Ab dem 11. Dezember 2027 gilt der EU Cyber Resilience Act vollumfänglich. Doch eine Frist greift schon Mitte 2026: Plugin-Hersteller müssen ihre Schwachstellen-Behandlung melden, Sicherheitslücken aktiv kommunizieren und ein dokumentiertes Vulnerability-Disclosure-Programm vorweisen.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Das Patchstack-Whitepaper 2026 fordert deshalb verbindliche VDP-Programme für jedes kommerzielle WordPress-Plugin, das in der EU vertrieben wird. Für Site-Betreiber im DACH-Mittelstand stellt sich damit eine konkrete Frage: Erfüllen die rund 30 Plugins auf der eigenen Website diese Anforderungen überhaupt – und was passiert mit den Sites, deren Vendoren das nicht hinbekommen?
Sie betreiben eine WordPress-Site mit gewachsenem Plugin-Park, der über Jahre entstanden ist. Manche Plugins haben aktive Entwickler, manche sind in einem Hobby-Modus, einige haben den Eigentümer gewechselt. Bisher war das eine Komfort-Frage. Ab Mitte 2026 wird daraus eine Compliance-Frage.
- Der EU Cyber Resilience Act (CRA) verlangt ab Mitte 2026 die Meldung aktiver Schwachstellen, ab Dezember 2027 die vollständige Compliance.
- Patchstack zählt im Schnitt rund 22 neue WordPress-Schwachstellen pro Tag, das sind über 8.000 pro Jahr.
- Kommerzielle Plugins ohne dokumentiertes VDP-Programm dürfen ab Dezember 2027 nicht mehr in der EU vertrieben werden.
- Verstöße gegen die CRA können mit bis zu 15 Millionen Euro oder 2,5 Prozent des Jahresumsatzes geahndet werden.
- Site-Betreiber bleiben unter NIS2 weiter selbst verantwortlich für die Plugin-Auswahl und das Patch-Management.
Was schreibt die CRA Plugin-Herstellern vor?
Die EU Cyber Resilience Act Verordnung definiert digitale Produkte mit „digitalen Elementen“ und nimmt darunter explizit Software auf, die in der EU vertrieben oder über digitale Plattformen verteilt wird. WordPress-Plugins fallen unter diese Definition. Damit gelten für jeden Plugin-Anbieter mit EU-Kunden mehrere Pflichten.
Erstens müssen Hersteller ein dokumentiertes Vulnerability-Disclosure-Programm betreiben. Eine offene Kontaktadresse für Sicherheitsforscher reicht nicht. Verlangt wird ein dokumentierter Prozess, in dem Meldungen erfasst, bewertet, eskaliert und veröffentlicht werden.
Zweitens müssen aktive Sicherheitslücken innerhalb von 24 Stunden an ENISA gemeldet werden, sobald sie ausgenutzt werden. Drittens müssen Updates für Schwachstellen mindestens fünf Jahre nach Marktbringung verfügbar sein.
Patchstack-CEO Oliver Sild hat in seinem aktuellen Whitepaper offen formuliert, was Branchenkenner ohnehin annehmen. Die meisten kommerziellen WordPress-Plugins erfüllen heute keine dieser drei Anforderungen vollständig. Patchstack rechnet damit, dass eine relevante Zahl von Plugin-Vendoren bis Ende 2026 entweder Vorgaben übernimmt oder das EU-Geschäft einstellt.
Warum ist das für Mittelstandskunden im DACH-Raum konkret?
Wer im DACH-Raum eine WordPress-Site betreibt, ist gleichzeitig an zwei Stellen reguliert. Auf der einen Seite stehen die NIS2-Pflichten, die für 29.500 Einrichtungen in Deutschland gelten und seit Mai 2026 in der operativen Prüfphase sind. Auf der anderen Seite steht die CRA, die direkt an den Plugin-Vendoren ansetzt. Aus Sicht des Site-Betreibers entstehen drei konkrete Risiken.
Erstens werden Plugins von Vendoren, die sich der CRA entziehen, ab Dezember 2027 aus dem WordPress-Plugin-Verzeichnis und kommerziellen Marktplätzen verschwinden.
Wer heute auf solche Plugins gesetzt hat, steht vor einem Migrationsproblem. Zweitens wächst die Wahrscheinlichkeit, dass Plugin-Vendoren ihre Preise erhöhen, um die Compliance-Kosten zu refinanzieren. Drittens werden Versicherungen und NIS2-Auditoren konkret nachfragen, welche Plugins im Einsatz sind und welche VDP-Programme sie betreiben.
Die CRA ist für Plugin-Hersteller das, was die DSGVO für Webseitenbetreiber war. Wer das jetzt verschläft, hat in zwölf Monaten keinen Markt mehr in Europa. Site-Betreiber sollten den Plugin-Park noch dieses Jahr durchgehen und Vendoren ohne VDP austauschen, bevor die Hosts und Versicherungen das tun.
— Michael Dobler, Herausgeber Dr. Web
Was sollten Site-Betreiber jetzt prüfen?
Drei konkrete Schritte sind in den kommenden vier Wochen sinnvoll. Zuerst ein Plugin-Inventar erstellen: Welche Plugins laufen auf den eigenen Sites, in welchen Versionen, mit welcher Lizenz, mit welchem Vendor? Eine simple CSV-Datei mit Plugin, Version, Vendor, letzter Update-Termin und VDP-Link genügt für den Start.
Dann den Vendor-Check: Hat der Plugin-Hersteller eine Security-Seite mit klarem Kontakt für Sicherheitsforscher? Gibt es ein veröffentlichtes VDP-Dokument? Wird auf Patchstack oder Wordfence regelmäßig referenziert? Vendoren, die alle drei Antworten verneinen, sind Wackelkandidaten und sollten innerhalb der nächsten zwölf Monate ersetzt werden.
Drittens das Hosting-Update: Hosting-Anbieter mit virtuellem Patching schließen die Lücke zwischen einer veröffentlichten Schwachstelle und dem Plugin-Update. Anbieter wie Patchstack, Wordfence oder integrierte Lösungen großer DACH-Hoster reduzieren das Zeitfenster, in dem Sites verwundbar bleiben, deutlich. Wer sich für einen neuen Hoster entscheidet, findet im WordPress Hosting Vergleich 2026 eine aktuelle Übersicht über Anbieter mit integrierten Sicherheitsdiensten.
Mehr aus dem WordPress- und Cybersecurity-Cluster
Der WordPress-Plugin-Markt erlebt gerade einen Konsolidierungsschub. Unser Bericht über den Smart-Slider-3-Lieferketten-Angriff zeigt, wie schnell ein einzelner Vendor 800.000 Sites infizieren kann. Der Drupal-Notfall-Patch vom 20. Mai erinnert daran, dass nicht nur WordPress betroffen ist. Und unsere Analyse zur Authenticator-Lücke zeigt, wie unklar die Angriffspfade in modernen Stacks geworden sind.
Wer die Compliance-Seite vertiefen will, findet im DrWeb-Bestand drei Anker. Unsere Recherche zu den verschobenen EU-KI-Fristen ordnet die parallele AI-Act-Lage ein. Der Beitrag zum Bitkom-KI-Report 2026 zeigt, wie tief KI bereits in die Plugin-Welt vorgedrungen ist. Und der WordPress Hosting Vergleich 2026 ist die Service-Referenz, wenn die eigene Hosting-Entscheidung an die neue Lage angepasst werden soll.
Was wir konkret empfehlen
Site-Betreiber sollten die CRA nicht als ferne Bedrohung 2027 verstehen, sondern als operative Frage für das vierte Quartal 2026. Der Plugin-Park gehört aufgeräumt. Vendoren ohne VDP-Programm sollten markiert und ersetzt werden, sobald geeignete Alternativen verfügbar sind. Und das Hosting-Konzept braucht eine zusätzliche Schutzschicht, die virtuelles Patching bietet. Wer das jetzt sauber durchzieht, geht 2027 entspannt in die Audits.
