Next.js statt WordPress: Die unhackbare Kanzlei-Webseite

Eine gehackte Kanzlei-Webseite ist nicht nur ein IT-Vorfall, sondern ein Compliance-Problem. Wer Mandatsgeheimnisse trägt, Finanzdaten verwaltet oder Familien durch Erbangelegenheiten begleitet, kann sich eine kompromittierte Domain nicht leisten. Und trotzdem läuft in diesem Segment auffällig viel auf WordPress, einer Plattform, die jeden Morgen mit neuen Plugin-Lücken aufwacht. Dieser Artikel erklärt, warum eine Next.js-Plattform auf Vercel das strukturell sicherere, schnellere und günstigere Fundament ist.

Das Problem im Detail

WordPress betreibt laut W3Techs rund 43 Prozent aller Webseiten weltweit und ist damit das mit Abstand beliebteste Ziel für automatisierte Angriffe. Der jährliche Vulnerability-Report von Patchstack dokumentiert allein für 2023 über 5.900 neue Sicherheitslücken im WordPress-Ökosystem, von denen über 97 Prozent nicht aus dem Core, sondern aus Plugins und Themes stammen. Sucuri, einer der größten Incident-Response-Anbieter für Content-Management-Systeme, ordnet seit Jahren mehr als 95 Prozent aller bereinigten Hacks WordPress-Installationen zu. Das liegt nicht daran, dass WordPress schlecht programmiert wäre, sondern daran, dass die Gesamtarchitektur aus Kern, Datenbank, PHP-Runtime, Theme-Code und einem Dutzend Plugins eine enorm große Angriffsfläche ergibt.

Für eine Kanzlei ist das mehr als ein technisches Detail. Nach Paragraf 43a BRAO besteht eine umfassende Verschwiegenheitspflicht, und Artikel 32 DSGVO verlangt ausdrücklich Maßnahmen „nach dem Stand der Technik“ zur Sicherung personenbezogener Daten. Wenn auf der Webseite ein Kontaktformular läuft, das über eine ungepatchte Plugin-Lücke Mandantendaten an einen Angreifer ausleitet, führt das direkt in eine meldepflichtige Datenpanne nach Artikel 33 DSGVO. Die Bußgeldpraxis der deutschen Datenschutzbehörden zeigt: Nicht nur der Vorfall selbst, sondern bereits das Fehlen angemessener technischer Maßnahmen ist sanktionsbewehrt.

Warum WordPress strukturell angreifbar ist

Eine klassische WordPress-Seite ist eine PHP-Anwendung mit einer permanent erreichbaren MySQL-Datenbank, einem öffentlich zugänglichen Admin-Backend unter /wp-admin und einer XML-RPC-Schnittstelle, die von Bots automatisiert durchprobiert wird. Hinzu kommen Plugins von oft wechselnden Autoren mit unterschiedlicher Code-Qualität. Jedes aktive Plugin ist eine eigene Komponente mit eigener Update-Pipeline, eigenen Schwachstellen und eigenen Datenbanktabellen. Ein einziges veraltetes Plugin genügt, um die gesamte Installation zu übernehmen. Eine typische Kanzlei-Installation, die wir in Audits sehen, kommt schnell auf zwanzig bis dreißig aktive Plugins: Formular-Builder, Cookie-Banner, SEO-Suite, Caching, Backup, Sicherheit, Page-Builder, Analytics-Bridge. Jedes dieser Plugins erweitert die Codebasis um mehrere zehntausend Zeilen, die von niemandem auf Ihrer Seite je gelesen, geschweige denn auditiert wurden.

Die häufigsten Angriffsvektoren sind seit Jahren dieselben: SQL-Injection und Cross-Site-Scripting über Plugin-Formularfelder, Remote-Code-Execution über unsichere Datei-Uploads, Brute-Force auf /wp-login.php, sowie Privilege-Escalation-Bugs, die einen Redakteur in einen Administrator verwandeln. Dazu kommen veraltete PHP-Versionen: Viele KMU-Hoster betreiben noch PHP 7.4 oder älter, obwohl diese Versionen seit Jahren keine Sicherheitsupdates mehr bekommen. Das Ergebnis ist eine Seite, die zur Laufzeit auf jede einzelne Anfrage PHP ausführt, Datenbankabfragen absetzt und damit ständig Angriffsfläche bietet.

Der typische Ablauf eines Angriffs ist ernüchternd banal. Ein Bot scannt öffentliche Schwachstellen-Datenbanken, findet eine Lücke in einem beliebten Formular-Plugin der Vorversion, fragt per HTTP bei hunderttausenden Domains ab, ob genau dieses Plugin in der verwundbaren Version läuft, und platziert im Erfolgsfall eine Backdoor im Uploads-Verzeichnis. Der Inhaber der Seite merkt davon oft wochenlang nichts. Auffällig wird es erst, wenn Google die Domain als kompromittiert kennzeichnet oder wenn ein Mandant erstaunt anruft, weil er einen Link zu einer Glücksspielseite im Footer entdeckt hat.

Die Lösung: Next.js statisch gerendert, headless über Sanity

Wir bauen Kanzlei-Plattformen auf einer grundlegend anderen Architektur. Next.js 14 rendert die öffentliche Webseite entweder vollständig statisch (SSG) oder hybrid mit Incremental Static Regeneration. Der Content kommt aus Sanity, einem headless CMS, das in einer abgetrennten Cloud-Umgebung läuft. Die veröffentlichte Seite besteht am Ende aus reinem HTML, CSS und JavaScript. Es gibt keine Datenbank, die vom Frontend aus erreichbar wäre, keinen /wp-admin-Login, keine PHP-Runtime und keinen XML-RPC-Endpunkt.

Das Deployment läuft über Vercel. Jeder Push in das Git-Repository erzeugt einen neuen, unveränderlichen Build, der auf einem weltweiten Edge-Netzwerk ausgeliefert wird. Die Server-Infrastruktur ist serverless, es gibt keinen permanent laufenden Applikationsserver, den jemand übernehmen könnte. Das Sanity-Studio, in dem Ihre Assistenz Inhalte pflegt, läuft unter einer eigenen Subdomain mit Zwei-Faktor-Authentifizierung, separat vom öffentlichen Webauftritt. Selbst ein kompromittierter Redaktions-Account kann damit nicht zur Code-Ausführung auf der Webseite missbraucht werden.

Für Ihre Mitarbeiter ändert sich der Arbeitsalltag kaum. Texte, Bilder und neue Beiträge werden weiter im Browser über ein CMS gepflegt, mit Vorschau und Versionierung. Was wegfällt, sind die Plugin-Updates am Freitagnachmittag, der Anruf beim IT-Dienstleister nach dem nächsten verdächtigen Login-Versuch und der wiederkehrende Posten „WordPress-Wartung“ auf der Rechnung. Unsere Webseiten-Plattform ist exakt für dieses Szenario gebaut.

Messbare Hebel

• Sicherheit: Keine Datenbank im Frontend, kein öffentliches Admin-Panel, keine Plugin-Lieferkette. Die häufigsten WordPress-Angriffsvektoren greifen auf einer statisch ausgelieferten Next.js-Seite technisch ins Leere.
• Performance: Statisch ausgelieferte Next.js-Seiten erreichen in Lighthouse regelmäßig Werte über 95 in allen vier Kategorien. Klassische WordPress-Themes mit Page-Buildern liegen laut HTTPArchive-Daten beim Median deutlich unter 50 in der Mobile-Performance.
• Total Cost of Ownership: Keine wiederkehrenden Lizenzen für Premium-Plugins, kein Wartungsvertrag für Sicherheitsupdates, kein dedizierter Managed-WordPress-Hoster. Die Vercel-Infrastruktur skaliert transparent über Traffic.
• Compliance: Die Architektur lässt sich sauber dokumentieren, inklusive Auftragsverarbeitungsverträgen für Sanity und Vercel, und erfüllt die DSGVO-Anforderung an den Stand der Technik nachweisbar.
• Ausfallsicherheit: Jeder Build ist ein unveränderlicher Snapshot. Im Ernstfall lässt sich innerhalb von Sekunden auf eine vorherige Version zurückrollen, ohne Datenbankimport, ohne Downtime.

Was eine Migration in der Praxis bedeutet

Der Umstieg ist weniger invasiv, als viele Kanzleien befürchten. Wir übernehmen die bestehenden Inhalte aus WordPress über einen einmaligen Export, strukturieren sie im Sanity-Schema und bauen die öffentliche Seite in Next.js neu auf. Bestehende URLs bleiben erhalten, die Weiterleitungen werden auf Vercel-Ebene konfiguriert, sodass der SEO-Bestand nicht einbricht. Parallel richten wir Vorschau-Umgebungen ein, in denen Ihr Team neue Seiten vor der Veröffentlichung freigeben kann. Nach dem Go-live verschwindet die alte WordPress-Instanz komplett, inklusive Datenbank und Admin-Backend. Was bleibt, ist eine Auslieferungs-Infrastruktur, die sich nicht im klassischen Sinn mehr hacken lässt, weil es schlicht kein dynamisches Ziel gibt.

Fazit

Für eine Anwaltskanzlei, einen Finanzberater oder ein Family Office ist die Webseite kein Marketinginstrument mit nebensächlicher Technik, sondern ein Teil der Sorgfaltspflicht gegenüber den Mandanten. WordPress ist für dieses Segment ein historisch gewachsenes, strukturell unpassendes Werkzeug. Eine statisch ausgelieferte Next.js-Plattform mit headless CMS beseitigt die relevanten Angriffsvektoren, senkt die laufenden Kosten und liefert gleichzeitig das technische Fundament, das eine Premium-Positionierung verdient. Wer heute neu baut, sollte gar nicht erst mit WordPress anfangen.