WordPress vs. Next.js 2026 — der ehrliche Vergleich für DACH-Mittelstand
Disclaimer: Wann WordPress wirklich besser ist
Wir bauen bei Seitengold ausschließlich Next.js-basierte Sites. Trotzdem schreiben wir nicht "WordPress ist tot" — das wäre fahrlässig. Vier Fälle, in denen WordPress die strukturell richtige Wahl bleibt:
- Vereins-Websites mit eigener Redaktion. Wenn ein Vorstand monatlich Texte ändert und nicht jedes Mal den Webdesigner kontaktieren will, ist der WordPress-Block-Editor unschlagbar einfach. Ein Next.js-Headless-CMS wäre Overkill.
- Kleinst-Geschäfte mit minimalem Budget. WordPress + ein Standard-Theme + lokaler Webdesigner kostet 800-2.000 € einmalig. Eine Next.js-Custom-Lösung startet realistisch bei 4.000 €.
- Bestehende WordPress-Sites mit funktionierendem Content-Stack. Wenn die Site aktuell läuft, der Content kontinuierlich gepflegt wird und niemand über Performance klagt — kein Grund für eine teure Migration.
- WooCommerce-Shops unter 100.000 € Umsatz/Jahr. WooCommerce + WordPress ist hier die unaufwändigste Variante. Erst ab größeren Volumina lohnt sich ein Headless-Commerce-Stack (z. B. Medusa, Shopify Hydrogen).
Wer in einem dieser Fälle ist und keine Performance- oder Sicherheitsprobleme hat, sollte WordPress behalten. Punkt.
Performance — Lighthouse-Realität
Lighthouse-Scores sind nicht alles, aber sie korrelieren stark mit Conversion und Google-Ranking (Core Web Vitals seit 2021 als Ranking-Faktor, INP seit 2024).
Reale Mittelwerte aus unserer Erfahrung mit beiden Stacks (50+ Audits in den letzten 24 Monaten):
| Metrik | WordPress (typisch) | WordPress (optimiert) | Next.js |
|---|---|---|---|
| Lighthouse Performance Mobile | 35-55 | 75-85 | 90-100 |
| Lighthouse Performance Desktop | 55-75 | 85-95 | 95-100 |
| LCP (Largest Contentful Paint) | 3,5-6,0 s | 2,0-2,8 s | 1,2-1,8 s |
| INP (Interaction to Next Paint) | 200-400 ms | 100-180 ms | 50-100 ms |
| CLS (Cumulative Layout Shift) | 0,15-0,40 | 0,05-0,10 | 0,00-0,05 |
| Bundle-Size JS (Mobile) | 800 KB - 2,5 MB | 400-700 KB | 80-180 KB |
Die "WordPress (optimiert)"-Spalte ist erreichbar, kostet aber viel Pflege: aktiver Plugin-Audit, dediziertes Caching (z. B. WP Rocket + Cloudflare), Bildkompression-Pipeline, regelmäßige Theme-Updates. Wer das nicht durchhält, rutscht binnen sechs bis zwölf Monaten zurück in die "typische"-Spalte.
Bei Next.js ist Performance kein Add-on, sondern die Default-Konfiguration. Server-Components, Static-Site-Generation, automatische Code-Splitting, Image-Optimization — alles ohne Plugins, ohne wöchentliche Pflege.
Sicherheit — Plugin-Ökosystem vs. Build-Time
Die WordPress-Sicherheitsstatistik 2024-2026:
- WPScan-Datenbank: über 70.000 dokumentierte Vulnerabilities in Plugins/Themes
- WordFence-Reports 2025: durchschnittlich 5,8 Millionen Brute-Force-Versuche pro Tag gegen WordPress-Sites
- Patchstack 2024: 73 % aller WordPress-Vulnerabilities lagen in Plugins, nur 2 % im Core
Das Risiko-Pattern ist klar: WordPress-Core ist solide, der Plugin-Salat ist die Achillesferse. Eine Site mit 25 aktiven Plugins hat statistisch eine erheblich größere Angriffsfläche als eine mit fünf.
Bei Next.js ist die Lage strukturell anders:
- Build-Time vs. Runtime. Static-Site-Generation rendert HTML zur Build-Zeit — kein PHP-Runtime, der zur Laufzeit Code ausführt. Damit entfallen ganze Klassen von Angriffsvektoren (SQLi, RFI, LFI auf Theme-Files).
- Tree-Shaking. Webpack/Turbopack entfernen ungenutzten Code. Es gibt kein "Plugin installiert aber nicht aktiv" wie bei WordPress.
- Dependencies sind versioniert + gelockt.
package-lock.jsonoderpnpm-lock.yamlsind reproduzierbar. WordPress-Plugins werden zur Laufzeit über das Admin-Panel installiert — wer was wann eingespielt hat, ist oft nicht versioniert.
Trotzdem: Next.js ist nicht automatisch sicher. Wer eine Next.js-API-Route mit unvalidiertem Input baut, hat dasselbe SQLi-Risiko wie ein PHP-Skript. Aber: Die Default-Konfiguration zwingt nicht zur Plugin-Installation, und die Toolkette macht Audits mit npm audit oder Snyk drastisch einfacher.
DSGVO — was beim WP-Setup oft schiefgeht
Vier DSGVO-Stolperfallen, die wir in WordPress-Audits regelmäßig finden:
1. Google-Fonts-Lokalisierung fehlt. Standardmäßig laden viele WordPress-Themes Google Fonts direkt vom Google-CDN. Das LG München I (3 O 17493/20, 20.01.2022) hat bereits 100 € Schadenersatz wegen IP-Übermittlung an Google zugesprochen — bei einer Abmahn-Welle ist das ein systemisches Risiko.
2. Cookie-Banner ohne gleichwertige Reject-Option. EuGH C-673/17 (Planet49) und BGH I ZR 7/19 (Cookie-Einwilligung II) verlangen, dass Ablehnen genauso einfach wie Akzeptieren sein muss. Viele WordPress-Cookie-Plugins (Borlabs Free, Cookie Notice) liefern Banner mit "Akzeptieren"-Button prominent und "Einstellungen"-Link versteckt — abmahngefährdet.
3. Plugin-Tracking ohne Consent. Plugins wie WP Statistics, MonsterInsights oder Yoast laden Tracking-Scripts oft ohne expliziten Consent-Check. Das verstößt gegen § 25 TDDDG.
4. Externe Embeds ohne ConsentGate. YouTube-Videos, Google Maps, Social-Share-Buttons — alle laden bei Page-Load Scripts an Drittanbieter, ohne Nutzer-Einwilligung. Das ist DSGVO-konform nur mit einem Two-Click-Consent-Pattern, das WordPress Out-of-the-Box nicht liefert.
Bei Next.js sind diese Fallen leichter zu vermeiden, weil:
- Schriften via
next/fontautomatisch lokal gehostet werden - Build-Time-Statisches-HTML keine externen Tracking-Scripts benötigt
- Embeds programmatisch über ConsentGate-Wrapper gerendert werden können (siehe unsere DSGVO-Check-Seite)
Aber Achtung: Next.js ist auch hier nicht automatisch DSGVO-konform. Wer einfach <script src="https://googletagmanager.com/..."> einfügt, hat dasselbe Problem wie WordPress. Der strukturelle Vorteil ist nur, dass die Default-Patterns weniger leicht in die Falle führen.
Kosten — TCO über zwölf Monate
Realistische Total-Cost-of-Ownership für eine 8-seitige Mittelstands-Site:
| Kostenposition | WordPress (Standard) | WordPress (Premium-Optimiert) | Next.js (Seitengold-Tier "Business") |
|---|---|---|---|
| Initial-Setup | 1.500 € | 4.500 € | 799 € |
| Hosting / Jahr | 60-180 € | 240-600 € | im Tarif inklusive (€119/Monat) |
| Premium-Plugins / Jahr | 50-150 € | 300-600 € | 0 € |
| CMS-Updates + Wartung / Jahr | 240-600 € (selbst gepflegt) | 600-1.800 € (Agentur-Vertrag) | im Tarif inklusive |
| Performance-Optimierung / Jahr | 0 € (selten) | 600-1.500 € | im Tarif inklusive |
| DSGVO-Audit / Jahr | 0 € (oft nicht durchgeführt) | 400-800 € | im Tarif inklusive |
| Summe Jahr 1 | 1.850-2.430 € | 6.640-10.000 € | 2.227 € (Business 12-Monats-TCO) |
Wer eine WordPress-Site auf Performance- und Compliance-Niveau einer professionellen Next.js-Site bringen will, zahlt im Jahr 1 zwischen 6.500 und 10.000 € — und muss das jährlich neu aufwenden. Eine Festpreis-Variante mit Komplettleistung liegt darunter, ohne Wartungs-Cliff am Jahresende.
Wichtige Einschränkung: Diese Zahlen sind realistische Mittelwerte aus unserer Audit-Erfahrung. Im Einzelfall können WordPress-Setups deutlich günstiger sein, wenn die Site keine harten Performance- oder Compliance-Anforderungen hat. Die Tabelle zeigt den Worst-Case-Pflegeaufwand für eine ranking-optimierte, abmahnsichere WP-Site.
Wartung — Update-Frequency
Ein oft übersehener Kostenfaktor:
| Wartungs-Aktivität | WordPress | Next.js |
|---|---|---|
| Core-Updates | Wöchentlich (Auto-Update riskant bei Themes/Plugins) | Quartalsweise (next, react Versionen) |
| Plugin-Updates | 2-5 pro Woche bei 25 Plugins | Entfällt — keine Plugins |
| Theme-Updates | Monatlich | Entfällt — Theme ist Code, versioniert |
| Security-Patches | Reaktiv bei jedem Plugin-CVE | Quartalsweise (Next.js + React Releases) |
| PHP-Version-Upgrades | Alle 2 Jahre (oft Plugin-Inkompatibilität) | Entfällt |
| Datenbank-Optimierung | Vierteljährlich (revisions, transients) | Entfällt (statische Sites) |
In Stunden pro Monat: WordPress mit 25 Plugins kostet realistisch 4-8 Stunden Wartung pro Monat. Eine Next.js-Site auf Static-Generation mit vierteljährlichem Dependency-Audit kostet 1-2 Stunden pro Quartal.
Migrationspfad — von WordPress zu Next.js
Wenn Sie nach diesem Vergleich zum Schluss kommen, dass eine Migration sinnvoll ist, sind das die Hauptphasen:
1. Content-Audit (Woche 1). Welche Inhalte haben in den letzten 12 Monaten Traffic gehabt? Welche Bilder werden tatsächlich genutzt? Erfahrungswert: 30-60 % des WordPress-Contents werden in der neuen Site nicht übernommen — Pruning lohnt sich.
2. Content-Export (Woche 1-2). WordPress-Export liefert XML mit Posts, Pages, Medien-Referenzen. Plus eigener Export von Custom-Post-Types über das WordPress-REST-API. Bei umfangreichen Sites: WP-CLI-Skripte für saubere Exports.
3. Stack-Setup (Woche 2-3). Next.js + Headless-CMS (Sanity, Strapi, Directus) ODER MDX-basiert für Marketing-Sites mit überschaubarem Content-Volumen. Bei seitengold.de selbst nutzen wir MDX, weil die Inhalte editorial gepflegt werden und wir keine Live-CMS-UI für Externe brauchen.
4. Design-Migration (Woche 3-5). Tailwind v4 + eigene Komponenten oder ein Library-Stack wie shadcn/ui. Wichtig: keine 1:1-Klone. Eine Migration ist immer auch eine Chance, alte UI-Sünden auszuräumen.
5. SEO-Mapping (Woche 4-5). Alle alten URLs müssen 301-redirected werden auf neue URLs. Sitemap.xml + robots.txt + alle Schema.org-Markups neu strukturieren. Hier verlieren viele Migrations Rankings, wenn das schludrig läuft.
6. Pre-Launch-Audit (Woche 5-6). Lighthouse, axe-core, ZAP plus interner Compliance-Scanner — der ganze Toolkit. Plus: WordPress-Site darf während der Migration NICHT abgeschaltet werden, sonst sind Backlinks und Indexing-Status weg.
7. Cutover (Woche 6). DNS umstellen, alte WP-Site read-only halten, 30 Tage parallel laufen lassen für Notfall-Rollback.
Realistisch sind 4-6 Wochen für eine 8-seitige Mittelstands-Site, wenn der Content gut strukturiert ist. Bei größeren Sites (50+ Pages, mehrere Custom-Post-Types) eher 8-12 Wochen.
Wann WordPress trotzdem die richtige Wahl ist (ehrlich!)
Vier Konstellationen, in denen wir Mittelständlern explizit von einer Migration abraten:
- Geschäftsmodell ist nicht Webseiten-getrieben. Wenn 90 % des Umsatzes über persönliche Kundenbeziehungen kommt und die Site nur "Visitenkarte" ist — WordPress reicht.
- Internes Redaktionsteam wird die Site jede Woche selbst pflegen. Der WordPress-Editor ist für Nicht-Entwickler einfacher als jedes Headless-CMS.
- Bestehende Site läuft, alle sind zufrieden, kein Performance- oder Sicherheitsproblem aufgetreten. Don't fix what ain't broken.
- Budget unter 2.500 € einmalig + 30 € monatlich. Ein Custom-Next.js-Stack startet bei höheren Beträgen — eine Standard-WordPress-Lösung mit lokaler Werkstatt ist günstiger.
In allen anderen Fällen — insbesondere bei DACH-Mittelständlern mit echtem Performance-, SEO- oder Compliance-Druck — ist Next.js heute die nüchtern bessere Wahl.
Haeufige Fragen
6 FragenNicht, wenn die Migration sauber ist. Voraussetzungen: alle alten URLs werden 301-redirected, Sitemap.xml wird sauber neu generiert, Schema.org-Markups bleiben oder werden ausgebaut. Wenn das stimmt, sehen wir typischerweise nach 4-8 Wochen sogar bessere Rankings (durch verbesserte Core Web Vitals). Schlampig migrierte Sites verlieren 30-60 % Sichtbarkeit. Fragen Sie immer nach dem 301-Redirect-Konzept des Anbieters.
Ja, sehr gut sogar. WordPress als Headless-CMS hinten, Next.js als Frontend vorne. Inhalte werden via WP-REST-API oder GraphQL an Next.js gepushed. Vorteil: Redaktion arbeitet weiter im gewohnten WordPress, Performance kommt vom Next.js-Frontend. Nachteil: zwei Systeme zu warten — aber für viele Setups die beste Hybrid-Lösung.
WooCommerce-Shops unter 100.000 € Umsatz/Jahr lassen wir auf WordPress. Ab größeren Volumina kommt der Plugin-Stack an Performance-Grenzen — dann lohnt der Wechsel zu Headless-Commerce (Shopify Hydrogen, Medusa, BigCommerce + Next.js Frontend). Bei einem Online-Shop mit 5.000 monatlichen Bestellungen rechnet sich Headless innerhalb des ersten Jahres — wegen Conversion-Lift durch bessere Performance.
Texte ändern, Bilder austauschen, neue Blog-Posts erstellen — bei einem MDX-basierten Stack wie unserem sind das Pull-Requests in Git oder Edits über GitHub-UI. Für Nicht-Entwickler eher unbequem, aber lernbar in zwei Stunden. Wer eine "ich logge mich ein und drücke Buttons"-Erfahrung braucht, sollte ein Headless-CMS dazu installieren (Strapi, Sanity) — das ist UI-mäßig vergleichbar mit WordPress.
Vier Tarife: Starter (399 € Setup, 79 €/Monat) bis Backend (1.999 € Setup, 299 €/Monat). Alle Tarife monatlich kündbar, 7-Tage-Rücktrittsrecht nach Demo-Abnahme, Lieferzeit 72 Stunden. Details auf /preise oder direkter Einstieg über den Konfigurator.
Auf /referenzen finden Sie unsere Showcase-Sites. Plus die Hundementor-Case-Study zeigt eine größere SaaS-Plattform, die als Greenfield in Next.js entstanden ist (nicht migriert).
Verwandte Themen
- Hundementor-Case-Study: Eine ganzheitliche SaaS-Plattform mit Next.js + Supabase
- Webdesign-Showcase: Neon Arc im Allgäu — Solo-Werkstatt-Modell
- DSGVO-Check (kostenlos): Ist Ihre Site abmahnsicher?
- Konfigurator: 12 Schritte zum eigenen Liefervorschlag
- Pricing: Vier Tarife im Detail
- Leistungen: SEO-Optimierung
- Leistungen: WordPress-Alternative
Praxis-Updates wie diese, einmal pro Monat.
DACH-Webdesign-Patterns, BGH-Updates, 72-h-Demo-Cases. Kein Spam, keine Werbe-Mails, jederzeit abmeldbar.