Jeder, der eine Website betreibt, kennt dieses mulmige Gefühl: Man aktualisiert ein Plugin, ändert eine Zeile Code, und plötzlich – eine weiße Seite. Oder schlimmer: Man bemerkt, dass Daten versehentlich gelöscht wurden. Bisher war der nächste Schritt eine E-Mail an den Support mit der Bitte, ein Backup einzuspielen. Das kostet Zeit und Nerven.
Diese Zeiten sind jetzt vorbei.
Wir freuen uns, Ihnen eine leistungsstarke neue Funktion im goneo Kundencenter vorstellen zu dürfen: die selbstgesteuerte Backup-Wiederherstellung. Ab sofort haben Sie die volle Kontrolle und können Ihren Webspace oder Ihre MySQL-Datenbanken mit wenigen Klicks selbst auf einen früheren Stand zurücksetzen. 24 Stunden am Tag, 7 Tage die Woche, ganz ohne Wartezeit.
Was genau ist neu?
Im goneo Kundencenter finden Sie ab sofort den neuen Menüpunkt „Webserver > Backups„. Dieses Tool ist Ihre direkte Verbindung zu unserem Backup-System.
Hier können Sie zwei Kernbereiche Ihrer Website unabhängig voneinander wiederherstellen:
Webspace: Alle Ihre Dateien und Ordner (PHP, HTML, Bilder etc.).
MySQL-Datenbanken: Die „Gedächtnisse“ Ihrer Website, in denen Inhalte (z.B. von WordPress oder Joomla), Benutzereinstellungen und Shop-Daten gespeichert sind.
Die Backups liegen auf unseren Systemen bereits vor. Wir erstellen diese regelmäßig sowieso. Wir nutzen diese im Bedarfsfall als Desaster Recovery.
So einfach funktioniert die Wiederherstellung: Eine Schritt-für-Schritt-Anleitung
Die Nutzung des Features ist bewusst einfach und transparent gehalten.
1. Webspace Backup selbst wiederherstellen
Sollte Ihr Webspace (z.B. nach einer fehlerhaften Datei-Aktualisierung) Probleme machen, gehen Sie wie folgt vor:
Wählen Sie im Menü „Webserver > Backups“ die Option „Webspace wiederherstellen„.
Sie sehen nun eine Liste aller verfügbaren Backup-Zeitpunkte der letzten Tage.
Wählen Sie den gewünschten Zeitpunkt aus, zu dem Ihre Website noch einwandfrei funktioniert hat.
Bestätigen Sie die Wiederherstellung.
Innerhalb weniger Minuten wird der Zustand Ihres Webspaces auf genau diesen Zeitpunkt zurückgesetzt.
2. MySQL-Datenbank Backup selbst wiederherstellen
Wenn Daten in Ihrer Datenbank verloren gegangen sind (z.B. ein gelöschter Blogbeitrag oder ein Problem nach einem Plugin-Update), ist dies der richtige Weg:
Wählen Sie im Menü „Backup & Wiederherstellung“ die Option „MySQL-Datenbank wiederherstellen„.
Zuerst sehen Sie eine Liste all Ihrer Datenbanken. Wählen Sie die Datenbank aus, die Sie wiederherstellen möchten.
Anschließend wird eine Liste der verfügbaren Backup-Zeitpunkte für diese spezielle Datenbank geladen.
Wählen Sie den gewünschten Zeitpunkt und bestätigen Sie die Wiederherstellung.
Auch hier wird der frühere Datenstand schnell und automatisch eingespielt.
WICHTIGER HINWEIS: Die Wiederherstellung aus dem Backup ist ein mächtiges Werkzeug. Wenn Sie einen früheren Zustand einspielen, werden alle Daten, die nach diesem Zeitpunkt erstellt wurden, unwiderruflich überschrieben. Gehen Sie daher mit Bedacht vor und stellen Sie sicher, dass Sie den richtigen Zeitpunkt wählen.
Mehr als nur ein Feature: Eine smarte Backup-Strategie
Dieses neue Tool ist ein mächtiger Verbündeter für die Sicherheit Ihrer Website. Es ist ideal für die schnelle Behebung von alltäglichen Problemen – ein fehlerhaftes Update, ein gelöschter Ordner.
Ein professionelles Backup-Konzept verlässt sich jedoch nie auf eine einzige Lösung. Unser neues Feature ist ein wichtiger Teil Ihrer Strategie, aber es sollte nicht der einzige sein.
Die goldene 3-2-1-Regel: Warum eigene Backups unerlässlich sind
In der IT-Sicherheit gibt es eine bewährte Faustregel für Backups, die sogenannte 3-2-1-Regel:
3 Kopien Ihrer Daten (die Live-Version + 2 Backups)
2 verschiedene Medien (z.B. Ihr Webspace und eine externe Festplatte)
1 Kopie extern (Off-Site, also an einem anderen physischen Ort)
Die Backups, die goneo für Sie anlegt und die Sie nun selbst wiederherstellen können, sind eine hervorragende „On-Site“-Sicherung für die schnelle Wiederherstellung.
Wir empfehlen Ihnen dringend, zusätzlich eigene, vollständige Backups anzulegen und diese an einem sicheren, externen Ort (z.B. auf Ihrem lokalen PC, einer externen Festplatte oder in einem Cloud-Speicher) aufzubewahren. So sind Sie selbst für den unwahrscheinlichen Fall eines größeren Problems gewappnet und erfüllen die 3-2-1-Regel.
Denken Sie daran: Das goneo-Backup ist Ihr Airbag für den schnellen Schutz. Ihr eigenes, externes Backup ist Ihr Rettungsfallschirm für den absoluten Notfall.
Mehr Kontrolle, mehr Sicherheit
Mit der neuen selbstgesteuerten Backup-Wiederherstellung geben wir Ihnen ein entscheidendes Werkzeug an die Hand, um die Kontrolle über Ihre Website zu behalten und auf Probleme sofort reagieren zu können.
Schauen Sie sich die neue Funktion am besten direkt in Ihrem goneo Kundencenter an. Wir sind überzeugt, dass dieses Feature Ihnen ein großes Plus an Sicherheit und Sorgenfreiheit bieten wird.
Noch eins ist zu bedenken: Wenn Sie wegen eines Problems mit Schadcode (Virenbefall) ein Backup nutzen, kann es sein, dass schon im Backup dieser Schadcode enthalten war.
Hier unsere ausführliche Beschreibung des Restore-Features auf Seite 2:
Der technologische Shift ist unübersehbar: WordPress 6.9, das planmäßig am 2. Dezember 2025 landet, legt das Fundament dafür, WP vom reinen CMS zu einem echten Content-Hub und einer High-Performance-Plattform für immersive Web-Erlebnisse zu transformieren.
Dieses Update ist der finale Quarterly Release 2025 und liefert eine Reihe von kritischen Upgrades, die besonders relevant sind für professionelle oder semiprofessionelle User, Agenturen und für alle, die maximale Effizienz und Speed brauchen.
Der Fokus dieses Releases ist klar definiert und sichtbar:
Kollaboration: Teamwork auf Block-Level, optimiert für den Redaktions-Workflow.
Immersive Experiences: Neue Blöcke und Core APIs für dynamische, interaktive Inhalte.
Performance: Spürbare Geschwindigkeitsvorteile durch Under-the-Hood-Optimierungen – passt gut zur goneo Server-Architektur.
Future-Proofing: Der fundamentale Grundstein für seriöse AI-Integration in den Core.
Wir gehen die wichtigsten confirmed Features durch, die dein WordPress-Projekt auf goneo pushen und die Tür zu echt dynamischen Web-Erlebnissen öffnen.
ℹ️ Die Betaversionen 1 und 2 für WP 6.9 sind draußen (Stand Anfang November 2025). Never ever diese Version auf einem Live-System installieren. Nutze das Plugin WordPress Beta Tester oder eine dedizierte Staging-Umgebung zum Testen.
🤝 Workflow-Optimierung: Neue Tools für effizientes Content-Management
1. Block-Level-Feedback über „Notizen“
Das gemeinsame Arbeiten wird massiv gestrafft, vergleichbar mit dem Comment-Feature in Tools wie man das z.B. von Google Docs kennt. Die neue Funktion „Notizen“ (Block-Kommentare) erlaubt es, Feedback und Action Items direkt an einzelne Blöcke zu knüpfen.
Dein Gain: Der Redaktions-Workflow wird echt straffer und effizienter, weil Diskussionen direkt am Content stattfinden. Die Notizen sind nur intern sichtbar – kein Frontend-Exposure.
Temporäre oder experimentelle Inhalte können nun direct im Editor verwaltet werden, ohne den Stress, sie im Entwurf zu parken oder zu löschen.
Funktionalität: Schalte einzelne Blöcke on/off, sodass sie im Frontend unsichtbar sind, aber im Backend editierbar bleiben.
Use Case: Ideal zur Vorbereitung saisonaler Content-Drops, interner Vermerke oder – für Profis – für simple A/B-Tests von CTA-Varianten oder Layouts.
Block-Sichtbarkeit
Auf diesem Screenshot siehst du den Block-Inspektor (die rechte Sidebar), wo das neue Visibility Control platziert ist. Es ist ein simpler on/off-Switch, der es echt einfach macht, diesen spezifischen Block auf der Live Site unsichtbar zu schalten. Der Clou: Der Block bleibt im Backend editierbar – das ist clean Staging ohne externe Plugins. So kannst du saisonale Inhalte vorbereiten oder A/B-Testing-Elemente parken, ohne sie löschen oder in separate Entwürfe verschieben zu müssen. Wirklich ein nettes Productivity Feature.
3. Universelle Befehlspalette (Dashboard-Turbo)
Die aus dem Site Editor bekannte, zeitsparende Command Palette (Strg/Cmd + K) skaliert auf die gesamte WordPress-Administration.
Dein Gain:Rapid Navigation, Suchen und das Ausführen von Key Actions sind nun von jedem Admin-Screen aus möglich – ein krasser Productivity Boost.
🎨 Full Site Editing (FSE) und Template-Control
Die Improvements im FSE adressieren primär die Pain Points von Agenturen und Advanced Usern:
Template-Beständigkeit:Custom Templates bleiben jetzt beim Theme-Switch erhalten. Das fixt einen großen Legacy-Ärger und erhöht die Flexibilität.
Management: Du kannst Templates nun als Draft speichern, editieren und speichern, ohne sie direkt zu deployen. Außerdem lassen sich Templates deaktivieren, duplizieren und flexibleren Seitentypen zuweisen. Echt pragmatisch.
Fokus-Modi: Im Editor wechselst du zwischen einem Writing Mode (fokussiert auf Inhalt, reduzierte Ablenkung) und einem Design Mode (voller Zugriff auf Layout und Styles). Mehr Klarheit bei der Texterstellung, weniger Noise.
Die Verbesserungen im FSE adressieren primär die Pain Points von Agenturen und Advanced Usern: Gerade das Handling von Block-Patterns wird immer wichtiger, um konsistente Designs über die gesamte Site zu gewährleisten. Hier siehst du, wie das Management im Site Editor aussieht:
Wir kennen bisher nur die englischen Begriffe aus dem Payground von WordPress. Mit den deutschen Bezeichnungen muss man sich neu orientieren. Man kann schnell Dinge durcheinanderbringen.
✨ Neue Blöcke und Advanced Design Options
WP 6.9 erweitert die Block-Library um nützliche Core Blocks und verbessert dieEditing-Experience:
Funktion
Detail
Dein Gain
Akkordeon-Block
Ein nativer, WCAG-konformer Block für auf- und zuklappbare Inhalte. Neue Styling-Hooks für Developer.
Ideal für FAQs und klare Darstellung. Volle Design-Control.
Taxonomie-Abfrage-Block
Ermöglicht das flexible Rendern von Taxonomie-Termen (z.B. Kategorien) in Listen.
Vereinfacht das Erstellen dynamischer Content Directories oder Übersichten.
Time to read / Word Count
Zeigt automatisch die geschätzte Read Time oder die Wortanzahl an.
Steigert das User Engagement und die Transparenz.
Dehnbarer Text (Stretchy Type)
Füllt den Text automatisch auf die gesamte verfügbare Breite des Containers auf.
Perfekt für Impactful, Dynamic Headlines in Hero-Sektionen.
Usability-Detail
Verbessertes Drag-and-Drop, bei dem der tatsächliche Block verschoben wird.
Flüssigeres, visuell klares und zugänglicheres Arbeiten im Editor.
Design-Steuerung
Verbesserte Unterstützung für Border Radius in der theme.json und die Möglichkeit, Custom Social Icons zu registrieren.
Mehr Kontrolle über das globale Styling von Block Themes.
⚡ The Interactivity API: Der Game Changer
iAPI: Warum der Vergleich mit klassischen CMS?
Die Interactivity API (iAPI) ist die wichtigste Innovation für eine moderne User Experience. Sie ist das Core Framework, um dynamische, reaktive Frontends ohne Full Page Reload zu bauen.
Mechanik
Fokus
Ziel
Resultat
WordPress iAPI
User Experience
Steuerung der Interaktivität (Live-Filter, Warenkörbe, dynamische Elemente) ohne Neuladen.
Instant-Update einzelner Elemente (Single-Page-Application-Feeling).
Klassische CMS-Mechaniken (z.B. Joomla)
Inhaltsverwaltung
Speichern von Daten und Generieren der Seite.
Speichern von Daten und oft Full Page Reload.
In WP 6.9 wird die iAPI durch Client-Side Navigation (Routing-Improvements) massiv erweitert. Das ist wirkmächtig, denn es ermöglicht, dass Seitenübergänge und Interaktionen (wie das Absenden eines Kommentars oder Filtern einer Post-List) ohne den klassischen, sichtbaren Ladevorgang ablaufen. Das ist der Kern der „immersiven Web-Erlebnisse“ und eine klare strategische Abgrenzung zu älteren Architekturen. Echt gut gelöst!
⚙️ Performance-Tuning und Developer-Grundlagen
Besonders goneo-Kunden, die auf Speed stehen, profitieren von diesen Optimizations:
Effizientere Cron-Jobs: Geplante Aufgaben (Cron-Jobs) laufen jetzt beim Shutdown des Requests, anstatt während des Seitenaufrufs. Das reduziert den Impact auf die Server-Antwortzeit (TTFB).
Laden nach Bedarf (On-Demand Loading): Block-Styles in klassischen Themes werden nun lazy-loaded, was unnötiges CSS vermeidet und die Page Load Times verkürzt.
Bfcache Navigation: Ermöglicht eine Instant Back/Forward-Navigation im Browser (Back/Forward Cache). Das pusht die wahrgenommene Geschwindigkeit für Besucher drastisch.
AI-Grundlagen: Safety First
WordPress 6.9 legt den sicheren und zukunftsweisenden Grundstein für AI-gestützte Workflows im Core:
Abilities API: Schafft eine gemeinsame, maschinenlesbare Sprache, über die AI-Systeme die Funktionen von Plugins und Themes sicher und kontrolliert erkennen und nutzen können. Das ist Governance pur.
Fazit: Must-Update
WordPress 6.9 ist ein Pflicht-Update – no discussion. Bei WordPress stellte sich die Frage eigentlich nie, auch wenn man alte Hauptversionen getrost noch eine Weile laufen lassen konnte.
Es positioniert WordPress klar als modernen Content-Hub und fokussiert sich auf die User Experience. Dies kommt den Veränderungen, die wir im Web sehen entgegen. WordPress stellt sich darauf ein.
Die Verbesserungen bei der Kollaboration, die Server-Side Performance und der Ausbau der Interactivity API machen WordPress fit für die nächste Generation dynamischer und fesselnder Online-Präsenzen. Eine wirklich hervorragende Nachricht für alle, die auf die Stabilität und den Speed-Boost von goneo Hosting setzen.
Frage: Welche Use Cases siehst du für die iAPI in deinem Projekt? Wir sind sehr gespannt, hier konkrete Umsetzungen zu sehen.
Eine letzte Frage war: Bringt WP mit 6.9 ein neues Theme (das hat ja schon Tradition bei einem Major Release)?
Klare Ansage: Nein, WordPress 6.9 bringt kein neues Standard-Theme.
Das ist eine offenbar eine bewusste Priorisierung des Core-Teams, und ehrlich gesagt auch pragmatisch. Man sieht auch hier: Die Dinge ändern sich.
🧐 Der technische und strategische Hintergrund (mein Blick auf die Dinge)
Fokus auf den Core-Shift: Der primäre Fokus dieses Major Release liegt auf der Weiterentwicklung der Architektur – sprich, der Interactivity API, den Kollaborations-Tools und den Performance-Optimierungen (Cron-Jobs, Output Buffering).
Maturity der Block-Themes: Die Block-Themes sind inzwischen sehr reif. Das letzte Standard-Theme, „Twenty Twenty-Five“, ist da, wo es sein muss. Ein neues Default Theme würde primär Styling-Updates mitbringen, was im Kontext der revolutionäreniAPI-Erweiterungen gerade zweitranging ist.
Entwicklungs-Pace: Offenbar war der Release-Zyklus für dieses Update (6.9 ist das zweite Major Release 2025) so getaktet, dass die Ressourcen voll in die strategisch wichtigen Features (wie die AI Building Blocks und die Abilities API) geflossen sind. Kein neues Theme bedeutet hier: Full-Power-Commitment auf Funktionalität und Speed.
Das Team hat entschieden, die Developer- und Redaktions-Experience massiv zu pushen, statt ein Design-Update zu liefern. Das ist vernünftig. Die Kontrolle über das Layout und die Templates wird in 6.9 ohnehin so stark verbessert, dass du die Funktionen in jedem Block-Theme voll nutzen kannst.
Erinnere dich an das Jahr 2005. Die Digitalisierung nahm gerade richtig Fahrt auf, und inmitten dieses Aufbruchs wurde ein Content Management System geboren, das dir vielleicht noch heute gut bekannt ist: Joomla!. Eine stabile Größe im Open-Source-Universum, die jetzt, fast zwei Jahrzehnte später, eine tiefgreifende strategische Neuausrichtung vornimmt.
Joomla steht am Scheideweg. Viele von uns, die das System vielleicht noch aus der frühen 3.x-Ära kennen, fragen sich: Wie kann eine 20 Jahre alte Plattform in einer Welt voller KI-Tools, Headless-Architekturen und „No-Code“-Anbieter relevant bleiben?
Die Antwort, die das Kernteam um Produktionsleiterin Sigrid Gramlinger gibt, ist radikal, mutig und vor allem: professionell. Es ist ein Plan, der nicht nur die Codebasis, sondern auch das Selbstverständnis von Joomla neu definiert. Hier ist ihr Video dazu: https://www.youtube.com/watch?v=wnw1mI6d2AE.
Abschied von der Vergangenheit: Stabilität ist das neue „Wow“
Wenn du Joomla von früher kennst, erinnerst du dich vielleicht an lange Wartezeiten zwischen großen Versionssprüngen, die Upgrades zu einem nervenaufreibenden Projekt machten. Das ist vorbei.
Das erste Fundament der neuen Strategie ist Planbarkeit. Joomla hat auf ein straffes, zeitbezogenes Release-Modell umgestellt: Alle zwei Jahre gibt es ein Major Release (z.B. 6.0, 7.0, 8.0), alle sechs Monate ein Minor Release und alle sechs Wochen ein Wartungs-Update. Diese strenge Taktung soll Verlässlichkeit für das gesamte Ökosystem schaffen. Du weißt jetzt genau, wann du mit neuen Funktionen rechnen kannst und wann du deine Projekte planen musst.
Tatsächlich definieren die Entwickler die „Wow-Faktoren“ neu: Sie liegen definierterweise nicht in glitzernden Gimmicks, sondern in einer stabilen Architektur, besserer Barrierefreiheit und vor allem in reibungslosen Migrationspfaden.
Die mutige Wende: Tschüss Hobbyisten, hallo Profis!
Der vielleicht bemerkenswerteste Schritt in Joomlas Zukunftsplan ist eine strategische Trennung: Du wendest dich bewusst von den Hobby-Nutzern („do-it-yourself“ users) ab.
Das soll keine böse Absicht sein, sondern ist vielleicht einer nüchterne Marktanalyse entsprungen. Diese Nutzergruppe wechselt ohnehin zu einfacheren „Website-Baukästen“ wie easyPage. Gleichzeitig verursachen sie hohe Support-Kosten und aktualisieren ihre Websites oft nicht, was dem Ruf des Systems schadet.
Joomla konzentriert sich stattdessen kompromisslos auf die professionellen Anwender:
Agenturen und Webentwickler: Die Multiplikatoren, die Hunderte von Websites betreuen.
Den öffentlichen Sektor und Non-Profits: Organisationen, die Open Source, Barrierefreiheit und Compliance nach europäischen Standards benötigen.
Enterprise-Kunden: Für Intranets und hochstrukturierte Content-Lösungen.
Du wirst in Zukunft sehen, wie Joomla explizit für komplexe, geschäftskritische Anwendungen entwickelt wird, bei denen Sicherheit und Stabilität mehr zählen als der einfachste Einstieg.
Das Risiko für die Entwickler-Community
Diese strategische Entscheidung birgt jedoch eine reale Gefahr für die Open-Source-Community und den Nachwuchs:
Traditionell finden viele Nutzer und spätere Entwickler über „Trial and Error“ den Einstieg in ein CMS. Das hat man doch bei WordPress gesehen. Man beginnt mit einem kleinen Hobby-Projekt, experimentiert, stößt an persönliche Grenzen und professionalisiert sich dann. Diese Gruppe von initialen „Hobbyisten“ ist oft der Pool, aus dem später die professionellen Anwender, die Unternehmen gründen oder in Agenturen eintreten, hervorgehen.
Wenn du diese Einstiegsgruppe nun strategisch ausschließt, entsteht ein Problem: Wer soll in Zukunft Leidenschaft und Wissen für Joomla in die Unternehmen tragen und das System dort empfehlen? Wo findet man Developer, die das System kennen (vermutlich kennen TYPO3 und Drupal diesen Effekt). Und wer soll die Reihen der ehrenamtlichen Entwickler, Tester und Dokumentierer auffüllen, deren Engagement für das Überleben von Joomla unerlässlich ist, wenn die Altvorderen offboarden?
Joomla muss diesen Spagat meistern: Wie kann man die professionelle Ausrichtung konsequent verfolgen und gleichzeitig die Community-Engagement-Tools und das Onboarding so attraktiv gestalten, dass der Nachwuchs auch ohne den „Hobby-Einstieg“ den Weg zum CMS findet.
Der Joomla 8 Sprint: KI, Compliance und globale Relevanz
Noch eine Frage muss erlaubt sein: Wie genau sieht die technologische Zukunft von Joomla aus? Die Roadmap, die im Rahmen des „Joomla 8 Sprints“ entwickelt wird, zeigt eine klare Ausrichtung auf die globalen Anforderungen der Creator Economy, insbesondere in Europa:
Automatisierung für Sicherheit: Mit Joomla 6 wird die Option für automatische Core-Updates eingeführt. Das ist ein Game Changer. Es erlaubt dir, die kritischen Sicherheitslücken zu schließen, oft bevor Hacker automatisierte Skripte entwickelt haben – ein entscheidender Faktor im Kampf gegen Cyberangriffe.
Compliance Center: In Europa sind regulatorische Aspekte wie die DSGVO und der EU Cyber Resilience Act (CRA) von zentraler Bedeutung. Joomla reagiert darauf mit der Vision eines Compliance Centers. Dieses Dashboard soll dir eine zentrale Übersicht über den Status von Datenschutz, Barrierefreiheit und allgemeiner Website-Gesundheit bieten. Es soll Joomla als vertrauenswürdiges und rechtskonformes CMS positionieren.
Die KI-Verbindung: Um wettbewerbsfähig zu bleiben, sind KI-Tools unerlässlich. Du kannst dich auf die Integration von KI-Funktionen für Content-Erstellung, Übersetzung und Bildgenerierung freuen. Gleichzeitig werden bessere APIs entwickelt. Diese sind essenziell, um Joomla als Headless-System zu nutzen und es nahtlos mit E-Commerce-Plattformen oder Marketing-Tools zu verbinden – die Grundvoraussetzung, um in der globalen Creator Economy mitzuspielen.
Generative Engine Optimization (GEO): Neben der klassischen SEO bereitet sich Joomla auf die Generative Engine Optimization vor. Das System soll sicherstellen, dass deine Inhalte auch in den KI-Suchergebnissen sichtbar sind – ein Weichensteller für die digitale Zukunft.
Joomla auf dem globalen Spielfeld: Video und Content Hub
Joomla ist von Grund auf international: Multilingualität gehört seit Langem zu seinen Kernstärken. Doch die globale Creator Economy – die in „jüngeren“ Märkten wie Indien und dem gesamten Asien-Pazifik-Raum (APAC) am schnellsten wächst – stellt neue Herausforderungen.
Während Europa den Fokus auf strukturierte Inhalte und Compliance legt, dominiert in APAC das Volumen und Video-getriebener Content, oft im Format „Content-to-Commerce“ oder Live-Shopping. Hier zählen Geschwindigkeit, Reichweite und die nahtlose Anbindung an soziale und Video-Plattformen.
Die aktuelle strategische Ausrichtung Joomlas auf Stabilität und europäische Regularien könnte das Risiko bergen, diesen riesigen, schnelllebigen Markt zu verpassen.
Sieht so aus als wären die geplanten technologischen Fortschritte wie das Performance Pack und die API-Erweiterung sind Joomlas einzige Chance, diesen Graben zu überbrücken: Nur wenn das System mühelos große Mediadateien (Videos) verarbeitet und die Inhalte schnell und flexibel über Headless-Funktionen an externe (Video-)Hubs verteilt, kann es sich als relevanter Content Hub in dieser jungen, dynamischen Wirtschaft etablieren. Es geht darum, nicht nur compliance-konforme Texte, sondern auch jugendgerechten, Video-first-Content zu managen.
Die Initiative: Sei Teil des Kerns
Joomla ist ein Freiwilligenprojekt, und sein größtes Kapital ist seine Community. Sigrid Gramlinger machte klar: Wenn die ehrenamtlichen Helfer – die Core-Community – schwinden, stirbt das System. Die Stärkung dieser Helfer, der Extension-Entwickler und der Anwender ist die wahre Initiative, mit der Joomla relevant bleiben will.
Das Joomla-Team hat dich eingeladen: Wenn du Ideen für die Zukunft hast, beteilige dich am Joomla 8 Sprint. Reiche deine Ideen ein und bringe dich ein:
Joomla hat sich neu erfunden. Es ist nicht mehr das „einfache“ CMS von früher, sondern ein professionelles Werkzeug, das sich auf dem Weltmarkt behaupten will. Jetzt liegt es an uns, diese strategische Wende zu unterstützen und zu nutzen. Die Zukunft von Joomla ist anspruchsvoll, aber dank der engagierten Community ist sie vor allem eines: gesichert.
Du betreibst eine WordPress-Site? Dann pass auf. Die Bedrohungsgruppe UNC5142 nutzt einen echt raffinierten Trick, um ihre Malware zu verteilen, der traditionelle Security-Tools alt aussehen lässt. Die Technik heißt EtherHiding, und sie verlagert den kritischen Teil des Schadcodes von einem leicht abschaltbaren Server auf die Blockchain. Deswegen brauchst du einen WordPress EtherHiding Schutz.
Das Ziel von UNC5142 ist rein finanziell motiviert (was von dieser Gruppe bekannt ist, steht weiter unten): Sie wollen Infostealer wie Atomic, Vidar oder Lumma unters Volk bringen. Diese stehlen dann Zugangsdaten, Passwörter und Krypto-Wallets von den Rechnern Deiner Besucher. Laut Google Threat Intelligence Group (GTIG) haben die Typen schon Tausende anfällige WordPress-Sites wahllos kompromittiert, um sie als Startrampe zu missbrauchen.
Was steckt hinter Smart Contracts und der BNB Smart Chain?
Für das Verständnis dieser Attacke ist der Begriff Smart Contract zentral. Das ist im Grunde ein Code-Snippet, das auf einer Blockchain liegt und autonom läuft.
Stell Dir das wie einen digitalen, unveränderlichen „Vertrag“ vor (den man dummerweise nicht kündigen kann): Er enthält Regeln und führt vordefinierte Aktionen aus, wenn bestimmte Bedingungen erfüllt sind – und das ganz ohne Mittelsmann.
Der Clou ist, dass dieser Code nach dem Deployment nicht einfach abgeschaltet oder zensiert werden kann, solange die Blockchain läuft. UNC5142 nutzt genau diese Resilienz, um den Schadcode darauf abzulegen.
Die BNB Smart Chain (BSC) – eine der größten Blockchains neben Ethereum – dient hier als Hosting-Plattform für diesen bösartigen Smart Contract. Sie bietet die notwendige Infrastruktur und API-Zugänge, die der injizierte JavaScript-Loader braucht, um den Payload abzurufen. Damit wird die BSC effektiv zum dezentralen und extrem beständigen C2-Server.
Offenbar läuft das so ab:
Zuerst bringen die Angreifer den Smart Contract (kann man sich wie gesagt als ein Stück ausführbaren Code vorstellen) auf die BNB Smart Chain. Dieser Code und sein anfänglicher Zustand werden dann auf allen Nodes (also den Computern), die die BSC betreiben, gespeichert. Er ist öffentlich und unveränderlich dort abgelegt.
Wenn der injizierte JavaScript-Loader auf deiner gehackten WordPress-Seite vom Browser eines Besuchers ausgeführt wird, macht er folgendes: Er sendet eine API-Anfrage an die BSC (z.B. über einen Public RPC Endpoint oder einen Node-Provider wie Alchemy oder Infura, die Schnittstellen zur Blockchain bereitstellen).
Diese API-Anfrage ist eine read-only Operation, die den auf der Blockchain gespeicherten Code des Smart Contracts (oder spezifische Daten daraus) abruft. Der Smart Contract selbst wird in diesem Moment nicht „ausgeführt“ im Sinne einer Zustandsänderung. Vielmehr wird sein Code einfach nur aus dem Blockchain-Speicher gelesen.
Der abgerufene Code (der verschlüsselte Payload) wird dann vom JavaScript-Loader im Browser entschlüsselt und ausgeführt, um die eigentliche Malware nachzuladen.
Kernpunkt: Der Smart Contract selbst führt die Malware nicht aus. Die Ausführung des bösartigen Codes (der Infostealer) findet auf dem Opfer-Browser/Computer statt, nachdem er von der Blockchain abgerufen wurde. Der Smart Contract dient als passiver, unveränderlicher Speicherort für den Malware-Payload.
Daher ist den Besitzern des Smart Contracts egal, wie oft der Code gelesen wird. Sie mussten die „Gas Fee“ für die Blockchain nur einmal bezahlen. Das ist ein wichtiger Unterschied zwischen read-only Operationen und write-Operationen auf der Blockchain.
Das Lesen von Daten von einer Blockchain erfordert keine Gas Fees. Es ist wie das Abrufen einer Webseite – es entstehen keine direkten Kosten für den Abruf selbst. Der JavaScript-Loader (und damit der Browser des Opfers) interagiert hier kostenlos mit dem Smart Contract.
Wie funktioniert dieser Blockchain-Tarnkappen-Angriff?
Normalerweise würde man bei einer konventionellen Angriffstaktik einen Command-and-Control-Server (C2) blockieren, und der Angriff wäre vorbei. Aber das EtherHiding hebelt das aus.
Der Einbruch: Zuerst finden die Angreifer eine Schwachstelle in deiner WordPress-Installation – oft ein veraltetes Plugin oder Theme. Sie injizieren dann einen winzigen, unauffälligen JavaScript-Code-Loader (genannt CLEARSHORT Stage 1) entweder in Plugin-Dateien, Theme-Files oder direkt in die Datenbank.
Der Abruf (Der Clou): Wenn ein Besucher Deine Seite lädt, führt sein Browser diesen Code aus. Aber anstatt einen herkömmlichen Server zu kontaktieren, fragt der Code über eine Standard-API den bösartigen Smart Contract auf der BSC ab.
Die Ausführung: Die Blockchain liefert dann den eigentlichen, verschleierten Payload. Dieser wird ausgeführt und lädt die finale Malware (den Infostealer) nach. Oft wird das Ganze als Fake-Update-Meldung für den Browser getarnt (ClickFix oder ClearFake).
Weil der Schadcode dezentral auf der Blockchain liegt, kann er quasi nicht abgeschaltet werden. Faszinierend, wie schnell die Threat Actors neue Tech adaptieren. Hier ist einge grafische Dartsellung der Funktionsweise:
Infografik zur EtherHiding Attack Chain von UNC5142: Diese Darstellung zeigt den dreistufigen Angriffsprozess, bei dem Malware über kompromittierte WordPress-Sites verbreitet und der Payload dezentral auf der BNB Smart Chain versteckt wird. Außerdem sind die wichtigsten Schutzmaßnahmen aufgeführt, um Deine Website zu sichern. (Quelle: GTIG / Google Threat Intelligence Group)
🛡️ Dein Protection-Plan: Die Entry-Points dichtmachen!
Die gute Nachricht ist: Der Angriff beginnt immer mit einem erfolgreichen Initial-Access auf Deiner WordPress-Site. Wenn Du diesen ersten Schritt verhinderst, kann die EtherHiding-Technik machen, was sie will – sie bleibt wirkungslos. So gewinnen wir den Ansatz für einen WordPress EtherHiding Schutz.
Hier sind die Must-Haves für Deine Security-Strategie (Quelle: Eigene Analyse der Google-Erkenntnisse und Security-Best-Practices):
1. Patching ist nicht optional – es ist ein Muss
UNC5142 visiert verwundbare Sites an. Delayed Updates sind das größte Risiko.
Core, Themes & Plugins: Halte wirklich alles, alles, alles auf dem neuesten Stand. Jede verzögerte Aktualisierung ist ein offenes Tor für Exploits.
2. Access Control härten
Keine Chance für Brute-Force und gestohlene Credentials.
Starke Passwörter: Einzigartige, komplexe Passwörter für Admin und DB-Zugänge sind Standard.
2FA (Zwei-Faktor-Authentifizierung): Aktiviere 2FA für jeden WordPress-Login. Das ist der effektivste Schutz gegen gestohlene oder erratene Passwörter.
3. Defense-in-Depth mit Security-Tools
Du brauchst einen Layer zur Intrusion Detection. Das dienst auch als WordPress EtherHiding Schutz.
Security-Plugin: Installiere ein robustes Security-Plugin (wie Wordfence oder Sucuri). Wichtig ist, dass diese Tools File-Integrity prüfen und auf verdächtiges, neu eingefügtes JavaScript im Theme-Header/Footer oder der Datenbank aufmerksam machen.
CSP (Content Security Policy): Ein Content Security Policy Header kann verhindern, dass Deine Seite Code von externen, nicht autorisierten Quellen (wie der BNB Smart Chain) nachlädt. Das ist ein Advanced-Defense-Layer, den Du Dir mal genauer anschauen solltest.
4. Monitoring und Auditing
Du musst wissen, was auf Deiner Site passiert.
Regelmäßiges Code-Scanning: Scanne Deine Dateien und Datenbank-Einträge nach unerwartetem, kurzen JavaScript-Code oder verdächtigen Iframes. Insbesondere Injektionen in header.php, footer.php oder Plugin-Dateien sind rote Flaggen.
Fazit: WordPress EtherHiding Schutz
EtherHiding ist so etwas wie ein Game Changer in der Cyber-Security-Welt, weil es zeigt, wie dezentrale Tech zum Problem werden kann. Es macht die Takedown-Strategie von Security-Teams extrem schwierig. Bisher konnte man da ganz gut ansetzen: Man musst „nur“ den Betreiber des Servers über die IP-Adresse finden und im einfachsten Fall eine nette Abuse-Mitteilung senden.
Für dich als WordPress-Betreiber bedeutet das aber im Prinzip: Die Security-Basics sind jetzt wichtiger denn je. Vernachlässige Deinen Wartungs-Workflow nicht. Patching und Access Control sind Dein MVP gegen diese Next-Gen-Threats.
Was denkst Du dazu? Hast du deine WordPress-Installation schon auf eine CSP umgestellt, um solche externen Code-Loads zu blocken, oder setzt du primär auf Scanner?
Wer ist UNC5142?
UNC5142 ist in der Cyber-Security-Community definitiv bekannt, aber vielleicht nicht so im breiten Public-Eye wie andere, spektakulärere Gruppen. Das ist typisch für Gruppen, die primär finanziell motiviert sind und sich auf Massen-Compromise und Malware-Distribution spezialisiert haben, statt auf Nation-State-Attacks.
Hier sind die Key Facts zur Bekanntheit von UNC5142 (Quelle: Google Threat Intelligence Group (GTIG) und Mandiant):
Im Fokus der Threat Intelligence: Die Gruppe ist den großen Security-Forschern und Threat Intelligence Teams wie Google/Mandiant sehr gut bekannt. Sie haben der Gruppe auch diesen internen Tracking-Code UNC5142 (steht für Uncategorized Threat Group) gegeben. Die Tatsache, dass Google dazu einen detaillierten Report veröffentlicht hat, unterstreicht, dass sie als ernstzunehmende Bedrohung eingestuft wird.
Spezialisten für EtherHiding: Sie wurden bekannt durch die aggressive Adaption und den Einsatz der EtherHiding-Technik (die ursprünglich 2023 von Guardio Labs dokumentiert wurde). Das hat ihre Reputation in der Security-Welt als innovative und resiliente Gruppe etabliert, die Web3-Tech für Web2-Angriffe nutzt.
Hohe Opferzahl, aber unspezifisch: Bis Juni 2025 wurden laut Google rund 14.000 kompromittierte WordPress-Seiten identifiziert, die JavaScript mit dem UNC5142-Verhalten aufwiesen. Das ist eine massive Zahl, was die Reichweite der Gruppe beweist. Die Angriffe sind aber oft indiscriminate (wahllos) gegen anfällige WordPress-Sites gerichtet, was sie eher zu einem Volume-Player im Malware-Distribution-Geschäft macht.
Verbindung zu ClearFake: Sie werden auch oft in Verbindung mit der ClearFake-Kampagne gebracht, die für die gefälschten Browser-Update-Pop-ups bekannt ist. Das zeigt, dass sie Teil eines größeren Malware-Ökosystems sind.
Aktueller Status – Ein Rätsel: GTIG hat keine UNC5142-Aktivität mehr seit Juli 2025 festgestellt. Das ist ein krasser Stopp. Das kann entweder bedeuten, dass sie aufgehört haben, oder – wahrscheinlicher – dass sie einen Operational Pivot gemacht und ihre TTPs (Tactics, Techniques, and Procedures) so verändert haben, dass sie aktuell von den Trackern nicht mehr erfasst werden. Sie sind also entweder weg vom Fenster oder gerade dabei, ein noch stealthyeres Attack-Schema zu deployen.
WordPress am Scheideweg: Tech-Revolution und die Frage der Führung der Community
Portland ist gelaufen. Wenn du dachtest, beim WordCamp US 2025 ging es nur um neue Features und Networking, müssen wir dich enttäuschen. Und das ist eine gute Nachricht (wir haben darüber geschrieben).
Wir wollen hier mehr liefern als Zusammenfassungen, sondern eine tiefgehende Analyse der entscheidenden Vorträge versuchen. Wir nennen Namen, arbeiten die zentralen Thesen der Vordenker heraus und zeigen dir, welche strategischen Konsequenzen sich daraus für dich als Agentur, Webdesigner oder anspruchsvoller Webseitenbetreiber ergeben.
WordCamp US 2025 auf X: https://x.com/WordCampUS
Im Web: https://wc-us.org/
Teil 1: Der technologische Tsunami – Drei Paradigmenwechsel und ihre wahren Konsequenzen
Die vorgestellten Technologien sind keine simplen Updates. Es sind grundlegende Verschiebungen, die definieren werden, was WordPress in den nächsten Jahren sein kann.
Paradigma 1: WordPress wird zum agnostischen Daten-Hub
Die zentrale Aussage: Die Zeit, in der WordPress nur Inhalte aus seiner eigenen Datenbank kannte, ist vorbei.
Bisher war die Sache klar: Daten rein in die wp_posts, und vorne wieder raus. Der Vortrag von Seth Rubenstein und Max Schmemelling (Automattic) über „Block Composability“ hat diesen Grundsatz pulverisiert. Ihre Demonstration der „Remote Data Blocks“ ist nichts weniger als eine Neudefinition von WordPress.
Die Technologie im Detail: Stell dir einen nativen WordPress-Block vor, der seine Inhalte nicht aus der Datenbank, sondern über eine serverseitige API-Anfrage live aus einer externen Quelle bezieht. Das können Immobiliendaten aus einem MLS-System, Produkte aus einem PIM, Veranstaltungen aus einem Buchungstool oder – ganz simpel – Öffnungszeiten aus einem Google Sheet sein. Dank intelligentem Caching (Object & Page Cache) geschieht dies performant.
Der entscheidende Unterschied: Das ist kein wackeliges <iframe> oder ein nächtlicher Daten-Import. Es ist eine native, serverseitige Integration. WordPress agiert hier nicht mehr als in sich geschlossenes CMS, sondern als zentraler Hub zur Aggregation und Darstellung von Daten aus beliebigen Quellen.
Die technologische Erwartung: Wir erwarten, dass die Block-Bindings-API weiter ausgebaut wird. WordPress wird sich zu einem erstklassigen Frontend für Headless-Systeme aller Art entwickeln. Du kannst ein hochkomplexes Backend in einem anderen System betreiben und WordPress als flexible, benutzerfreundlich zu bedienende Präsentationsschicht nutzen.
Paradigma 2: Die KI-Souveränität – Das ethische Gegengewicht zum API-Monopol
Die zentrale Aussage: WordPress wird es dir ermöglichen, KI zu besitzen, anstatt sie nur von OpenAI & Co. zu mieten.
In einer Zeit, in der jeder „KI-Integration“ ruft und damit meist nur einen API-Call zu ChatGPT meint, präsentierte Jeffrey Paul (VP of Open Source, Fueled) einen radikal anderen Weg. Sein Workshop zur „Scalable, Ethical AI“ war ein Manifest für digitale Souveränität.
Die Technologie im Detail: Jeffrey Paul demonstrierte, wie man mit Tools wie Ollama quelloffene KI-Sprachmodelle (LLMs wie Llama 3, Mistral etc.) direkt auf dem eigenen Server betreiben kann. In Kombination mit dem ClassifAI-Plugin kann WordPress diese lokale KI für redaktionelle Aufgaben nutzen: automatische Verschlagwortung, Erstellung von Alt-Texten, Zusammenfassungen oder die semantische Analyse von Inhalten.
Die strategische Konsequenz: Dies ist die Antwort von Open Source auf das Quasi-Monopol von Big Tech im KI-Bereich. Für dich und deine Kunden im europäischen Raum ist das ein gewaltiger Vorteil. Du kannst KI-gestützte Workflows anbieten, die zu 100 % DSGVO-konform sind, da keine Daten an Drittserver in den USA gesendet werden.
Die technologische Erwartung: Wir erwarten eine Welle von Plugins und Hosting-Lösungen, die die Installation und Verwaltung lokaler LLMs vereinfachen. WordPress hat das Potenzial, die führende Plattform für den Aufbau privater, unternehmensinterner KI-Lösungen zu werden.
Paradigma 3: Die Entfesselung der Performance – Jenseits von Caching
Die zentrale Aussage: Die nächste Performance-Stufe wird nicht mehr nur auf dem Server, sondern intelligent im Browser des Nutzers gezündet.
Western Router vom Google-Sponsoring-Team zeigte in seinem Vortrag zum Performance Lab Plugin, dass die Tage von rein serverseitigem Caching als Allheilmittel gezählt sind. Die Zukunft liegt in der Nutzung moderner Browser-APIs.
Die Technologie im Detail:
Speculative Loading API: Der Browser lernt, welche Links du wahrscheinlich als Nächstes klicken wirst (z.B. beim Überfahren mit der Maus) und lädt diese Seiten im Hintergrund bereits vor. Der Klick führt dann zu einer nahezu sofortigen Navigation.
View Transitions API: Statt des harten „White-Flash“ beim Laden einer neuen Seite ermöglicht diese API sanfte, App-ähnliche Übergänge und Animationen. Das verbessert die wahrgenommene Geschwindigkeit massiv und lässt eine klassische WordPress-Seite wie eine moderne Single-Page-Application wirken.
Die technologische Erwartung: Diese Funktionen, die aktuell im Performance Lab Plugin getestet werden, werden schrittweise in den WordPress-Core wandern. Das Ziel ist klar: Eine WordPress-Seite „out of the box“ soll sich so schnell und flüssig anfühlen wie eine native App.
Teil 2: Die Zerreißprobe – Die Führungskrise und die Zukunft der Gemeinschaft
So brillant die Technologie ist, sie kann nicht überdecken, dass das menschliche Fundament des Projekts Risse zeigt. Die beim WordCamp US spürbare Kontroverse ist das Ergebnis von lange schwelenden Konflikten.
Die zentrale Aussage: Die größte Bedrohung für WordPress ist derzeit nicht die Konkurrenz, sondern der interne Konflikt über Führung, Wertschätzung und die zukünftige Ausrichtung.
Die Namen und Fakten: Die Kritik wird von respektierten Veteranen der Community wie Mika Epstein und Morten Rand-Hendriksen lautstark geäußert. Ein offener Brief von über 100 Contributors, der beim WordCamp Europe in Basel übergeben wurde, prangerte konkret Burnout bei Freiwilligen, mangelnde Transparenz und eine Top-Down-Entscheidungskultur an. Im Zentrum der Kritik steht oft Matt Mullenweg, dem vorgeworfen wird, die Grenze zwischen dem Open-Source-Projekt und seiner kommerziellen Firma Automattic zu sehr zu vermischen.
Die tiefere Ursache: Es ist der Kampf zweier Kulturen. Auf der einen Seite die dezentrale, kollaborative und oft chaotische Welt eines Open-Source-Projekts. Auf der anderen Seite der Bedarf an einer straffen, produktorientierten Führung, um im Wettbewerb mit kommerziellen Anbietern wie Wix oder Shopify bestehen zu können. Diese beiden Welten prallen derzeit ungebremst aufeinander.
Deine strategische Roadmap für 2026: Konkrete Handlungsanweisungen
Was bedeutet dieser Mix aus technologischem Aufbruch und interner Krise nun für dich?
Für Agenturen & Entwickler:
JavaScript wird zur Pflicht: Die Zukunft von WordPress ist interaktiv. View Transitions, die Interactivity API – wer hier nicht sattelfest in modernem JavaScript ist, wird den Anschluss verlieren.
Denke in APIs, nicht nur in Themes: Dein Wert als Dienstleister wird sich daran messen, wie gut du WordPress mit anderen Systemen verbinden kannst. Die „Remote Data Blocks“ sind dein Einstieg.
Entwickle eine KI-Strategie: Positioniere dich jetzt als Experte für private, DSGVO-konforme KI-Lösungen auf Basis von WordPress. Das ist ein riesiger, wachsender Markt.
Für KMUs & anspruchsvolle Webseitenbetreiber:
Fordere moderne Performance: Frage deine Agentur gezielt nach den Möglichkeiten des Performance Lab Plugins. Gib dich nicht mehr mit Ladezeiten über einer Sekunde zufrieden.
Überdenke deine Content-Workflows: Musst du wirklich alles im Backend pflegen? Prüfe, ob du Daten (Events, Produkte, Standorte) nicht effizienter in Tools wie Airtable oder Google Sheets verwalten und live auf deiner Seite ausspielen kannst.
Hinterfrage deine Tool-Landschaft: Bevor du eine weitere Lizenz für einen komplexen Page-Builder verlängerst, prüfe, wie weit du mittlerweile mit den Bordmitteln von WordPress kommst. Der Core wird mächtiger – nutze das.
Presentation Day 1
Tech-Highlights und Enterprise-Strategien aus Track 2
Während auf der einen Bühne die großen Visionen diskutiert wurden, ging es in Track 2 des WordCamp US 2025 ans technisch Eingemachte. Hier zeigten die Experten von Dow Jones, Google und Automattic die technologische Zukunft von WordPress im Detail und wie große Unternehmen die Plattform bis ans Limit treiben. Wenn du wissen willst, welche konkreten Technologien bald deinen Arbeitsalltag prägen werden, findest du die Antworten hier.
Die Neudefinition des WordPress-Kerns
Drei Vorträge stachen besonders hervor, da sie die Grundfesten von WordPress neu definieren:
WordPress als Daten-Zentrale:Seth Rubenstein und Max Schmemelling von Automattic präsentierten die wohl größte Neuerung: die „Remote Data Blocks“. Stell dir vor, du kannst Daten live aus einem Google Sheet, einer Airtable-Basis oder deinem Shopify-Shop direkt in WordPress anzeigen, ohne sie jemals zu importieren. WordPress wird damit zu einer flexiblen Integrationsplattform, die als Schaltzentrale für alle deine Unternehmensdaten dienen kann.
Der Editor wird portabel:Josh Bryant von Dow Jones zeigte, wie sie den Gutenberg-Editor komplett von WordPress entkoppelt und in eine eigene React-Anwendung für Journalisten eingebaut haben. Das Ergebnis ist ein blitzschneller Editor für Eilmeldungen. Für Entwickler bedeutet das: Gutenberg ist nicht mehr nur ein Teil von WordPress, sondern ein modulares Werkzeug, das du in beliebigen Projekten einsetzen kannst.
Performance wie eine App:Western Router von Google gab einen Ausblick auf die Zukunft der Seitengeschwindigkeit. Vergiss reines Caching. Mit neuen Browser-Technologien wie Speculative Loading (intelligentes Vorladen von Seiten) und View Transitions (sanfte Seitenübergänge) werden sich WordPress-Seiten bald so flüssig und direkt anfühlen wie eine native App auf deinem Smartphone. Viele dieser Funktionen findest du schon heute zum Ausprobieren im Performance Lab Plugin.
Skalierung in der Praxis: Von 150+ Seiten und der perfekten Migration
Doch was nützt die beste Technologie ohne die richtige Strategie? Zwei Vorträge zeigten, wie man WordPress in der Praxis meistert:
Jacob Trust erklärte, wie seine Agentur über 150 Unternehmens-Websites mit einem einzigen System verwaltet. Das Geheimnis war eine „globale Bibliothek“ – eine Master-WordPress-Seite, aus der Design-Komponenten und Vorlagen per Knopfdruck an alle anderen Seiten verteilt werden konnten. Ein beeindruckendes Beispiel für echte Skalierbarkeit und Markenkonsistenz.
Ganz praxisnah zeigte Maryanne Ashen Brener einen klaren Schritt-für-Schritt-Fahrplan, um eine veraltete Website von einem klassischen Theme sicher auf ein modernes Block-Theme umzuziehen. Ihr Vortrag war eine Meisterklasse in Projektplanung und zeigte, dass die Migration mit der richtigen Vorbereitung reibungslos gelingen kann.
Abgerundet wurde der Tag durch eine Diskussion über das „WordPress Campus Connect“-Programm, eine Initiative, die aktiv die nächste Generation von WordPress-Talenten an Hochschulen fördert und so die Zukunft des gesamten Ökosystems sichert.
Zusammenfassend zeigte Track 2 ein WordPress, das technisch erwachsen wird: modularer, schneller und bereit für die komplexesten Anforderungen großer Unternehmen und Agenturen.
Presentation Day 2
WordPress, KI und die Zukunft des Webs: Die Highlights aus Matt Mullenwegs Keynote beim WordCamp US 2025
Wie jedes Jahr blickte die WordPress-Welt gespannt auf die Abschluss-Keynote von WordPress-Mitbegründer Matt Mullenweg.
Für alle, die nicht live dabei sein konnten, haben wir die wichtigsten Erkenntnisse zusammengefasst. Denn was dort besprochen wurde, wird schon bald auch deine Website hier bei goneo betreffen.
Die Präsentation war inspirierend und zukunftsorientiert, mit Parallelen zu historischen Entwicklungen in WordPress. Zentrale Werte sind die Demokratisierung des Publizierens und die GPL-Lizenz als „Verfassung“ von WordPress. Diese gewährt vier Freiheiten: Weiterverbreitung. Nutzung für jeden Zweck, Einsicht in den Code, Modifikation.
Das Herz von WordPress: Die unschlagbare Stärke von Open Source
Zuerst erinnerte Mullenweg uns alle daran, warum wir WordPress so lieben: seine offene Natur. In einer digitalen Welt, die von geschlossenen Systemen dominiert wird, ist WordPress eine Festung der Freiheit und Zusammenarbeit.
Er brachte es auf den Punkt, als er sagte:
„Ein großer Vorteil, wenn man seine Inhalte auf eine Open-Source-Plattform wie WordPress stellt […], ist, dass man ständige Upgrades ‚umsonst‘ bekommt, während wir die Software warten und weiterentwickeln.“
Matt Mullenweg, WordCamp US 2025
Mit dieser Aussage will er die Sicherheit und Langlebigkeit deiner Website danke WordPress unterstreichen. Während andere Plattformen kommen und gehen, biebe WordPress dank seiner riesigen, globalen Community beständig und wird täglich besser und sicherer. Mullenweg betonte stolz: „WordPress ist so einzigartig, weil wir nicht nur ein Produkt sind; wir sind eine Bewegung.“
Die Zukunft ist jetzt: Künstliche Intelligenz direkt im WordPress-Kern
Das wohl spannendste Thema des Abends war Künstliche Intelligenz. KI ist kein ferner Traum mehr, sondern wird bald ein fester Bestandteil deines WordPress-Dashboards sein. Mullenweg gab einen klaren Ausblick darauf, wie KI die Arbeit mit WordPress revolutionieren wird:
Intelligente Werkzeuge: Stell dir vor, KI hilft dir bei der Erstellung von Inhalten, optimiert deine Bilder automatisch für SEO oder gibt dir Vorschläge zur Verbesserung der Barrierefreiheit deiner Seite. Genau das ist die Vision.
Effizientere Verwaltung: Die KI soll dir Routineaufgaben abnehmen, damit du dich auf das konzentrieren kannst, was wirklich zählt: deine Inhalte und dein Geschäft.
Vorschau auf WordPress 6.9: Die nächste große Version wird bereits tiefgreifende KI-Funktionen enthalten und den Grundstein für eine neue Ära der Website-Erstellung legen.
Ökosystem und rechtliche Updates
Mullenweg berührte kurz Kontroversen aus dem Vorjahr (z. B. Medienaufmerksamkeit um Ökosystem-Mitglieder), die nun im rechtlichen System bearbeitet werden, inklusive einer Schlichtungskonferenz. Er vermied Details und lenkte den Fokus auf positive Entwicklungen, um die Community nicht zu belasten.
Wachstum und Statistiken 2025
Ein zentraler Teil war die Präsentation von Wachstumszahlen seit dem letzten WordCamp US:
Traffic auf WordPress.org: +10 %,
Neue Besucher: +20 %,
Neue Follower in Social Media: +124.000,
YouTube- und TikTok-Wachstum: Abonnenten fast verdreifacht,
Events: +32 % im Vergleich zur Post-COVID-Zeit, mit vielen Neulingen und Organisatoren.
Er hob die globale Expansion hervor, z. B. neue WordCamps in Afrika (fünf in Uganda, zwei in Nigeria, eines in Kenia). Besonders erwähnte er das WordPress Campus Connect-Programm: Universitäten integrieren WordPress in ihre Curricula, mit Mentoren für Studenten. Bisher 570 Studenten involviert, zwei abgeschlossene Events und neun laufende. Dies fördert die nächste Generation von Entwicklern und Nutzern.
Verbesserungen im Plugin-Verzeichnis
Mullenweg lobte das Plugin-Team für herausragende Arbeit („This has been one of the teams that’s doing some of the best work across the whole dot-org ecosystem“). Frühere Probleme wie monatelange Warteschlangen für Plugin-Einreichungen sind gelöst:
Über 60.000 Plugins im Verzeichnis (insgesamt 73.000 Plugins und Themes),
Einreichungen fast verdoppelt im Jahresvergleich,
Warteschlangen nun unter einer Woche.
KI wird hier für Automatisierung und Mentoring eingesetzt, was die Effizienz steigert. Dies wurde in Live-Tweets als Highlight gefeiert, z. B. von David Pérez, einem Team-Mitglied.
Kommende Änderungen in WordPress 6.9
Mullenweg demonstrierte neue Features in WordPress 6.9 (geplant für Ende 2025):
Block-Kommentare: Teil von Phase 3 des Gutenberg-Projekts für Kollaboration. Nutzer können Kommentare zu Blöcken hinzufügen, was Teamarbeit erleichtert.
Command Palette: Ein Keyboard-Shortcut-System (z. B. Command + K auf Mac), um schnell durch den Admin-Bereich zu navigieren. Dies nutzt die Abilities-API, die auch für KI-Agenten zugänglich ist.
Diese Features machen WordPress zugänglicher und effizienter.
KI-Integration und Zukunftstrends
Der Kern der Präsentation war die Rolle von KI in WordPress. Mullenweg verglich KI mit historischen Innovationen wie dem WYSIWYG-Editor (TinyMCE), der trotz Kritik (weniger sauberer Code) WordPress massentauglich machte: „I see AI as very much like a new version of this.“ („Ich sehe KI als eine neue Version davon.“) KI ermögliche es, Tools für die nächste Generation zu schaffen, ohne „mit einem geliehenen Stift zu schreiben“ (Zitat: „How do we give the tools to the next generation to not write with a borrowed pen?“).
Schlüsselaspekte:
KI-Browser und Usability: Erwähnung von Tools wie Perplexity’s Comet (integriert in Chrome), die Cookies und Logins beibehalten und Aufgaben in Gutenberg automatisieren (z. B. Blöcke verschieben oder Inhalte bearbeiten).
Kontext-Engineering statt Prompt-Engineering: KI profitiert von WordPress‘ reifen, dokumentierten Systemen für agentische Workflows.
Telex: Ein experimentelles Tool, das Gutenberg-Blöcke per Beschreibung erstellt („Vibe Coding“). Demo: Erstellung eines Doom-Spiel-Blocks, der als ZIP-Datei heruntergeladen und installiert werden kann. Telex funktioniert ähnlich wie v0 oder Lovable, aber WordPress-spezifisch. Es ermöglicht das Erstellen autonomer KI-Agenten in Workspaces, die 24/7 arbeiten, Kanäle zuweisen und benutzerdefinierte Skills haben.
Sponsoren wie Elementor und Hostinger shippen bereits KI-Agenten.
Mullenweg betonte, dass WordPress‘ offene Struktur KI perfekt ergänzt und endlose Möglichkeiten für agentische Workflows bietet – trotz einiger Skepsis in der Community.
Historischer Kontext und Kontroversen
Er zog Parallelen zu vergangenen Debatten (z. B. TinyMCE), die WordPress zugänglicher machten, und argumentierte, KI sei kontrovers, aber essenziell für die Demokratisierung.
Ankündigungen für zukünftige Events
WordCamp Asia 2026: In Mumbai, Indien, 9.–11. April – potenziell das größte WordPress-Event aller Zeiten (basierend auf lokalen Events mit 2.000 Teilnehmern).
WordCamp US 2026: In Phoenix, Arizona, 16.–19. August (mit Scherz über die Hitze, aber Versicherung von Klimaanlagen).
Erwähnung von WordCamp Canada 2025 als „pretty amazing flagship event“ (sehr beeindruckendes Flaggschiff-Event).
Q&A-Session
Nach der Keynote folgte eine live Q&A, in der Mullenweg Fragen aus dem Publikum beantwortete. Details aus Berichten und Tweets:
Themen umfassten KI-Integration, WordPress-Verbesserungen und Community-Fragen.
Es gab Diskussionen zu AI-Agenten und deren Potenzial (z. B. der Chatbot-Demo).
Eine Frage bezog sich auf die Zukunft von Open Source und Tools für Neueinsteiger.
Keine spezifischen Kontroversen (z. B. aus dem Vorjahr) wurden detailliert behandelt, aber Mullenweg blieb optimistisch und interaktiv.
Nach der Session gab es informelle Gespräche, z. B. mit Teilnehmern über AI und WordPress (wie in Tweets von Dustin Hyle erwähnt).
Die Präsentation endete mit Applaus und führte direkt zur After-Party. Insgesamt war sie motivierend, mit Fokus auf Innovation und Community-Wachstum. Reaktionen in sozialen Medien waren positiv, mit Highlights wie Telex und den KI-Demos.
Für dich als Nutzer bedeutet das: Deine Website wird nicht nur einfacher zu bedienen, sondern auch leistungsfähiger und zugänglicher für alle Besucher.
Was bedeutet das für dich als goneo-Kunde?
Die Botschaft von Matt Mullenweg ist: WordPress ist und bleibt die zukunftssicherste Wahl für deine Online-Präsenz. Die Kombination aus einer stabilen, von der Community getragenen Open-Source-Basis und der Integration modernster KI-Technologie ist unschlagbar.
Als goneo-Kunde bist du bestens auf diese Zukunft vorbereitet. Wir sorgen dafür, dass unsere Server immer optimal für die neuesten WordPress-Versionen konfiguriert sind, damit du von allen neuen Funktionen – einschließlich der kommenden KI-Tools – reibungslos profitieren kannst. Deine Vision verdient eine Plattform, die mit dir wächst, und genau das bietet das Duo aus WordPress und goneo.
Wir sind gespannt auf diese Entwicklungen und halten dich natürlich auf dem Laufenden!
Fazit
WordPress wird technologisch dezentraler, flexibler und leistungsfähiger als je zuvor. Gleichzeitig wird seine Führung als so zentralisiert und richtungsweisend wie nie zuvor empfunden. Dieser fundamentale Widerspruch wird die Entwicklung der nächsten Jahre prägen. Die Chancen, die sich aus der technologischen Revolution ergeben, sind immens. Aber es wird entscheidend sein, dass das Projekt seine internen Gräben überwindet, um dieses Potenzial auch nachhaltig zu entfalten.
Wir bei goneo bieten dir die stabile und performante Hosting-Grundlage, auf der du diese neuen Technologien sicher erkunden kannst. Bleib neugierig – wir halten dich auf dem Laufenden.
Was denkst du über die Integration von KI in WordPress? Freust du dich darauf oder siehst du es kritisch? Schreib uns deine Meinung in die Kommentare!
Was ist eigentlich los mit WordPress? (Spoiler: Mehr als du denkst!)
Bist du auch immer wieder überrascht, wie viel „WordPress“ im Internet eigentlich steckt? Fast 43% aller Websites laufen darauf – also fast jede zweite Seite, die du täglich besuchst!
Doch 2025 fühlt sich ein bisschen wie Staffelfinale bei einer dieser Netflix-Serien an, wo alle Stränge zusammenlaufen und du denkst: Geht’s jetzt nach oben oder in die Krise?
Lass uns heute mit einem XXL-Deep-Dive schauen, warum das WordCamp US 2025 in Portland, Oregon, plötzlich zur größten Weichenstellung der Internetgeschichte wird, welche Rolle KI wirklich spielt, was hinter den Kulissen kracht, wer sich wo engagiert und warum gerade auch Unternehmen und Agenturen aus Deutschland und Europa jetzt ganz genau hinsehen sollten.
Portland ruft! Die große Bühne für KI, Kollaboration und Krisenmanagement
Vom 26. bis 29. August pilgern die WordPress-Nerds, Entwicklerinnen, Agenturen, Marketer und Community-Heroes nach Portland, um mehr über die WordPress Zukunft 2025 zu hören und zu sehen. Aber ehrlich: Das ist diesmal weit mehr als ein Branchentreffen – es ist DIE Plattform für globale Strategien, für einen neuen Spirit, für Retter:innen der Community und sogar für etwas Nerd-Glamour aus den Big Tech-Schmieden.
WordCamp US 2025: Agenda Highlights – Hier entscheidet sich das Web
Contributor Day: Hier werkeln Hunderte Hochmotivierte direkt am Code oder testen neue Features. Man munkelt, der “Abilities API Hackathon” wird ein Hotspot mit Leuten wie Adam Silverstein (Google, Core Contributor) oder Jonathan Bossenger („Mr. Plugin“).
Sessions & Workshops: Ein Hauptprogramm, das dermaßen KI-lastig ist, dass du glatt ChatGPT einen eigenen Ausweis basteln könntest! Zum Beispiel „Unlock Developer Superpowers with AI“ (Adam Silverstein, Google) oder der Hands-On-Workshop „Turn your local WordPress install into your AI coding assistant“ (Jonathan Bossenger). Sogar E-Commerce-Use-Cases wie „From Storefront to Strategy: What Happens When AI Shops for Your Customers?“ mit Sonja Ibele sind vertreten.
Showcase Day: Fallstudien und Live-Demos, u.a. wie Tidio KI-Chatbots Websites revolutionieren und Elementor AI das Webdesign auf eine neue Stufe hebt.
Keynote-Speaker: Nicht weniger als Danny Sullivan (Google Search Liaison), John Maeda (VP bei Microsoft & ehemaliger Automattic CDO, Open Source-Guru!) und Adam Gazzaley (Neurowissenschaftler à la „Black Mirror“ für’s Web) legen vor, bevor Matt Mullenweg himself bei „State of the Word“ die Strategie für die WordPress-Zukunft vorstellt und sich – ganz Reality-TV – den Publikumsfragen stellt.
Tipp: Viele Sessions werden übrigens als Livestream vorbereitet. Für alle, die 2025 keine Lust auf die Westküste haben oder im Home Office zwischen Kaffee und Katzen Videos schauen wollen…
KI – Vom Buzzword zur Plattform-DNA
Abilities API: Die Revolution vom Plugin-Ghetto zur Plattform-Power
Okay, gaaaaanz langsam – diese Änderung ist wirklich epochal: Mit WordPress 6.9 kommt die „Abilities API“. Keine simple neue Funktion wie ein frisches Block-Pattern, sondern ein komplett neues System, damit KI nativ, sicher, performant und flexibel mit dem WordPress-Kern spricht.
Bislang war’s oft so: Du hast ein Plugin wie ChatWP, Rank Math AI, Elementor AI installiert – und jedes Plugin kocht sein eigenes Süppchen.
Die Zukunft? Du kannst als Entwickler*in oder als Agentur gezielt jedes beliebige KI-Modell andocken: OpenAI, Google Gemini, Meta Llama 3, lokale Modelle wie Rasa oder sogar deine eigene Custom-KI – alles per API, alles direkt auf den Content, die Mediathek, die Website-Suche, die WooCommerce-Produkte oder selbst erstellte Blöcke!
WordPress und KI: Einige pluginbasierte KI-Beispiele
Yoast SEO: Neben bekannten Funktionen wie Content-Analyse testet Yoast bereits GPT-basierte Onpage-Texterstellung.
Elementor AI: Designer:innen lieben, dass sie nun Text, Layoutblöcke UND Bilder generieren lassen können. Pro-Tipp: Die KI kann die Seitenheader direkt barrierefrei designen!
Tidio/LiveChat AI: Support-Chats erledigen jetzt auch komplexe Preisanfragen oder Produkt-Support vollautomatisch – oft schneller als der menschliche Kundendienst (Aua, aber wahr…).
Rank Math AI: Automatische Headlines, meta descriptions, ja sogar die Outlines ganzer Blogposts: GPT im Plugin, aber bald Core-integriert.
Das Ziel? Kein Plugin-Wildwuchs mehr, sondern ein strukturierter, sicherer Playground, auf dem auch Krankenhäuser, Banken oder E-Commerce-Riesen wie Zalando KI-Vorteile nutzen, ohne Datenschutz oder Performance zu riskieren.
Die folgende Tabelle fasst die wichtigsten KI-fokussierten Sessions zusammen und ordnet sie strategisch ein, um die Tiefe und Breite des KI-Engagements auf dem WordCamp US 2025 zu verdeutlichen.
Das Engagement für KI in den Sessions
Hier eine Tabelle mit den wichtigsten KI-fokussierten Sessions. Das zeigt die Tiefe und Breite des KI-Engagements auf dem WordCamp US 2025.
Session-Titel
Sprecher
Kategorie
Kernstrategische Einsicht
Core AI: What We’re Building
James LePage
AI
Signalisiert den Übergang von Drittanbieter-KI-Lösungen zu einer erstparteiischen, plattformweiten Strategie.
Unlock Developer Superpowers with AI
Adam Silverstein
AI
Positioniert KI als Produktivitätswerkzeug für die bestehende Entwicklerbasis, nicht als Ersatz.
Turn your local WordPress install into your AI coding assistant
Jonathan Bossenger
AI
Fördert die Integration von KI in den lokalen Entwicklungs-Workflow und senkt die Einstiegshürde.
Your Words, Your Brain, Your Device: Democratizing Writing Assistance with ML at the Edge
Elijah Potter
Honing your Skills
Betont datenschutzfreundliche, gerätebasierte KI und adressiert Bedenken hinsichtlich zentralisierter KI-Modelle.
Catch Bugs Faster with AI & Playwright (No Hype, Just Results)
Wendy Erdheim-Poch
AI
Zeigt den praktischen Nutzen von KI bei der Verbesserung der Code-Qualität und der Reduzierung von Entwicklungszeit.
From Storefront to Strategy: What Happens When AI Shops for Your Customers?
Sonja Ibele
AI
Hebt das Potenzial von KI zur Revolutionierung des E-Commerce und der Kundenerfahrung hervor.
Fixing and Optimizing websites with AI
Arnas Donauskas
Technical WordPress
Demonstriert den Einsatz von KI für Wartungs- und Performance-Aufgaben, ein wachsender Markt für Agenturen.
A New Era of Experiential Medicine – AI and the Brain
Adam Gazzaley
Keynote
Erweitert den Horizont über das Web hinaus und positioniert KI als transformative Kraft für die menschliche Erfahrung.
Kollaboration: WordPress meets Google Docs & Notion
Mit WordPress 6.9 kommt nicht nur die KI-Revolution, sondern auch eine neue Ära der Zusammenarbeit. Professional Teams, Editors, Agenturen – aufgepasst!
Du willst mit deinem Team an einem Post arbeiten, Feedback geben, Absätze blockweise kommentieren? Bald alles direkt im Editor! Die Einführung erinnert an die besten Funktionen von Google Docs oder Notion, nur eben Open Source und viel sicherer (Stichwort: DSGVO!).
Gerade größere Newsrooms (wie Zeit Online oder t3n), Agenturen wie Inpsyde aus Deutschland oder Valet aus den USA, aber auch NGOs und Behörden mit vielen Mitwirkenden werden sich den Umweg über umständliche Third-Party-Kollaborationslösungen sparen.
Hier und da ist von einem Admin-Redesign die Rede. Mal sehen, was in Portland dazu gezeigt wird. Das Dashboard in WordPress wirkt wirklich etwas betagt und umständlich. Newbies kommen damit immer schwerer zurecht. Interessanterweise hatte wordpress.com (die Automattic-Variante) einige Zeit lang ein ganz anderes Backend. Inzwischen haben sie wieder das gleiche wie die Communityversion von wordpress.org. Tja, Admin-Panels zu bauen und zu pflegen ist aufwendig und teuer.
Typische Anwendungsfälle
Redaktion gibt Feedback zu Block X („Bitte inhaltliche Tiefe ausbauen, Sarah!“)
Marketing-Chef setzt nur die Abschnitte „Final“ auf grün
Externe Lektor:innen kommentieren Rechtschreibung, ohne Zugriff auf sensible Daten zu benötigen
Ehrlich, mega! Und ein absoluter Verkaufs-Booster für Agenturen, denn du kannst deinen Kund:innen nun echtes Teamwork auf der Website zugänglich machen.
Krise im Maschinenraum: Community vs. Machtspiele
Tech ist das eine, Menschen das andere – und da gibt’s gerade ziemlich viel Zoff. Viele sprechen vom „WordPress-Burnout”, und das zeigt sich nicht nur auf X/Twitter, sondern auch ganz real in Basel oder auf GitHub.
Der Rechtsstreit: Automattic gegen einen großen Spezialhoster
Ja, du hast richtig gelesen: Automattic, die Company von Matt Mullenweg (einem der „Erfinder“ von WordPress), hat einen echten Showdown mit einem WordPress-Hosting-Provider, einem der größten Spezialisten der Branche.
Anklagepunkte/Fakten
Markenmissbrauch: Es ging u. a. darum, dass WP Engine angeblich das Trademark „WordPress“ für eigene Produkte zu offensiv genutzt hat.
Sanktionen: Zeitweise wurden bestimmte Core-Updates für WP Engine-Kunden geblockt (What?!)
Gerichtsverhandlungen & Shitstorms: Die Community diskutierte offen auf X/Twitter, in Slack und auf Github Tickets, ob Automattic zu viel Macht an sich zieht.
Wichtige Stimmen: Leute wie Mika Epstein (WordPress-Plugin-Revue-Queen) und Morten Rand-Hendriksen (WordPress-Philosoph & Accessibility-Vorkämpfer) äußerten öffentlich Kritik an der mangelnden Transparenz und zu starker Zentralisierung.
Der Hilferuf aus Basel: Der offene Beschwerdebrief
Auf dem WordCamp Europe in Basel 2025 hat Patricia Brun Torre, eine der ganz alten Core-Mitarbeiterinnen, einen Brief mit den Unterschriften von über 100 Contributors an die neue WordPress-Geschäftsführerin Mary Hubbard übergeben.
Worum ging’s?
Organisator:innen brennen aus (Stichwort: Event-Volunteer-Burnout)
Viele fühlen sich aus Entscheidungsprozessen ausgeschlossen („top-down statt bottom-up“, wie es Ines van Essen anmerkte)
Globale Contributors wünschen sich wieder mehr Wertschätzung und flache Hierarchien – statt strategische Ansagen von oben
Direkter O-Ton aus dem Brief
„Wir bauen nicht nur Software, wir bauen auch die Werte für ein freies Internet. Redet MIT uns, nicht ÜBER uns!“ Mehr Mut zur Mitbestimmung, mehr Transparenz bei Finanzen, Diversität einfordern – Forderungen, die auch Unternehmen und Agenturen weltweit unterstützen!
Bedeutung für Deutschland und Europa – WordPress als Innovationsmotor
Nicht vergessen: Deutschland ist Nummer 2 weltweit bei WordPress-Websites! Über 1,7 Millionen Sites – von Greenpeace bis zum Bäckermeister um die Ecke, von t3n über Tagesspiegel bis hin zu Zalando.
Warum das relevant ist
KMUs & Startups: Ohne WordPress hätten viele Unternehmen nicht mal schnell eine eigene Präsenz am Markt. Die Digitalisierung von Mittelstand, Ärztehäusern und Freiberuflern läuft fast immer via WordPress
Arbeitsmarkt: Agenturen wie Inpsyde (Köln), MarketPress (München), Elbnetz (Hamburg) oder MenschDanke (Bochum, fast mein Nachbar!) suchen nach immer mehr WordPress-Talenten – da steckt richtig Musik in Sachen Jobs und Wachstum.
DSGVO & Datenschutz: WordPress kann auf deinem eigenen Server stehen. Du entscheidest, wo die Daten liegen – der Unterschied zu Cloud.basierten Website-Buildern ist für viele Unternehmen und Behörden ein Gamechanger.
Agenturen profitieren vom offenen Ökosystem: Kein Locked-In, keine horrenden SaaS-Monatsgebühren, sondern individuelle Anpassung, Hosting-Kontrolle, Flexibilität.
Ein schönes Beispiel: Die Universität Leipzig betreibt ihre ganze Webkommunikation mit einem zentralisierten WordPress-Multisite-System (über 200 Mikrosites!) – DSGVO, Barrierefreiheit, Performance – alles in Eigenregie, alles Open Source.
WordPress Zukunft 2025 – Zwischen Genie und Wahnsinn
WordPress ist 2025 kein Harmonieparadies, aber eben auch kein Fossil! KI, Kollaboration und Community-Turnaround müssen jetzt zusammenwachsen. Die Agenda und Roadmap zeigen den Willen zum Wandel.
Ob Matt Mullenweg nach Portland die richtigen Zeichen setzt? Werden die Keynotes wie die von John Maeda (Microsoft) Innovation UND Ethik die Community vereinen? Könnten Website-Builder-Konkurrenten durch das neue KI-Ökosystem endlich echten Gegenwind spüren? Wir sind live dabei!
Bleibt nur: Bleib du auch kritisch, engagiert, kreativ! Diskutier mit (Kommentare auf goneo Blog offen), schau dir die Sessions auch aus Entwicklersicht an, oder bring dich in der deutschen WP-Community ein – z. B. bei den Meetups in Berlin, Köln oder virtuell bei wpde.org.
In diesem Sinn: WordPress kann die Zukunft rocken – wenn Technik und Community wieder Hand in Hand gehen.
Und du? Bist du dabei, einfach average zu bleiben (Wink mit dem Buchtitel von Ayra Mudessir: „INSPIRED BY THE FEAR OF BEING AVERAGE“), oder gehst du den nächsten Schritt – mit, für oder sogar auf WordPress?
Schreib’s in die Kommentare. Wir sind mega gespannt – und begleiten dich, wohin das Web 2025 noch steuert!
Ein Wegweiser durch den Dschungel der Web-Systeme 2025
Du startest ein neues Webprojekt und stehst vor der vielleicht wichtigsten Frage: Welches Content-Management-System (CMS) ist das richtige für dich? Die Auswahl ist riesig und auf den ersten Blick unübersichtlich. WordPress, TYPO3, Joomla, Drupal oder doch etwas ganz anderes?
Die gute Nachricht: Die führenden Open-Source-Systeme sind lebendiger denn je und entwickeln sich ständig weiter, wie die Gründung der Open Website Alliance zeigt, einem Zusammenschluss der Macher hinter den großen Plattformen. Doch die Wahl des richtigen Systems geht heute weit über eine reine Feature-Liste hinaus. Es ist eine strategische Entscheidung über die grundlegende Architektur deiner zukünftigen Website.
In diesem Beitrag bringen wir Licht ins Dunkel und zeigen dir die zwei großen Pfade, zwischen denen du dich im Jahr 2025 entscheiden musst.
Die große Weggabelung: Monolithisch vs. Headless
Die vielleicht wichtigste Unterscheidung bei modernen CMS ist die zwischen monolithischen und Headless-Systemen. Das klingt technisch, ist aber ganz einfach zu verstehen.
1. Der Monolith: Das All-in-One-Paket
Stell dir ein monolithisches CMS wie ein Fertighaus vor. Alles ist in einem einzigen, integrierten Paket enthalten: Das Backend, in dem du deine Inhalte schreibst und verwaltest, und das Frontend, das für das Design und die Darstellung deiner Website für die Besucher zuständig ist. Beide Teile sind eng miteinander verbunden.
Benutzerfreundlichkeit: Redakteure und Autoren lieben diese Systeme, da sie oft eine intuitive Oberfläche bieten, um Inhalte zu erstellen und gleichzeitig das Design anzupassen.
Riesiges Ökosystem: Besonders bei WordPress gibt es Zehntausende von fertigen Themes und Plugins, mit denen du deine Seite schnell und oft kostengünstig erweitern kannst.
Schneller Start: Für Standard-Websites wie Blogs oder Firmenpräsenzen kommst du mit einem monolithischen System oft am schnellsten zu einem fertigen Ergebnis.
Nachteile:
Weniger Flexibilität: Da alles in einem System steckt, bist du an die vorgegebenen Strukturen gebunden.
Performance: Bei sehr großen und komplexen Seiten können die Ladezeiten leiden, da bei jeder Anfrage Datenbanken und Templates auf dem Server verarbeitet werden müssen.
2. Headless CMS: Der Baukasten für Kreative
Ein Headless CMS ist das genaue Gegenteil. Hier wird dem System der „Kopf“ (das Frontend) abgetrennt. Übrig bleibt ein reines Backend, das nur eine Aufgabe hat: Inhalte zu verwalten und sie über eine Schnittstelle (API) bereitzustellen.
Was mit diesen Inhalten passiert, entscheidest du völlig frei. Du kannst ein hochmodernes Frontend mit Frameworks wie Astro oder Next.js bauen, die Daten in einer mobilen App anzeigen oder sie an ein Smart-Display senden.
Maximale Flexibilität: Du hast die absolute Freiheit bei der Wahl deiner Frontend-Technologie.
Top-Performance: Da das Frontend als eigenständige, optimierte Anwendung gebaut wird, sind die Ladezeiten oft unschlagbar schnell.
Zukunftssicherheit: Deine Inhalte sind nicht an ein bestimmtes Design gebunden. Du kannst das Frontend jederzeit neu gestalten, ohne das Backend anzufassen.
Nachteile:
Höherer Entwicklungsaufwand: Du (oder dein Team) musst das Frontend separat entwickeln und pflegen. Das erfordert mehr technisches Know-how.
Komplexere Integration: Die Verbindung der einzelnen Dienste (Backend, Frontend, Suche, Formulare etc.) liegt in deiner Verantwortung.
Die verschiedenen CMS-Typen im Detail
Nachdem du die grundlegende Architektur verstanden hast, schauen wir uns die verschiedenen CMS-Typen genauer an, die auf diesen Prinzipien aufbauen.
Die Marktführer: Die Alleskönner für den Mittelstand
Dies sind die klassischen, monolithischen Systeme, die den Großteil des Webs antreiben.
WordPress: Mit einem Marktanteil von über 60 % ist WordPress der unangefochtene Platzhirsch. Es ist unglaublich vielseitig und dank seines riesigen Plugin-Ökosystems für fast alles geeignet – vom einfachen Blog über die Unternehmenswebsite bis hin zum Online-Shop mit WooCommerce. Seine Stärke liegt in der einfachen Bedienung und der riesigen Community.
Joomla: Die stabile und von der Community getragene Alternative. Joomla bietet eine tolle Balance aus Funktionalität und Benutzerfreundlichkeit. Mit einer klaren Roadmap und einem professionellen Sicherheitsprozess (Joomla ist eine offizielle CVE Numbering Authority) ist es eine verlässliche Wahl. Die eingebaute API macht es zudem fit für Headless-Anwendungen.
TYPO3 & Drupal: Die Kraftpakete für den Enterprise-Bereich. Sie sind komplexer in der Einrichtung, bieten dafür aber unübertroffene Skalierbarkeit, Sicherheit und Flexibilität. Wenn du eine große, mehrsprachige Unternehmenswebsite mit komplexen Benutzerrechten planst, sind diese Systeme oft die erste Wahl. Ihre stabilen Langzeit-Support-Versionen (LTS) und die professionelle Governance machen sie zu einer sicheren Investition.
Die Leichtgewichte: Die Sprinter ohne Datenbank
Flat-File-CMS (z. B. Grav, Bludit, Automad): Diese Systeme kommen komplett ohne Datenbank aus. Deine Inhalte werden einfach in Textdateien auf dem Server gespeichert. Das macht sie extrem schnell, sehr sicher und unglaublich einfach zu sichern. Perfekt für Portfolios, kleine Blogs oder Dokumentationsseiten, bei denen es auf maximale Geschwindigkeit und minimale Komplexität ankommt.
Die Spezialisten: Die API-Könige für moderne Architekturen
Hier kommen die Headless-Systeme wieder ins Spiel. Sie sind die erste Wahl, wenn du eine „Composable Architecture“ aufbauen möchtest, also ein System aus den besten spezialisierten Diensten zusammenstellst. Ein Headless CMS wie Strapi oder Directus ist dabei dein zentraler Content-Hub, der hochperformante Frontends mit Inhalten versorgt.
Wie triffst du die richtige Entscheidung?
Stell dir die folgenden drei Fragen, um das passende CMS für dein Projekt zu finden:
Was ist das Ziel deiner Website?
Ein Blog, eine persönliche oder eine einfache Firmenwebsite? → WordPress ist oft der schnellste und einfachste Weg. Auch ein Flat-File-CMS wie Grav ist eine exzellente, performante Option.
Eine große, mehrsprachige Unternehmensseite mit hohen Sicherheitsanforderungen? → TYPO3 oder Drupal bieten die nötige Stabilität und Skalierbarkeit.
Du willst Inhalte für eine Website, eine mobile App und vielleicht mehr? → Ein Headless-Ansatz mit Strapi oder Directus gibt dir die nötige Flexibilität.
Wie technisch versiert bist du oder dein Team?
Anfänger oder Fokus auf die Redaktion? → WordPress und Joomla haben eine flachere Lernkurve.
Erfahrene Entwickler, die volle Kontrolle wollen? → TYPO3 und Drupal bieten eine tiefgreifende, framework-ähnliche Umgebung.
Frontend-Entwickler, die moderne Tools wie React oder Astro lieben? → Ein Headless CMS ist genau das, was ihr sucht.
Was ist dir wichtiger: Schneller Start oder maximale Flexibilität?
Schnell starten mit einem riesigen Ökosystem? → WordPress.
Langfristige Stabilität und Planbarkeit für ein Enterprise-Projekt? → TYPO3.
Absolute Freiheit, das Frontend mit den neuesten Technologien zu bauen? → Headless CMS.
Fazit: Es gibt nicht das eine, perfekte CMS
Die Wahl des richtigen CMS ist eine der wichtigsten Weichenstellungen für dein Webprojekt. Das „beste“ System gibt es nicht – es gibt nur das System, das am besten zu deinen Zielen, deinem Budget und deinen Fähigkeiten passt.
Egal, ob du dich für ein leichtgewichtiges Flat-File-System, den Marktführer WordPress oder ein Enterprise-Kraftpaket wie TYPO3 entscheidest – bei goneo findest du das passende, performante Hosting für dein PHP-basiertes Projekt. Unsere Server sind für alle gängigen Systeme optimiert und bieten dir die stabile Grundlage, die du für deinen Erfolg im Web brauchst.
Verschiedene Herangehensweisen
Die folgende Tabelle fasst gefundene Informationen zu jedem analysierten CMS zusammen. Sie ermöglicht dir einen schnellen Vergleich der wichtigsten Metriken.
CMS / Technologie
Kategorie
Aktuelle stabile Version (Q3 2025)
Entwicklungsstatus
PHP 8.x Support
MySQL 8.x Support
Kompatibilitätshinweise & wichtige Überlegungen
Architektonisches Paradigma
Leichtgewichtig & Flat-File
Automad
Leichtgewichtig
2.1.2
Aktiv
Ja
N/A
Datenbankunabhängig.
Flat-File
Bludit
Leichtgewichtig
3.15.0
Aktiv
Ja
N/A
Datenbankunabhängig.
Flat-File
Grav CMS
Leichtgewichtig
1.7.43
Aktiv
Ja
N/A
Datenbankunabhängig.
Flat-File
Publii CMS
Leichtgewichtig
0.45.2
Aktiv
N/A
N/A
Desktop-Anwendung, generiert statische Seiten.
Static Site Generator
Typemill
Leichtgewichtig
2.5.1
Aktiv
Ja
N/A
Datenbankunabhängig.
Flat-File
Headless-Native & API-First
Cockpit
Headless
2.7.2
Aktiv
Ja
Ja
Unterstützt auch SQLite und MongoDB.
Headless (PHP)
Directus
Headless
10.12.1
Aktiv
N/A
Ja
Node.js-basiert. Unterstützt PostgreSQL, MS SQL, etc.
Headless (Node.js)
Gentics Mesh
Headless
2.3.0
Aktiv
N/A
Ja
Java-basiert.
Headless (Java)
Keystone
Headless
6.0
Aktiv
N/A
Ja
Node.js-basiert. Unterstützt PostgreSQL.
Headless (Node.js)
Payload
Headless
2.17.0
Aktiv
N/A
Ja
Node.js-basiert. Unterstützt PostgreSQL, MongoDB.
Headless (Node.js)
Squidex
Headless
8.6.0
Aktiv
N/A
N/A
.NET-basiert. Unterstützt MongoDB.
Headless (.NET)
Strapi
Headless
4.25.2
Aktiv
N/A
Ja
Node.js-basiert. Unterstützt PostgreSQL, SQLite.
Headless (Node.js)
CMS für den Mittelstand (KMU)
ApostropheCMS
Mittelstand
3.69.0
Aktiv
N/A
N/A
Node.js-basiert. Benötigt MongoDB.
Monolithisch (Node.js)
Concrete5
Mittelstand
9.3.2
Aktiv
Ja (8.1+)
Ja
Erfordert PHP 8.1 oder höher.
Monolithisch
Contao
Mittelstand
4.13.43 (LTS)
Aktiv
Ja (8.1+)
Ja
Baut auf Symfony-Komponenten auf.
Monolithisch
Django CMS
Mittelstand
4.2.0
Aktiv
N/A
Ja
Python-basiert.
Monolithisch (Python)
ExpressionEngine
Mittelstand
7.4.4
Aktiv
Ja (8.0+)
Ja
Kommerzielles Open-Source-Modell.
Monolithisch
Joomla
Mittelstand
5.3.2
Aktiv
Ja (8.1+)
Ja
Klare Roadmap zu v6. Ist eine CNA.
Monolithisch
MODX
Mittelstand
3.0.6
Aktiv
Ja (7.4+)
Ja
PHP 8.x-Support ist robust.
Monolithisch
ProcessWire
Mittelstand
3.0.225
Aktiv
Ja
Ja
Bekannt für seine starke API.
Monolithisch
Redaxo
Mittelstand
5.16.1
Aktiv
Ja (8.0+)
Ja
Stark im deutschsprachigen Raum.
Monolithisch
WordPress
Mittelstand
6.8.2
Aktiv
Ja (7.4+)
Ja
Kritisch: mysql_native_password ist veraltet.
Monolithisch
Enterprise Open Source CMS
Bloomreach XM (CE)
Enterprise
15.0.0
Aktiv
N/A
Ja
Java-basiert. Community Edition.
Monolithisch (Java)
dotCMS (CE)
Enterprise
23.01
Aktiv
N/A
Ja
Java-basiert. Community Edition.
Monolithisch (Java)
Drupal
Enterprise
11.2.3
Aktiv
Ja (8.3+)
Ja
Baut auf Symfony auf. Upgrade-Pfad ist klar definiert.
Es ist ein Gefühl, das kein Website-Betreiber erleben möchte: Du rufst deine eigene WordPress-Seite auf und wirst plötzlich auf eine unseriöse Werbeseite umgeleitet. Spam-E-Mails werden im Namen deiner Domain versendet, oder deine Kunden berichten von seltsamen Warnungen und Browser-Meldungen. Herzlichen Glückwunsch, deine Website wurde offensichtlich gehackt.
Die erste Reaktion ist meist Panik, gefolgt von einem Gefühl der Ohnmacht. Doch jetzt ist es entscheidend, einen kühlen Kopf zu bewahren und systematisch vorzugehen. Ein gezielter Notfallplan ist dein mächtigstes Werkzeug, um die Kontrolle zurückzugewinnen, den Schaden zu beseitigen und deine Website für die Zukunft abzusichern. Dieser Vorfall ist nicht das Ende, sondern ein Weckruf. Du bist nicht das erste Opfer und wirst nicht das letzte sein.
Um die Notwendigkeit für ein entschlossenes Handeln zu verstehen, musst du die Realität der digitalen Bedrohungslandschaft anerkennen. WordPress ist mit einem Marktanteil von über 43 % das mit Abstand beliebteste Content-Management-System der Welt. Diese Dominanz macht es unweigerlich zum Hauptziel für automatisierte Angriffe und Cyberkriminelle.
Die Zahlen sprechen eine deutliche Sprache:
Die Schwachstellenflut: Die Zahl der entdeckten Schwachstellen im WordPress-Ökosystem ist in den letzten Jahren explodiert. Allein im Jahr 2024 wurden Tausende neuer Sicherheitslücken gemeldet, ein dramatischer Anstieg im Vergleich zu den Vorjahren. Diese Flut an potenziellen Einfallstoren macht eine proaktive Haltung zur Sicherheit unerlässlich.
Das Plugin- und Theme-Dilemma: Ein weit verbreiteter Irrglaube ist, dass WordPress selbst unsicher sei. Die Fakten zeigen jedoch ein anderes Bild: Über 95 % aller Schwachstellen finden sich nicht im WordPress-Kern, sondern in den unzähligen Plugins und Themes von Drittanbietern. Jedes installierte Plugin ist wie eine zusätzliche Tür zu deinem Haus, deren Sicherheit von der Sorgfalt des jeweiligen Entwicklers abhängt. Veraltete oder schlecht programmierte Erweiterungen sind das Einfallstor Nummer eins.
Die wahren Angriffsvektoren: Während Sicherheitsforscher häufig von Cross-Site-Scripting (XSS) als der am häufigsten gemeldeten Schwachstelle berichten, zeigt die Praxis ein differenzierteres Bild. Firewalls von Sicherheitsanbietern blockieren massenhaft Angriffe, die auf SQL-Injections (Datenbankmanipulation) und Path Traversal (unautorisierter Dateizugriff) abzielen. Das bedeutet, Angreifer nutzen oft die direktesten und verheerendsten Methoden, um an Daten zu gelangen oder die Kontrolle zu übernehmen. Ein umfassender Schutz muss daher alle Ebenen deiner Website absichern.
Die wirtschaftlichen Folgen: Mehr als nur eine defekte Webseite
Ein Hack ist kein rein technisches Problem, sondern eine ernsthafte Geschäftskrise, besonders für kleine und mittlere Unternehmen (KMU). Die Konsequenzen gehen weit über eine temporär nicht erreichbare Seite hinaus:
KMU im Visier: Cyberkriminelle zielen bewusst auf kleinere Unternehmen, da diese oft über weniger ausgefeilte Sicherheitsmaßnahmen verfügen. Rund 43 % aller Cyberangriffe richten sich gegen KMU.
Existenzbedrohende Kosten: Die durchschnittlichen Kosten für die Wiederherstellung nach einem Cyberangriff können für ein KMU schnell sechsstellige Beträge erreichen. Die finanziellen und operativen Belastungen sind so gravierend, dass schätzungsweise 60 % der betroffenen Kleinunternehmen innerhalb von sechs Monaten nach einem schweren Angriff den Geschäftsbetrieb einstellen müssen.
Der Vertrauensbruch: Der vielleicht größte Schaden ist der Verlust der Reputation. Wenn Kundendaten kompromittiert oder Besucher mit Malware infiziert werden, ist das Vertrauen nachhaltig zerstört. 55 % der Verbraucher geben an, dass sie nach einem Cyberangriff weniger wahrscheinlich mit einem Unternehmen Geschäfte machen würden.⁷ Dieser Vertrauensverlust kann zu permanentem Kundenverlust und langfristigen Umsatzeinbußen führen.
Der Weg nach vorn: Dein 3-Phasen-Notfallplan
Dieser Leitfaden ist dein strukturierter Weg aus der Krise. Er führt dich durch drei entscheidende Phasen, die sich in der Praxis bewährt haben:
Phase 1: Sofortmaßnahmen – Den Schaden eindämmen und die Blutung stoppen.
Phase 2: Analyse & Bereinigung – Den digitalen Tatort untersuchen und die Infektion restlos entfernen.
Phase 3: Absicherung & Prävention – Eine digitale Festung bauen, um zukünftige Angriffe abzuwehren.
Dein Partner in der Not: goneo
Als goneo-Kunde stehst du in dieser Situation nicht allein da. Während die Sicherheit deiner WordPress-Anwendung in deiner Verantwortung liegt, sorgen wir für eine stabile und sichere Serverumgebung. Unser Support-Team und die Werkzeuge in deinem Kundencenter sind wertvolle Ressourcen auf deinem Weg zur Wiederherstellung. Gemeinsam verwandeln wir diese Krise in eine Chance für eine robustere und widerstandsfähigere Online-Präsenz.
Phase 1: Sofortmaßnahmen – Die digitale Notaufnahme
In den ersten Minuten und Stunden nach der Entdeckung des Hacks zählt vor allem eines: die weitere Ausbreitung des Schadens zu stoppen und die Kontrolle über die Situation zurückzugewinnen. Handle schnell, aber überlegt. Diese Phase ist die digitale Notaufnahme für deine Website.
Schritt 1: Ruhe bewahren und die Seite isolieren (Der digitale Notausschalter)
Der erste Impuls ist oft, panisch nach der Ursache zu suchen oder Dateien zu löschen. Widerstehe diesem Drang. Dein oberstes Ziel muss es sein, deine digitale Tür sofort zu verschließen. Versetze deine WordPress-Seite umgehend in den Wartungsmodus. Dieser Schritt gibt dir nicht nur die dringend benötigte Atempause, sondern verschafft dir auch sofort wieder ein Stück Kontrolle zurück, was psychologisch enorm wichtig ist.
Warum ist die Isolation so entscheidend?
Schutz für deine Besucher: Du verhinderst aktiv, dass Besucher deiner Seite auf bösartige Werbe- oder Phishing-Seiten weitergeleitet oder ihre Computer mit Malware infiziert werden. Jeder weitere infizierte Besucher vergrößert den Schaden.
Unterbrechung der Malware-Aktivitäten: Viele Hacks nutzen deine Website als Basis für weitere kriminelle Aktivitäten. Sie versenden Spam-E-Mails in deinem Namen, führen Angriffe auf andere Server durch oder sind Teil eines Botnetzes. Der Wartungsmodus unterbricht diese Aktivitäten sofort.
Schutz deiner Reputation: Suchmaschinen wie Google erkennen gehackte Seiten sehr schnell. Wenn deine Seite als „gefährlich“ eingestuft wird, erscheint eine unübersehbare Warnung in den Suchergebnissen oder deine Seite wird komplett aus dem Index entfernt (Blacklisting).¹³ Dies zerstört das Vertrauen potenzieller Kunden und vernichtet dein SEO-Ranking. Indem du die Seite offline nimmst, verhinderst du, dass die Google-Bots die kompromittierten Inhalte crawlen und abstrafen.
Detaillierte Anleitungen zur Aktivierung des Wartungsmodus
Methode A: Die einfache Plugin-Methode (Empfohlen für Einsteiger) Wenn du noch Zugriff auf dein WordPress-Dashboard hast, ist dies der schnellste Weg.
Logge dich in dein WordPress-Backend ein.
Gehe zu „Plugins“ > „Installieren“.
Suche nach einem Plugin wie „WP Maintenance Mode & Coming Soon“ oder „LightStart“.
Installiere und aktiviere das Plugin.
Gehe zu den Einstellungen des Plugins und aktiviere den Wartungsmodus. Du kannst hier oft eine einfache Nachricht für deine Besucher hinterlegen, z.B. „Unsere Seite wird gerade gewartet. Wir sind in Kürze wieder für dich da.“
Methode B: Die manuelle .htaccess-Methode (Für technisch Versiertere) Wenn du keinen Zugriff mehr auf das Backend hast oder eine serverseitige Lösung bevorzugst, kannst du den Wartungsmodus direkt über die .htaccess-Datei steuern. Für Shared-Hosting-Szenarien, in denen Benutzer keine feste IP-Adresse haben, ist die beste Methode, den Zugriff über ein Cookie zu steuern. Anstatt eine IP-Adresse auszuschließen, wird ein Cookie im Browser des Administrators gesetzt. Nur wer dieses Cookie hat, kann die normale Webseite sehen, alle anderen werden auf die Wartungsseite umgeleitet.
Verbinde dich per FTP-Client (z.B. FileZilla) mit deinem Webspace.
Erstelle eine Sicherungskopie deiner .htaccess-Datei.
Erstelle eine einfache HTML-Datei namens wartung.html mit einer Wartungsmeldung.
Öffne die .htaccess-Datei und füge folgenden Code ganz am Anfang ein :
# BEGIN Wartungsmodus (Cookie-basiert)
RewriteEngine On
RewriteBase /
# 1. Umleitungs-Ausnahme per Cookie
# Überprüft, ob ein Cookie mit dem Namen "wartung_umgehen" und dem Wert "geheim" vorhanden ist.
RewriteCond %{HTTP_COOKIE} !wartung_umgehen=geheim [NC]
# 2. Ausnahme für die Wartungsseite selbst
# Stellt sicher, dass die Wartungsseite nicht in einer Schleife umgeleitet wird.
RewriteCond %{REQUEST_URI} !^/wartung.html$
# 3. Die eigentliche Umleitung
# Leitet allen Traffic, der die obigen Bedingungen NICHT erfüllt, auf die Wartungsseite um.
RewriteRule .* /wartung.html [L]# END Wartungsmodus
So erhältst du Zugriff während der Wartung
Da du keinen Zugriff über eine IP-Adresse hast, musst du das spezielle Cookie in deinem Browser setzen. Das geht am einfachsten, indem du eine separate PHP-Datei erstellst, die nur du kennst.
Erstelle eine PHP-Datei: Lege auf deinem Webspace eine Datei mit einem geheimen Namen an, z. B. zugang-aktivieren-geheim.php.
Füge diesen Inhalt ein:
PHP
<?php
// Setzt ein Cookie, das eine Stunde lang gültig ist.
// Der Name und Wert ("wartung_umgehen", "geheim") müssen exakt mit denen in der .htaccess übereinstimmen.
setcookie('wartung_umgehen', 'geheim', time() + 3600, '/');
// Leitet dich nach dem Setzen des Cookies zur Startseite weiter.
header('Location: /');
exit();
?>
Zugriff nehmen:
Wenn der Wartungsmodus aktiv ist, rufst du einfach diese Datei in deinem Browser auf: deine-domain.de/zugang-aktivieren-geheim.php. Dadurch wird das Cookie in deinem Browser gesetzt und du kannst die Webseite für eine Stunde normal nutzen. Alle anderen Besucher ohne dieses Cookie sehen weiterhin die wartung.html.
Diese Methode ist flexibel, sicher und ideal für Umgebungen ohne feste IP-Adressen geeignet.
Schritt 2: Das große Passwort-Reset – Alle Türen verriegeln
Gehe davon aus, dass jedes Passwort, das mit deiner Website in Verbindung steht, kompromittiert ist. Ein lückenloser Passwort-Reset ist daher unumgänglich.
Deine umfassende Passwort-Reset-Checkliste für goneo:
WordPress-Administratoren: Ändere die Passwörter aller Benutzerkonten in deiner WordPress-Installation.
FTP/SFTP-Zugänge: Logge dich in dein goneo-Kundencenter ein, navigiere zu „Webserver“ > „FTP- & SSH-Zugriff“ und vergib ein neues, starkes Passwort für deinen FTP-Benutzer.¹⁵
Datenbank-Passwörter (MySQL): Gehe im goneo-Kundencenter zu „Webhosting“ > „MySQL-Datenbanken“ und vergib ein neues Passwort für die betroffene Datenbank.¹⁶ Wichtig: Trage dieses neue Passwort sofort in deine wp-config.php-Datei ein:define( 'DB_PASSWORD', 'Dein-neues-Datenbank-Passwort' );
goneo-Kundencenter: Sichere auch den Hauptzugang zu deiner Hosting-Verwaltung ab, indem du dein Passwort änderst.¹⁵
Nutze einen Passwort-Manager (z.B. Bitwarden, 1Password).
Schritt 3: goneo an deiner Seite – Deinen Hoster richtig informieren
Du musst diesen Kampf nicht allein führen. Kontaktiere den goneo-Support – wir können dir mit Informationen helfen, die dir nicht zur Verfügung stehen.
Was kann goneo für dich tun?
Umfang des Befalls einschätzen: Wir können oft erkennen, ob von deinem Account ungewöhnliche Aktivitäten ausgehen (z.B. Massen-Mails).
Serverseitige Sperren aufheben: Falls unser System automatisch Funktionen eingeschränkt hat, können wir dich informieren und helfen.
Wie du goneo effektiv kontaktierst:
Kanäle: Telefon (0571 / 783 44 44, Mo-Fr 9-18 Uhr) oder E-Mail (kundenservice@goneo.de).¹¹
Informationen bereithalten: Deine Kundennummer und Service-PIN, eine klare Beschreibung des Problems, der Entdeckungszeitpunkt und deine bereits unternommenen Schritte.
Die richtigen Fragen stellen:
„Könnt ihr bitte die Server-Logfiles für meine Domain auf verdächtige Aktivitäten prüfen?“
„Seht ihr einen auffälligen Traffic oder Mail-Versand von meinem Account?“
„Wurde mein Account serverseitig eingeschränkt?“
Phase 2: Analyse & Bereinigung – Forensik am digitalen Tatort
Jetzt beginnt der eigentliche Frühjahrsputz. Diese Phase erfordert Geduld und extreme Gründlichkeit. Ein übersehenes Backdoor (Hintertür) bedeutet, dass der Albtraum von vorne beginnt.
Grundregel: Das infizierte Backup als Beweismittel
Bevor du eine einzige Datei löschst, sichere den Tatort. Erstelle ein vollständiges Backup des aktuellen, infizierten Zustands (Dateien per FTP, Datenbank per phpMyAdmin). Dieses Backup dient als forensische Sicherung, falls du später nachvollziehen musst, wie der Angriff stattfand.
Die große Säuberung: Eine Schritt-für-Schritt-Checkliste
Der sicherste Ansatz ist, infizierte Dateien nicht zu „reparieren“, sondern sie radikal durch saubere Originale zu ersetzen.
WordPress-Kern austauschen (Radikalkur)
Lösche die Verzeichnisse /wp-admin/ und /wp-includes/ vollständig von deinem Webspace.
Lade die neueste Version von WordPress von wordpress.org herunter.
Lade die neuen, sauberen Ordner /wp-admin/ und /wp-includes/ per FTP auf deinen Server hoch.
Plugins und Themes radikal erneuern
Lösche alle Ordner innerhalb von /wp-content/plugins/ und /wp-content/themes/.
Notiere dir, welche Plugins und welches Theme du genutzt hast.
Installiere sie später direkt aus dem offiziellen WordPress-Verzeichnis oder von der Website des Original-Anbieters neu.
wp-config.php und .htaccess desinfizieren
.htaccess: Lösche die Datei. Logge dich danach in WordPress ein und speichere unter „Einstellungen“ > „Permalinks“ deine Permalink-Struktur neu. WordPress generiert dann eine neue, saubere .htaccess-Datei.
wp-config.php: Vergleiche die Datei Zeile für Zeile mit der wp-config-sample.php aus einem frischen WordPress-Download. Suche nach allem, was verdächtig aussieht (insbesondere eval(), base64_decode()).
Das /wp-content/uploads-Verzeichnis durchkämmen
Durchsuche alle Unterordner systematisch.
Lösche rigoros jede Datei, die keine Mediendatei ist. Suche gezielt nach Dateien mit den Endungen .php, .phtml, .php5, .js und lösche diese.
Die Datenbank forensisch untersuchen (mit phpMyAdmin)
wp_users Tabelle prüfen: Gibt es einen Administrator, den du nicht kennst? Lösche ihn sofort.
wp_options Tabelle prüfen: Suche nach den Einträgen siteurl und home. Steht dort eine fremde URL? Korrigiere sie auf deine korrekte Domain.
wp_posts Tabelle nach Schadcode durchsuchen: Suche in der Spalte post_content nach <script>. Entferne schädliches JavaScript manuell oder mit einer SQL-Abfrage (Vorsicht, Backup machen!).
Die Alternative: Professionelle Hilfe in Anspruch nehmen
Wenn du dich unsicher fühlst, ist es oft die klügere Entscheidung, einen Profi zu engagieren (z.B. Sucuri, Wordfence, oder deutsche Anbieter). Die Kosten (ca. 200-500 Euro) sind oft geringer als der Schaden durch eine unvollständig gesäuberte Seite.
Phase 3: Absicherung & Prävention – Eine Festung für die Zukunft bauen
Nachdem deine Seite sauber ist, beginnt die wichtigste Phase: die Absicherung. Betrachte den Vorfall als Chance, deine Sicherheitsstandards auf ein neues Level zu heben.
WordPress Hardening: Die 10 Gebote der Sicherheit
Ein umfassendes Sicherheits-Plugin installieren (Pflicht!): Installiere Wordfence, Sucuri Security oder Solid Security und konfiguriere die Firewall (WAF) und den Malware-Scanner.
Zwei-Faktor-Authentifizierung (2FA) aktivieren: Aktiviere 2FA für alle Admin-Konten. Dies ist die effektivste Maßnahme gegen Brute-Force-Angriffe.
Eine rigorose Update-Disziplin etablieren: Halte WordPress-Kern, Plugins und Themes immer auf dem neuesten Stand.
Das Prinzip der minimalen Rechtevergabe anwenden: Vergeben nur die Benutzerrollen, die für die jeweilige Aufgabe zwingend notwendig sind.
Starke Passwörter für alle Benutzer erzwingen: Nutze ein Plugin, um dies zur Pflicht zu machen.
Die WordPress-Login-URL verschleiern: Ändere die Standard-URL (/wp-login.php) mit einem Sicherheits-Plugin, um Bots auszusperren.
XML-RPC deaktivieren: Wenn du es nicht brauchst (z.B. für Jetpack), deaktiviere es mit diesem Code in deiner .htaccess-Datei: <Files xmlrpc.php> order deny,allow deny from all </Files> Dies sollte man wirklich nur tun, wenn keine Content-Syndication oder eine Contentverwaltung mit Apps oder Tools wie Jetpack beabsichtigt ist.
Den Datei-Editor im Backend deaktivieren: Füge diese Zeile in deine wp-config.php ein, um Angreifern eine Waffe aus der Hand zu nehmen: define('DISALLOW_FILE_EDIT', true);
PHP-Ausführung in kritischen Ordnern unterbinden: Erstelle eine .htaccess-Datei im Ordner /wp-content/uploads/ mit folgendem Inhalt, um Backdoors zu blockieren: <Files *.php> deny from all </Files>
Die Rolle deines Hostings: Eine geteilte Verantwortung mit goneo
Sicherheit ist Teamarbeit zwischen dir und goneo.
Was goneo für deine Sicherheit tut: Wir sorgen für eine sichere Server-Infrastruktur in Deutschland, warten die Hardware und das Betriebssystem und schützen die Netzwerkanbindung.
Was du bei goneo für deine Sicherheit tun kannst:
PHP-Version aktuell halten: Nutze im Kundencenter immer eine aktuelle, aktiv unterstützte PHP-Version (z.B. PHP 8.4).
Backups ergänzen: Nutze die goneo-Backups als letzte Rettung, aber richte zusätzlich eigene, externe Backups ein (z.B. mit „UpdraftPlus“).
SSL-Zertifikate konsequent nutzen: Aktiviere SSL für alle deine Domains.
Nach dem Hack: Reputation wiederherstellen und Vertrauen zurückgewinnen
Die technische Bereinigung ist nur die halbe Miete. Jetzt musst du deinen guten Ruf wiederherstellen.
Kommunikation ist alles: Transparenz schafft Vertrauen
Sei schnell, ehrlich und proaktiv. Ein Verschweigen des Vorfalls ist fast immer die schlechtere Strategie. Informiere deine Nutzer über den Vorfall, die ergriffenen Maßnahmen und gib klare Handlungsanweisungen (z.B. Passwort ändern).
Raus aus der Schmuddelecke: Google Blacklist & Co. entfernen
Wenn Google deine Seite als gehackt einstuft, nutze die Google Search Console (GSC), um das Problem zu lösen.
Diagnose: Prüfe den Bericht unter „Sicherheitsprobleme“.
Bereinigung: Führe zuerst die komplette Bereinigung gemäß Phase 2 durch.
Überprüfung beantragen: Klicke in der GSC auf „Überprüfung beantragen“ und beschreibe konkret, welche Schritte du unternommen hast.
Geduld haben: Die Überprüfung kann einige Stunden bis Tage dauern.
Fazit: Sicherer als je zuvor
Ein WordPress-Hack ist ein Schock, aber er ist kein Weltuntergang. Er ist ein erzwungener, aber wertvoller Lernprozess. Wenn du diesem Notfallplan gefolgt bist, hast du nicht nur die Kontrolle zurückerlangt, sondern auch einen tiefen Einblick in die Sicherheitsarchitektur deiner Website gewonnen.
Die Krise wurde zur Chance: Deine Website ist jetzt, nach der gründlichen Bereinigung und dem konsequenten Hardening, mit großer Wahrscheinlichkeit sicherer und widerstandsfähiger als sie es je zuvor war. Du hast nicht nur ein Problem gelöst, du bist zu einem sichereren und kompetenteren Website-Betreiber geworden. Und denk daran: Als goneo-Kunde stehst du bei den grundlegenden serverseitigen Fragen nicht allein da.
WordPress gehackt? Ihr Notfallplan als Infografik | goneo
WordPress gehackt?
Ihr visueller Notfall- und Präventionsleitfaden von goneo
Die kalte Realität: WordPress im Fadenkreuz
WordPress ist mit über 43% Marktanteil das beliebteste CMS der Welt. Diese Dominanz macht es zum Hauptziel für Cyberkriminelle. Panik ist jedoch der falsche Ratgeber. Mit einem systematischen Plan gewinnen Sie die Kontrolle zurück und machen Ihre Seite sicherer als je zuvor.
Das Plugin- & Theme-Dilemma
Über 95% aller Angriffe erfolgen nicht über den WordPress-Kern, sondern über Schwachstellen in Plugins und Themes von Drittanbietern. Jede Erweiterung ist eine potenzielle Tür für Angreifer.
Die wirtschaftlichen Folgen
43%
aller Cyberangriffe richten sich gegen kleine und mittlere Unternehmen (KMU).
60%
der betroffenen KMU stellen nach einem schweren Hack den Betrieb innerhalb von 6 Monaten ein.
Ihr 3-Phasen-Notfallplan
Keine Panik! Gehen Sie systematisch vor. Dieser Plan führt Sie aus der Krise und hilft Ihnen, die Kontrolle schnell wiederzuerlangen.
1Phase: Sofortmaßnahmen
Den Schaden sofort begrenzen und die digitale Tür verschließen.
①Seite isolieren: Aktivieren Sie sofort den Wartungsmodus, um Besucher zu schützen und Malware-Aktivitäten zu stoppen.
②Passwörter ändern: Setzen Sie ALLE Passwörter zurück (WordPress, FTP, Datenbank, goneo-Kundencenter).
③Hoster informieren: Kontaktieren Sie den goneo-Support. Wir können Server-Logfiles prüfen und helfen, den Angriffspunkt zu finden.
2Phase: Analyse & Bereinigung
Detektivarbeit am digitalen Tatort. Seien Sie extrem gründlich!
①Infiziertes Backup erstellen: Sichern Sie den aktuellen Zustand als forensisches Beweismittel.
②WordPress-Kern ersetzen: Löschen Sie `wp-admin` & `wp-includes` und laden Sie sie frisch von wordpress.org hoch.
③Plugins/Themes löschen: Entfernen Sie alle Plugins & Themes und installieren Sie sie sauber neu.
④Dateien & DB prüfen: Kontrollieren Sie `.htaccess`, `wp-config.php`, den `uploads`-Ordner und die Datenbank (`wp_users`, `wp_options`) auf Schadcode.
3Phase: Absicherung & Prävention
Verwandeln Sie Ihre Seite in eine Festung für die Zukunft.
①Sicherheits-Plugin installieren: Eine Firewall (WAF) und Malware-Scanner (z.B. Wordfence) sind ab jetzt Pflicht.
②2-Faktor-Auth (2FA) aktivieren: Sichern Sie alle Admin-Logins zusätzlich ab.
③Updates durchführen: Halten Sie WordPress, Plugins & Themes immer aktuell.
④WordPress „härten“: Minimale Rechte, Login-URL verschleiern, XML-RPC deaktivieren etc.
Der Notfallprozess im Überblick
Vom Schockmoment zur sicheren Website: Folgen Sie diesem Flussdiagramm.
🚨
Hack entdeckt
Umleitungen, Spam, Warnungen
→
Isolieren
Seite isolieren
Wartungsmodus aktivieren
→
🔑
Passwörter ändern
WP, FTP, DB, goneo
→
🧹
Bereinigen
Core, Plugins, DB säubern
→
🛡️
Absichern
Hardening & Prävention
Prävention: Die 10 Gebote der WordPress-Sicherheit
Nach der Bereinigung ist vor dem Schutz. Implementieren Sie diese Maßnahmen, um sicher zu bleiben.
🛡️
Sicherheits-Plugin
Installieren Sie eine Web Application Firewall (WAF) und einen Malware-Scanner.
📱
Zwei-Faktor-Auth (2FA)
Aktivieren Sie 2FA für alle Administratoren. Ein Passwort allein reicht nicht.
🔄
Regelmäßige Updates
Halten Sie Core, Plugins und Themes immer auf dem neuesten Stand.
👥
Minimale Rechte
Vergeben Sie nur die Benutzerrollen, die wirklich notwendig sind.
🤫
Login-URL verschleiern
Ändern Sie die Standard-Login-URL, um Bot-Angriffe zu erschweren.
🔌
XML-RPC deaktivieren
Schalten Sie diese oft ungenutzte, aber häufig angegriffene Schnittstelle ab.
✍️
Datei-Editor sperren
Deaktivieren Sie den Plugin- und Theme-Editor im Backend.
🧂
Sicherheitsschlüssel erneuern
Generieren Sie neue „Salts“ in der `wp-config.php`.
📁
PHP-Ausführung blockieren
Verhindern Sie das Ausführen von Skripten im `uploads`-Ordner.
💾
Regelmäßige Backups
Nutzen Sie die goneo-Backups und erstellen Sie eigene, externe Sicherungen.
Sicherheit: Eine geteilte Verantwortung
Sicherheit ist Teamarbeit. Hier sehen Sie, wofür goneo sorgt und wo Ihre Verantwortung als Website-Betreiber liegt.
Ihre Verantwortung (Anwendungssicherheit)
WordPress, Plugins & Themes aktuell halten
Sichere Passwörter verwenden & 2FA nutzen
Sicherheits-Plugin installieren und konfigurieren
WordPress-Installation „härten“
Regelmäßige eigene Backups erstellen
PHP-Version im Kundencenter aktuell halten
goneo’s Verantwortung (Serversicherheit)
Sichere Rechenzentrumsinfrastruktur in Deutschland
Wartung der Server-Hardware und des Betriebssystems
Das WordCamp Europe 2025 war weit mehr als eine Technologie-Konferenz – es war ein internationales Gipfeltreffen der Ideen, Perspektiven und Visionen, bei dem sich über 2.000 Teilnehmende aus 84 Ländern versammelt haben.
Die Atmosphäre war elektrisierend, geprägt von Begegnungen, weit über technische Detailfragen hinaus. Es ging um die Sinnhaftigkeit und die Reife der globalen WordPress-Community.
Für uns im Productmanagement von goneo ist der Blick auf die strategische Entwicklung der WordPress-Landschaft ebenso relevant wie die konkreten Anwendungsfälle, mit denen du und andere Kundinnen und Kunden tagtäglich arbeiten.
Unser Ziel ist es, nicht nur Infrastruktur bereitzustellen, sondern vor allem den Dialog mit dir zu suchen. Darum möchten wir dir hier die wichtigsten Eindrücke, Geschichten und Erkenntnisse der Konferenz weitergeben – und wir sind gespannt: Wie nutzt du WordPress? Mit welchen Herausforderungen hast du zu tun? Was wünschst du dir für die Zukunft?
WordPress – Von der Publishing-Plattform zur globalen Infrastruktur mit Sinn
Reifeprozesse auf allen Ebenen
Das WordCamp Europe 2025 stand unter einem überlagernden Leitmotiv: Maturity and Purpose – Reife und Sinnhaftigkeit (offizielle Website).
Heute ist WordPress weit mehr als ein bloßes Content Management System. Die zentrale Erkenntnis aller Vorträge: WordPress ist als technologische Grundlage und gesellschaftliches Instrument zu einer kritischen Infrastruktur für Regierungen, Unternehmen, NGOs und die Zivilgesellschaft gereift. Wie wir gehört haben, migriert das europäische Kernforschungszentrum CERNgerade von Drupal auf WordPress.
Es gibt drei Bereiche, in denen diese Reife besonders deutlich wird:
Technologische Reife: Hochgradig skalierbare, sichere und performante Lösungen entstehen immer häufiger für Enterprise-Kunden wie Banken oder internationale Medienhäuser.
Prozessuale Reife: Die WordPress-Entwicklung professionalisiert sich weiter – mit immer besseren Tools, Routinen und klaren Strukturen.
Community-Reife: Die Reflexion über Zweck und Wirkung der Open-Source-Software steht heute stärker im Fokus, auch und gerade über kommerzielle Interessen hinaus.
1. WordPress als Werkzeug mit globaler Verantwortung
Die globale Bedeutung von WordPress wurde auf dem WordCamp durch verschiedene Keynotes besonders eindrucksvoll erlebbar.
WordPress ohne Grenzen: Hoffnung in der Krise
Noel Tock, ein Vertreter von Humanmade, zeigte in seinem Vortrag „WordPress without Borders“, wie sich WordPress in Krisengebieten bewährt. Während proprietäre Plattformen wie „Buy Me a Coffee“ oder Patreon ukrainische Organisationen zeitweise ausschlossen, wurden Projekte wie East SOS oder Superhumans durch WordPress erst handlungsfähig. Open Source zeigte sich damit einmal mehr als zensurresistente, demokratische Infrastruktur – besonders in kritischen Zeiten eine unverzichtbare Ressource.
Infrastruktur der Hoffnung
Petya Raykovska zeigte anhand zahlreicher Projekte in Bulgarien, wie WordPress das Rückgrat der Zivilgesellschaft bildet: Die Association of European Journalists kämpft gegen Desinformation, der Anti-Corruption Fund deckt Korruption auf, der Bulgarian Fund for Women stärkt zivilen Diskurs und Gleichstellung. Hier ist WordPress nicht bloß Werkzeug, sondern eine „Infrastruktur der Hoffnung“ – ein Gedanke, der uns sehr beeindruckt hat.
Nachhaltigkeit: Verantwortung auch für das Klima
Charlotte Bax fügte mit ihrem Vortrag zum Thema Nachhaltigkeit eine weitere Dimension der Verantwortung hinzu. Wusstest Du, dass die IKT-Branche bereits rund 10 % des weltweiten Energieverbrauchs ausmacht? Mit praxisnahen Tools und Empfehlungen zeigte Charlotte, wie schon kleine Optimierungen – etwa beim Bildermanagement oder durch gezieltes Refactoring – den CO2-Fußabdruck einer Website deutlich reduzieren können.
2. Professionalisierung: Entwicklung, Automatisierung und Qualitätssicherung
Auch effiziente Arbeitsprozesse, Qualitätsmanagement und Automatisierung waren zentrale Themen.
Content-First und Design-Systeme
Ash Shaw betonte die Bedeutung eines „Content-First“-Ansatzes. Von Anfang an sollten Design und Entwicklung auf klar festgelegten Grundlagen (Tokens, Komponenten) basieren. So wird die Qualität des Endprodukts direkt gesteigert und vermeidbare Reibungsverluste werden reduziert.
QA ist Teamsache – und mehr!
Miriam Roskind von Elementor erklärte, dass Qualitätssicherung nicht mehr nur eine Aufgabe einzelner ist: Das ganze Team trägt die Verantwortung. Ihr Vergleich aus dem Privatleben zeigte das mit einem Augenzwinkern: Sie organisiert jedes Familienessen mit mehreren Excel-Reitern und stattet sogar die Hausarbeiten der Kinder mit Checklisten aus – QA kann eben auch das Familienleben bereichern.
Automatisierung und KI für mehr Sorglosigkeit
Marcel Tannnich begeisterte mit neuen Visionen zur Automatisierung: Bald sollen WP-CLI und ausgeklügelte KI-Agenten WordPress-Instanzen vollautomatisch aufsetzen, Inhalte pflegen und sogar Fehler selbstständig beheben. Manuelle, fehleranfällige Arbeit könnte damit erheblich weiter abnehmen – ein echter Innovationsschub, besonders für Agenturen und Betreiber komplexer Multi-Site-Systeme.
Block-Architektur neu gedacht
Robert O’Rourke stellte die Frage in den Raum, ob wirklich für jede neue Funktion ein eigener Custom Block notwendig ist. Seine Empfehlung: Bestehende Core-Blöcke geschickt kombinieren und mit Block Patterns und Filtern gezielt erweitern – das erhöht die Wartbarkeit und Flexibilität.
3. WordPress im Enterprise-Einsatz: Praxiserfahrungen großer Unternehmen
Zwei Fallstudien sorgten für Aufmerksamkeit und bewiesen, dass WordPress endgültig im Enterprise-Bereich angekommen ist.
Standard Chartered: Eine Bank setzt auf WordPress
Tom Wilmot und Jon Ang zeigten eindrucksvoll, wie der Bankenriese Standard Chartered heute über 150 Websites in 60 Ländern mit WordPress steuert. Das CMS besteht hier den höchsten Ansprüchen an Governance, Sicherheit und internationale Skalierbarkeit – ein überzeugender Beweis für Open Source auf Top-Niveau.
Agiler internationaler Journalismus: Swissinfo.ch
Ronny Marx und Isabelle Schrills berichteten vom internationalen Relaunch der Plattform swissinfo.ch für zehn Sprachen. Mit einer Architektur aus WordPress VIP, AWS und Multisite lassen sich neue Features und Anpassungen jetzt viel schneller umsetzen. Der Wechsel war nicht nur technisch, sondern ein echter Mindset-Shift hin zu mehr Agilität und Innovationsfreude.
4. Technologische Innovation für das Web von morgen
Der Blick in die Core- und Webtechnologien zeigte viele spannende Neuerungen und Perspektiven.
Moderne Web-APIs im Einsatz
Adam Silverstein von Google stellte eine ganze Reihe moderner Web-APIs vor. Dazu zählen die Popover API, CSS Carousels als leichtgewichtiger Ersatz für JavaScript-Lösungen, Speculative Loading für noch schnellere Navigation und die View Transitions API für sanfte Animationen. KI- und WebAssembly-Lösungen laufen künftig sogar direkt im Browser – ein Vorgeschmack auf die nächsten großen Entwicklungssprünge.
Entscheidungsfindung im Core-Team
Jonathan Desrosiers ermöglichte einen bemerkenswert offenen Einblick in die Entscheidungsprozesse rund um den WordPress Core. Konsens, Transparenz, nachvollziehbare Argumente, die 80/20-Regel und ein ständiges Gleichgewicht aus Risiko und Chance bestimmen jedes neue Release. Besonders beeindruckend: Die Abwärtskompatibilität ist fast schon ein „heiliger Pakt“ zwischen Entwickler*innen und Usern – und hat das weltweite Wachstum von WordPress überhaupt erst möglich gemacht.
Nebenbei verriet Jonathan Desrosiers, dass Core-Entwickler sich oft fragen: „Wird mein Code wordpress.org brechen?“ Wer es sogar schafft, Matt Mullenwegs eigene Seite zu „breaken“, bekommt ein heimliches Ehrenabzeichen.
Unterschiedliche Generationen und Charaktere als Herausforderung
Aleksandra Lemańska ist Kommunikationsexpertin und sprach über Transformation in der Führung in Tech-Umfeldern. Sie berichtete, wie ein junger „Rebell“ ihre Arbeitsanweisung schulterzuckend ablehnte: „Alex, I don’t like a task like that.“ – Ehrliche, direkte Kommunikation, die auch Führungspersönlichkeiten herausfordert. Aleksandra sieht Kommunikation als Prozess und wollte dem Publikum nahebringen, wie typgerechte Ansprache an Teammitglieder das gemeinsame Arbeiten effizienter macht.
Der „Fireside Chat“ mit Mary Hubbard und Matt Mullenweg
Die Abschlussrunde bestand zum einen Teil aus einem Zwiegespräch im Interviewmodus zwischen Mary Hubbard, ihres Zeichens WordPress Executive Director bei WordPress und Matt Mullenweg, Mitbegründer von WordPress, oberster Entwicklungschef und CEO von Automattic Inc., die wordpress.com betreibt und wichtige Plugins wie Jetpack und WooCommerce bereitsstellt. Der andere Teil war eine Frage-Antwort-Runde mit dem Publikum.
Mary Hubbard, Executive Director bei WordPress und Matt Mullenweg, Mitbegründer von WordPress beim Fireside Chat zum Abschluss der WCEU 2025 in Basel.
Der WordPress-Mitbegründer scherzte anfangs, sein Zeigefinger sei durch das ständig nötige Akzeptieren von Cookie-Bannern in Europa schon richtig kräftig geworden. Als er das autonome Auto „Cruise“ mit einem Fahranfänger verglich, wurde klar: Digitalisierung braucht Humor und Geduld!
Künstliche Intelligenz ist zentral für die Zukunft von WordPress
Auch das wurde in der Abschlussrunde wieder deutlich. KI soll tief in das Projekt integriert werden, um die Sicherheit (z. B. durch Plugin-Scans), die Entwicklerproduktivität und die Inhaltserstellung zu verbessern und neue Schnittstellen wie Chat-Interfaces zu ermöglichen.
Der Fokus bei Beiträgen zum Projekt (Five for the Future) soll sich von Input zu Output verlagern
Statt nur die investierte Zeit zu messen, sollen zukünftig die konkreten Ergebnisse und der tatsächliche Einfluss der Beiträge transparenter gemacht werden, beispielsweise durch Statistiken auf Profilen.
Die Zukunft des Projekts hängt von der Gewinnung junger Talente durch Bildungsprogramme ab
Initiativen wie „WordPress Campus Connect“ und eine neue Partnerschaft mit der Universität von Pisa, bei der Studenten für Beiträge zum Projekt Studienleistungen erhalten, sind entscheidend, um neue Generationen für die Community zu gewinnen.
Die Entwicklungsgeschwindigkeit müsse erhöht und der Fokus stärker auf das Schreiben von Code gelegt werden
Ein Teilnehmer aus dem Publikum rief bei der Abschlussrunde: „Let’s make WordPress sexy again!“ – und sorgte damit für herzhaftes Lachen und viele, die dieser Mission zustimmten. Es sei geplant, hieß es von der Bühne, noch 2025 die Version 6.9 zu veröffentlichen und einen klaren Weg zu Version 7.0 zu definieren, um WordPress „sexy“ zu halten und wettbewerbsfähig zu bleiben.
Das zentralisierte Plugin-Verzeichnis von WordPress.org wird als entscheidender Vorteil für Sicherheit und Vertrauen gesehen
Ein föderierter Plugin-Katalog wie das „Project FAIR“ unter der Flagge der Linux Foundation wird eher kritisch betrachtet, da es Risiken für die Lieferkettensicherheit bergen und wichtige Funktionen wie Statistiken und gestaffelte Rollouts erschweren würde. Eine Teilnehmerin fragte nach Möglichkeiten einer Kooperation.
Im Wettbewerb mit SaaS-Lösungen wie Shopify will WordPress auf die Stärken von Open Source, insbesondere auf Datenportabilität setzen
Neben der Weiterentwicklung von WooCommerce sollen vor allem leistungsfähige Import-Tools für andere Plattformen geschaffen werden, um Nutzern den Wechsel zu WordPress so einfach wie möglich zu machen.
Eine eigene Rechtsform für WordPress in der EU wird derzeit als nicht vorteilhaft erachtet
Statt auf eine eigene Firmierung oder Gründung einer Organisation setzt man auf Partnerschaften mit bestehenden EU-Organisationen und Hosting-Unternehmen, um auf regulatorische Themen zu reagieren, da der administrative Aufwand für eine eigene Entität zu hoch wäre.
Nachhaltigkeit soll als Querschnittsthema in allen Teams verankert statt in einem isolierten Team behandelt werden
Ökologische Nachhaltigkeit ist wichtig, soll aber praktisch in die Arbeit aller Bereiche, wie z. B. die Organisation von WordCamps, einfließen. Diese Aussage war die Reaktion auf eine Publikumsfrage.
Das Management einer Open-Source-Community unterscheidet sich fundamental von der Führung eines Unternehmens
Es basiert auf Konsens und der intrinsischen Motivation der Beitragenden, da Verantwortlichkeit nicht von oben herab durchgesetzt werden könne. Ein Student, der am CERN arbeitet, fragte nach den Unterschieden.
Die technische Infrastruktur für die Community selbst (z. B. für Meetups und WordCamps) muss modernisiert werden
Es gibt einen klaren Bedarf, veraltete oder externe Werkzeuge (meetup.com ist vor einiger Zeit verkauft worden) durch aktiv gepflegte Open-Source-Lösungen zu ersetzen, die von der Community selbst weiterentwickelt werden können.
WordPress zeigt globale Reife und Verantwortung
Das WordCamp Europe 2025 hat gezeigt, wie sehr WordPress heute professionalisiert, diversifiziert und seiner wachsenden Verantwortung gerecht wird. Für NGOs in Krisengebieten ebenso wie für Banken, Medienhäuser und Millionen Entwickler und Entwicklerinnen wie dich ist WordPress Werkzeug und Hoffnungsträger zugleich, um die digitale Welt aktiv, verantwortungsvoll und kreativ mitzugestalten.
WordPress ist heute viel mehr als ein Blogsystem. Mit seiner Offenheit, Innovationskraft und Flexibilität erzeugt die Plattform echten gesellschaftlichen, ökologischen und wirtschaftlichen Impact. Die gezeigten Visionen, Praxisbeispiele und Anekdoten machen Mut zum Weitermachen – mit allen, die an die offene, demokratische Idee „Publishing für alle“ glauben. Das war der Geist des WordCamp Europe 2025.
Deine Perspektive ist uns wichtig! Wie erlebst du WordPress? Wo entdeckst du Chancen oder Hürden – vielleicht beim Thema Nachhaltigkeit, „sexy User Experience“, Automatisierung oder Enterprise-Sicherheit? Welche Wünsche und Visionen hast du für die nächsten WordCamps?
Wir freuen uns auf deine Gedanken und auf einen regen Austausch – denn gemeinsam gestalten wir WordPress und das Internet stetig besser.
