Warum wir 2026 kein WordPress mehr bauen — ehrliche Bilanz nach 5 Jahren

Wenn Sie in den letzten Jahren nach einer Firmen-Website gefragt haben, war die Antwort fast automatisch: „Wir machen das mit WordPress." Fast 45 % des gesamten Webs läuft heute auf WordPress. Ich habe selbst über 5 Jahre WordPress-Sites gebaut, gepflegt, gerettet — und für neue Projekte 2026 endgültig damit aufgehört. Warum? Hier meine ehrliche Bilanz aus echten Kunden-Situationen.

Der Traum: „einmal aufsetzen und läuft"

WordPress verspricht Einfachheit. Themes klicken, Plugins installieren, Inhalte einfügen, fertig. Und für die ersten drei Monate stimmt das oft. Danach beginnen die Probleme.

Die Realität in Zahlen: was WordPress-Betrieb wirklich kostet

Wenn ich zurückblicke auf 40+ WordPress-Projekte in den letzten 5 Jahren, war das durchschnittliche Muster erschreckend konsistent:

  • 1× pro Monat: Kernaktualisierung (WordPress selbst) + 5–15 Plugin-Updates prüfen
  • 2–4× pro Jahr: Ein Plugin bricht nach Update, Site zeigt weißen Bildschirm, ich muss debuggen
  • 1× pro Jahr: Ein Sicherheitsvorfall (Brute-Force auf Login, Comment-Spam-Welle, Plugin-Schwachstelle)
  • Alle 2–3 Jahre: Kompletter Theme-Refresh weil das Theme nicht mehr gepflegt wird

In Euro: laufende Wartung eines mittleren WordPress-Setups (5 Plugins, 1 Standard-Theme) kostet bei uns realistisch 50–120 € pro Monat — 600–1.500 € im Jahr, nur damit die Site nicht kaputtgeht. Das ist bei einem Kunde, der die Website für Kontakt-Formulare und ein paar Referenz-Fotos nutzt, komplett unverhältnismäßig.

3 echte Vorfälle aus meiner Praxis

Fall 1: Anwaltskanzlei, WordPress-Update am Samstag

Ein Steuerberater in Hannover-Mitte, WordPress-Site seit 2019 online. Wartungsvertrag mit einem anderen IT-Dienstleister. Im März 2024 machte der automatisch ein Kern-Update samstagnacht. Am Montag früh: Site nicht mehr erreichbar, weißer Bildschirm. Grund: das Update war inkompatibel mit einer PHP-Version die der alte Hoster benutzte. Vier Tage lang war die Kanzlei online unauffindbar. Mandanten fanden die Adresse nicht. Ein neuer Mandant, der über Empfehlung kam, konnte keinen Termin buchen. Später zeigten Analytics: geschätzte Anfragen-Ausfälle im vierstelligen Bereich.

Fall 2: Handwerksbetrieb, gehacktes Plugin

Ein Sanitär-Familienbetrieb in Sehnde. WordPress mit einem beliebten Kontaktformular-Plugin. Im Sommer 2023 wurde in genau dieser Plugin-Version eine Sicherheitslücke bekannt. Der Update kam einen Tag zu spät — das Formular wurde von Bots kompromittiert und begann massenhaft Spam-E-Mails an Kunden zu senden, mit der Absender-Adresse des Betriebs. Ergebnis: 6 Wochen Reputations-Schaden, die Mail-Adresse landete auf Blacklists, echte Kunden-Mails kamen nicht mehr an. Aufräumen kostete 15 Stunden Arbeit plus einen Wechsel des Mail-Servers.

Fall 3: Physiotherapie, DSGVO-Falle durch Theme

Eine Praxis in Isernhagen mit einem gekauften „Premium-Theme" von 2020. Das Theme lud automatisch Google Fonts vom Google-Server — DSGVO-technisch problematisch nach dem LG-München-Urteil 2022. Die Praxis-Inhaberin bekam Post von einer Abmahn-Kanzlei mit Streitwert 2.500 €. Wir haben's gütlich beigelegt (600 €), aber der Aufwand für die Theme-Anpassung war beträchtlich — das Theme lud die Fonts über 4 verschiedene Wege gleichzeitig.

Die Grundprobleme, die WordPress nicht wegdesignen kann

1. Angriffsfläche

Ein WordPress-Setup mit 5 Plugins hat typischerweise 500.000 bis 2 Millionen Zeilen PHP-Code. Jede einzelne Zeile ist eine potenzielle Sicherheitslücke. Zum Vergleich: eine statisch gerenderte Site hat keinen PHP-Code — der Angreifer kann nichts einschleusen weil nichts serverseitig ausgeführt wird.

2. Update-Karussell

Jede WordPress-Installation muss dauerhaft gepflegt werden. Wer das ein halbes Jahr vergisst, hat ein Sicherheitsproblem. Wer's automatisieren lässt, hat ein Kompatibilitätsproblem. Das ist ein struktureller Widerspruch, den WordPress bewusst so gebaut hat — und der sich seit 15 Jahren nicht ändert.

3. Performance

Eine WordPress-Site macht bei jedem Seitenaufruf: Datenbank-Query, Theme-Rendering, Plugin-Hooks abarbeiten, Caching prüfen, HTML zusammenbauen. Selbst mit aggressivem Caching liegt eine typische WordPress-Site bei 800–2.000 ms Ladezeit. Diese Website hier (statisch, Cloudflare-CDN): unter 200 ms.

4. Vendor-Lock-in

Sobald Sie 20 Plugins konfiguriert und ein Custom-Theme mit tausend Optionen eingestellt haben, sind Sie an genau diese Kombination gebunden. Der Wechsel zu einer anderen Basis ist praktisch unmöglich ohne Neu-Aufbau. Modern gebaute Sites: Sie besitzen den Quellcode, jeder Web-Entwickler kann sie übernehmen.

Was wir stattdessen einsetzen

Für einfache Firmen-Websites: statisch gerendert (Astro / 11ty / Hugo)

Der Content wird zur Build-Zeit in fertiges HTML umgewandelt. Der Webserver liefert nur diese HTML-Dateien aus. Keine Datenbank, kein PHP, keine Plugin-Updates. Der Webserver kann praktisch nicht gehackt werden, weil es keine Angriffsfläche gibt. Update-Zyklen: alle 6–12 Monate mal die Build-Tools aktualisieren, das war's.

Für wen geeignet: One-Pager, kleine Firmen-Websites, Portfolio-Seiten, Landing-Pages. Etwa 70 % aller Kunden-Anfragen fallen in diese Kategorie.

Für Multi-Page-Sites mit Redaktion: Next.js / SvelteKit mit Headless CMS

Wenn Kunden Inhalte selbst pflegen möchten, kombinieren wir moderne Web-Frameworks (Next.js, SvelteKit) mit einem separaten Headless-CMS (Sanity, Strapi, Contentful, Directus). Der Content lebt getrennt vom Frontend. Wenn das Frontend neu gebaut werden muss: der Content bleibt unberührt. Wenn das CMS gewechselt wird: das Frontend bleibt unberührt.

Für wen geeignet: Blog-lastige Sites, News-Portale, Projekte wo mehrere Redakteure schreiben.

Für individuelle Anwendungen: Custom mit Datenbank

Wenn eine Site nicht nur Content zeigt sondern echte Funktionalität braucht (Login, Formulare mit Datenbank, individuelle Auswertungen, Kunden-Portal, Buchungssysteme), bauen wir das komplett individuell — auch dann NICHT auf WordPress. Warum ein Framework das für „Blog-Content" gebaut wurde, für komplexe Anwendungen missbrauchen, wenn es dafür bessere Werkzeuge gibt?

Wann WordPress trotzdem die richtige Wahl ist

Es gibt drei Szenarien, in denen ich Kunden aktiv zu WordPress rate — auch heute noch:

  1. Sie haben bereits eine große WordPress-Bibliothek (hunderte Artikel, komplexes Kategorien-System, gewachsene Kunden-Konten). Migration wäre unverhältnismäßig teuer — dann eher die bestehende Site sicher weiter betreiben.
  2. WooCommerce als Basis für einen kleineren Online-Shop (bis ca. 500 Artikel). Die Kombination ist ausgereift, es gibt viele Dienstleister die WooCommerce erweitern können.
  3. Ein einzelner Blog-Autor der sich massiv in WordPress eingearbeitet hat und daran nichts ändern möchte. Ein Werkzeug das jemand beherrscht ist mehr wert als ein besseres das er nicht mag.

Was das für Sie als Kunde bedeutet

Wenn Sie überlegen eine neue Website bauen zu lassen: fragen Sie den Anbieter warum er WordPress vorschlägt. Wenn die Antwort ist „das ist Standard", „damit machen wir das immer" oder „was anderes lohnt sich nicht" — das sind keine guten Argumente. Es sind Bequemlichkeitsargumente aus Sicht des Anbieters, nicht Ihre.

Wenn eine WordPress-Antwort passt, sollte sie so klingen: „Ihre Anforderungen sind X, Y und Z. WordPress bringt aus der Box mit A, B und C, was viel Entwicklungszeit spart. Der laufende Wartungsaufwand ist ungefähr 50 € pro Monat, den kalkulieren wir ein. Für Ihren Fall ist das die pragmatischste Wahl." Wenn Sie so eine Antwort bekommen, wissen Sie: der Anbieter hat wirklich nachgedacht.

Unser Angebot

Wir bauen ausschließlich moderne, statische oder Headless-basierte Websites. Wenn Sie mit Ihrer bestehenden WordPress-Site unzufrieden sind — ständige Bastelei, schlechte Performance, unklare Kosten — machen wir gerne eine Bestandsaufnahme und einen realistischen Migrations-Vorschlag. Details zu unseren Paketen und Preisen auf der Website-Entwicklung-Seite.

Diese Website hier ist der beste Beleg dafür: über 100 Tools, 24 Landing-Pages, mehrere externe Web-Apps — alles ohne WordPress, alles unter 200 ms Ladezeit, alles ohne monatliche Wartungshölle.

Fragen dazu? 0171 2119261 oder [email protected]. Erstgespräch kostenlos, keine Verkaufs-Rhetorik.

Verwandte Artikel: Heimnetzwerk absichern · Cybersicherheit-Grundlagen · KI-Phishing 2026