Ist Astro sicherer als WordPress?

Astro-Seiten haben eine kleinere Angriffsflaeche als WordPress - kein PHP, keine Datenbank live. Was das konkret bedeutet, erkläre ich hier.

Astro oder WordPress: Was ist sicherer?

Eine statische Astro-Website hat strukturell eine deutlich kleinere Angriffsflaeche als WordPress - weil kein PHP, keine Datenbank und keine Plugins live auf dem Server laufen. Das ist kein Marketing-Versprechen, das ist Architektur.

Aber fangen wir von vorne an.

Warum WordPress häufig gehackt wird

WordPress hat ungefähr 43 Prozent aller Webseiten weltweit. Das ist ein Haufen. Und dieser Haufen ist gleichzeitig das größte Angriffsziel für automatisierte Hacks im Web.

Nicht weil WordPress-Code so schlecht geschrieben wäre. Sondern weil die Rechnung für Angreifer aufgeht: Du schreibst einmal einen Bot, der bekannte Schwachstellen in verbreiteten Plugins ausprobiert, und du triffst damit statistisch sehr viele Seiten.

Was genau angegriffen wird, ist meistens das Gleiche:

Plugin-Schwachstellen. Jedes Plugin ist ein weiteres Stück Software, das du nicht geschrieben hast, das du nicht vollständig überblickst und das Bugs haben kann. Ein beliebt genutztes SEO-Plugin hatte 2023 eine Lücke, über die Angreifer beliebigen Code ausführen konnten - auf Millionen von Seiten gleichzeitig. Sowas passiert. Regelmäßig.

Veraltete Installationen. WordPress braucht ständige Updates - Core, Themes, Plugins. Wer das vernachlässigt, häuft Schulden auf. Irgendwann hat jemand Zeit, diese Schulden einzutreiben.

Der Admin-Login. Jede WordPress-Seite hat eine Login-Seite, meist unter /wp-admin. Automatisierte Brute-Force-Angriffe probieren dort tausende Passwörter durch - wochenlang, ohne Pause, ohne Müdigkeit. Die meisten WordPress-Installationen kommen aus der Box ohne Schutz dagegen.

PHP auf dem Server. WordPress ist eine serverseitige Anwendung. Das heißt: Jede Anfrage eines Besuchers trifft auf laufenden PHP-Code, der mit einer Datenbank redet. Eine Schwachstelle in dieser Schicht kann ausgenutzt werden, um Code auszuführen, Daten zu stehlen oder die Seite zu übernehmen.

Das ist keine Panikmache. Die meisten WordPress-Seiten werden nie gehackt. Aber die, die gehackt werden, wurden fast alle auf eine dieser Arten erwischt.

Warum Astro strukturell anders dasteht

Astro baut deine Seite beim Deploy in statisches HTML. Was auf dem Server liegt, sind HTML-, CSS- und JavaScript-Dateien - genau das, was der Browser braucht. Mehr nicht.

Das bedeutet:

Kein PHP läuft live. Es gibt keinen serverseitigen Code, den ein Angreifer ausführen könnte. Die Seite existiert als Datei, nicht als Anwendung.

Keine Datenbank im Auslieferungspfad. SQL-Injection ist eine der häufigsten Angriffsarten gegen Webanwendungen. Ohne Datenbank gibt es nichts, in das injiziert werden könnte.

Keine Plugin-Lieferkette. Was ich in Astro einbaue, ist mein Code. Ich sehe, was da ist. Es gibt keine automatisch installierten Plugins, keine versehentlich aktivierten Erweiterungen, keine undurchsichtige Abhängigkeitskette.

Kein Admin-Login auf der Live-Seite. Es gibt keinen /wp-admin-Eingang, den jemand brute-forcen könnte. Die Seite hat keinen Eingang. Sie ist eine Datei.

Was auf dem Server liegt, ist statisches HTML. Das kann ausgeliefert werden. Weiter nichts.

Ehrlich differenzieren: “Unhackbar” ist Unsinn

Ich wäre unehrlich, wenn ich hier aufhören würde.

Astro-Seiten sind nicht magisch sicher. Es gibt Dinge, die auch bei Astro zu sichern sind:

Formulare und APIs. Wenn du ein Kontaktformular, einen Newsletter-Anmeldeservice oder irgendeine andere dynamische Funktion einbauen willst, passiert das über externe Dienste oder eigene Server-Endpunkte. Die müssen sauber gebaut sein. Ein schlecht konfigurierter API-Endpunkt ist eine Lücke - egal ob du Astro oder WordPress nutzt.

Drittanbieter-Dienste. Analytics, Chat-Widgets, eingebundene Videos - alles, was von einem externen Server nachgeladen wird, ist Code, der nicht von mir kommt. Ich kann nicht kontrollieren, was dieser Code tut.

DNS und Hosting-Account. Wer Zugang zu deinem Domain-Registrar oder deinem Hosting-Konto hat, kann deine Seite übernehmen - egal welches Framework. Starke Passwörter und Zwei-Faktor-Authentifizierung sind keine Astro-spezifische Empfehlung. Die gelten überall.

Der Unterschied ist: Bei einer statischen Astro-Seite fängt die Angriffsliste viel später an. Die ganzen WordPress-typischen Vektoren - Plugin-Lücken, Datenbankzugriff, PHP-Ausführung, Admin-Brute-Force - fallen schlicht weg, weil die technische Grundlage nicht da ist.

Was das im Alltag für dich bedeutet

Ich habe bisher noch keinen Kunden angerufen, weil seine Astro-Seite gehackt worden wäre.

Bei WordPress-Seiten ist das anders. Die nervöseste Zusammenfassung, die ich von einem Kunden gehört habe: “Ich habe morgen einen wichtigen Kundentermin und die Seite zeigt Spam-Links auf Russisch.” Das war ein Montag, 7:30 Uhr morgens.

Was dann folgte, war die klassische Abfolge: Hosting-Provider kontaktieren, Schadcode suchen und entfernen, Passwörter rotieren, die Lücke identifizieren, Plugins updaten, auf Blacklists prüfen, eventuell Google informieren, dass die Seite sauber ist. Stunden. In einem schlechten Fall Tage.

Mit einer statischen Astro-Seite fällt dieser Notfall-Anruf weg. Nicht weil Astro so toll ist, sondern weil es nichts zu hacken gibt.

Weniger Wartungsdruck. Keine “Seite gehackt”-Anrufe. Und du kannst dich auf das konzentrieren, wofür du die Seite eigentlich hast.

Wann macht WordPress trotzdem Sinn?

Das habe ich im Artikel über Astro versus WordPress allgemein ausführlicher beschrieben - kurz gefasst: Wenn du ein komplexes CMS mit vielen Autoren, täglich wechselnde Inhalte ohne Build-Prozess oder einen ausgereiften Online-Shop brauchst, kann WordPress die pragmatischere Wahl sein.

Für die meisten Unternehmenswebseiten - Freelancer, kleine und mittelständische Unternehmen, Dienstleister - ist das Sicherheitsprofil einer statischen Astro-Seite allerdings ein starkes Argument.

Du willst wissen, ob deine aktuelle WordPress-Seite ein Risiko ist - oder ob ein Wechsel auf Astro für dein Projekt Sinn macht? Dann schau dir an, was ich im Bereich Astro-Webdesign anbiete, und schreib mir danach einfach kurz.

Mehr zum Thema: Wie schnell ist Astro wirklich? und DSGVO-Checkliste für Webseiten 2026.