redaktionsteams oder Agenturen mit mehreren Mitarbeitern eine praktische Funktion. Für Solo-Betriebe oder kleine Websites eher irrelevant.

Die AI Connectors UI ist interessanter. WordPress integriert zentrale Schnittstellen für KI-Dienste wie OpenAI, Anthropic oder Google. Die Abilities API definiert, welche KI-Funktionen Plugins nutzen dürfen. Das klingt abstrakt, wird aber praktisch relevant: KI-gestützte Content-Erstellung, automatische Bild-Alt-Texte, SEO-Optimierungen. Alles direkt in WordPress integriert.

Client-seitige Medienverarbeitung bedeutet: Bilder werden im Browser komprimiert und optimiert, bevor sie hochgeladen werden (WPExperts 2026). Das spart Server-Ressourcen und beschleunigt Uploads. Für Websites mit vielen Bildern (Restaurants, Handwerksbetriebe, Immobilien) eine spürbare Verbesserung.

Das DataViews-Admin-Redesign modernisiert die WordPress-Oberfläche. Listen-Ansichten für Beiträge, Seiten und Medien werden übersichtlicher und flexibler. Das betrifft die tägliche Arbeit mit WordPress direkt.

Die kritische Frage: Welche PHP-Version läuft auf dem Server?

Das ist die erste Prüfung, die jeder WordPress-Betreiber jetzt durchführen muss. Ohne PHP 7.4 oder höher gibt es kein WordPress 7.0. Punkt.

Quick Check: Im WordPress-Backend unter Website-Zustand (Tools → Website-Zustand → Info → Server) steht die PHP-Version. Oder frag deinen Hoster. Die meisten Hosting-Anbieter haben ein Control Panel (z.B. Plesk, cPanel), wo die PHP-Version angezeigt und geändert werden kann.

Wenn dort PHP 7.2 oder 7.3 steht, muss vor dem 9. April ein PHP-Upgrade erfolgen. Das klingt einfach, ist aber mit Risiken verbunden. Ältere Plugins und Themes sind möglicherweise nicht mit PHP 8.0 oder 8.3 kompatibel. Ein PHP-Upgrade kann zu Fatal Errors führen, die die Website unbrauchbar machen.

Deshalb der Ablauf: PHP-Version auf Staging-Umgebung testen, dann auf Live schalten. Ohne Staging-Umgebung wird es riskant. Viele Shared-Hosting-Pakete bieten keine Staging-Umgebung. Dann bleibt nur: Backup erstellen, PHP upgraden, Website testen, im Notfall zurückrollen.

WordPress 7.0 vorbereiten: Die vier Prüfpunkte

1. PHP-Version prüfen und upgraden

Siehe oben. Das ist die Grundvoraussetzung. Ohne PHP 7.4+ kein WordPress 7.0. Der Upgrade-Prozess sollte auf einer Staging-Umgebung getestet werden. Gibt es keine Staging-Umgebung, muss ein vollständiges Backup vorhanden sein.

2. Plugin- und Theme-Kompatibilität testen

Die meisten modernen Plugins und Themes sind mit WordPress 7.0 kompatibel. Aber "meisten" ist nicht "alle". Plugins, die seit Jahren nicht aktualisiert wurden, werden möglicherweise Probleme machen. Themes mit hartkodiertem CSS oder veralteten PHP-Funktionen ebenfalls. Die Plugin- und Theme-Entwickler veröffentlichen meist vor einem Major-Release Updates. Aber das passiert nicht automatisch. Du musst aktiv prüfen: Gibt es Updates? Sind diese Updates mit WordPress 7.0 getestet?

3. Neue Features evaluieren

Brauche ich Real-Time Collaboration? Nutze ich KI-Dienste? Profitiere ich von Client-seitiger Medienverarbeitung? Diese Fragen entscheiden, ob ein schnelles Update sinnvoll ist oder ob du erstmal abwarten kannst. WordPress 7.0 ist kein Pflicht-Update wie 6.9.4 (Sicherheit). Es ist ein Feature-Update. Du kannst auf 6.9.x bleiben, solange WordPress Sicherheits-Patches dafür liefert. Aber irgendwann wird der Support für 6.9 enden.

4. Relaunch-Timing überdenken

Wer einen Relaunch vor Ostern plant, startet auf WordPress 6.9. Wer nach Ostern launcht, sollte direkt auf 7.0 gehen. Warum auf einer alten Version starten, wenn in 4 Wochen ein Major-Update kommt? Das ist strategische Planung. Ein Relaunch ist der beste Zeitpunkt für ein WordPress-Upgrade, weil ohnehin alles neu getestet wird.

WordPress 7.0 Readiness-Check für Betriebe in der Region

Du willst wissen, ob deine WordPress-Website für WordPress 7.0 vorbereitet ist? Ich biete einen kostenlosen 20-Minuten Readiness-Check an:

  1. PHP-Version prüfen: Läuft dein Server auf PHP 7.4 oder höher?
  2. Plugin-Kompatibilität: Sind deine Plugins mit WordPress 7.0 getestet?
  3. Feature-Relevanz: Welche neuen Funktionen bringen dir echten Nutzen?
  4. Upgrade-Strategie: Wann und wie solltest du auf 7.0 wechseln?

Kostenlos und unverbindlich. Für Betriebe in Oldenburg, Ganderkesee und Umgebung.

→ Kontaktformular auf level-nord.de

Die Alternative: Wann ein CMS-Wechsel Sinn macht

Die Kombination aus Sicherheitsnotfall und Major-Update zeigt: WordPress ist ein komplexes System. Es erfordert kontinuierliche Wartung, regelmäßige Updates und technisches Verständnis. Für viele Betriebe ist das machbar. Aber nicht für alle.

Es gibt Situationen, in denen ein CMS-Wechsel wirtschaftlich sinnvoller ist als die dauerhafte WordPress-Wartung. Wenn deine Website hauptsächlich statisch ist (Leistungen, Kontakt, Öffnungszeiten), brauchst du nicht die Komplexität von WordPress mit 60.000 Plugins und monatlichen Sicherheits-Patches.

Moderne Alternativen wie das Lotse CMS setzen auf einen anderen Ansatz: Weniger Komplexität, weniger Angriffsfläche, mehr Sicherheit durch Einfachheit. Das ist keine Kritik an WordPress. WordPress ist ein hervorragendes System für komplexe Websites, Blogs und Online-Shops. Aber für viele lokale Betriebe ist es überdimensioniert.

Die Frage ist nicht "WordPress oder kein WordPress". Die Frage ist: "Was braucht meine Website wirklich?" Wer täglich Blogartikel schreibt, mehrere Redakteure hat und Community-Features braucht, ist bei WordPress richtig. Wer eine professionelle, wartungsarme Website ohne monatliche Update-Zyklen will, sollte Alternativen prüfen.

Realistische Erwartungen: WordPress ist nicht unsicher, aber wartungsintensiv

Die Statistiken klingen dramatisch: 13.000 gehackte WordPress-Seiten täglich, 90.000 Angriffe pro Minute, 7.966 neue Schwachstellen in 2024 (Hostinger 2026, WP Mayor, Patchstack). Aber diese Zahlen müssen eingeordnet werden.

WordPress ist mit 43,4 % Marktanteil das größte Ziel. Die absolute Anzahl an Angriffen ist hoch, weil die Verbreitung hoch ist. Relativ gesehen ist WordPress nicht unsicherer als andere CMS. Der Unterschied: Bei WordPress ist die Sicherheit zu einem großen Teil Aufgabe des Website-Betreibers.

Wordfence-Daten zeigen: 70 % der Sicherheitslücken lassen sich durch Schutz vor Brute-Force-Attacken und Plugin-Updates verhindern (WPErfolg 2022). Das ist nicht kompliziert, aber es erfordert Disziplin. Wöchentliche Updates, regelmäßige Backups, aktivierte Security-Plugins.

Die gute Nachricht: Die meisten Konkurrenten in der Region tun noch nichts. Wer jetzt ein professionelles Update-System aufbaut, hat einen echten Sicherheitsvorsprung. Die schlechte Nachricht: "Schnell mal selbst machen" führt oft nach hinten. Ein fehlerhaftes Update kann die Website lahmlegen. Ein ungetestetes PHP-Upgrade kann Fatal Errors verursachen. Ein vergessenes Backup macht Disaster Recovery unmöglich.

Fazit: Handeln, nicht abwarten

WordPress im März 2026 ist eine Momentaufnahme der Herausforderungen des meistgenutzten CMS weltweit. Der Sicherheitsnotfall zeigt: Updates sind nicht optional. WordPress 7.0 zeigt: Technische Voraussetzungen ändern sich. Wer WordPress professionell nutzen will, braucht eine Update-Strategie, ein Backup-System und technisches Monitoring.

Du hast jetzt einen Überblick über beide Herausforderungen: akute Sicherheitslücken und bevorstehende Major-Release. Die entscheidende Frage ist: Wo steht deine Website?

Kostenloser WordPress-Check für Betriebe in der Region

Du willst wissen, ob deine WordPress-Website sicher und für WordPress 7.0 vorbereitet ist? Ich kombiniere Security-Check und Readiness-Check in einem 20-Minuten Gespräch:

  1. Aktueller Sicherheitsstatus: Version, Plugins, bekannte Schwachstellen
  2. WordPress 7.0 Vorbereitung: PHP-Version, Plugin-Kompatibilität, Upgrade-Strategie
  3. Backup-Strategie: Ist ein wiederherstellbares Backup vorhanden?
  4. Handlungsplan: Priorisierte To-Do-Liste bis 9. April

Kostenlos und unverbindlich. 20 Minuten, die Klarheit schaffen.

Für Betriebe in Oldenburg, Ganderkesee, Wardenburg, Hude, Großenkneten und Umgebung.

→ Kontaktformular auf level-nord.de

Autor: Dennis Schwenker-Sanders, Webentwickler aus Sandkrug bei Oldenburg. Spezialisiert auf WordPress-Sicherheit, CMS-Migration und wartungsarme Website-Lösungen für lokale Betriebe. Seit 2015 im Bereich technisches SEO und Website-Optimierung aktiv.

Quellen

  1. WordPress.org (2026): WordPress 6.9.2, 6.9.3, 6.9.4 Release Notes, WordPress 7.0 Beta 5
  2. Search Engine Journal (2026): WordPress Security Release 6.9.4
  3. Patchstack (2026): State of WordPress Security Report 2026
  4. Hostinger (2026): WordPress Statistik 2026
  5. W3Techs (2026): CMS Market Share
  6. WPEdition, 365i, DeveloPress, WPExperts (2026): WordPress 7.0 Feature Reports
  7. Karsch Consult (2025): WordPress-Sicherheitsstatistiken
  8. Kinsta (2023): Ist WordPress sicher?
  9. WPErfolg (2022): WordPress-Statistiken und Fakten


#Sicherheitslücken #WordPress #Updates #cms

Artikel teilen: