Anfang 2025 hielt WordPress 43,6 Prozent des Webs. Heute sind es 41,5 Prozent, und der Rückgang beschleunigt sich. Die interessante Frage ist nicht das “wie viel”, sondern wohin dieser Anteil abwandert. Nicht zu Wix oder Shopify, denn die stehen still. Es wachsen die Seiten, auf denen W3Techs überhaupt kein CMS erkennt. Josh Koenig, Mitgründer von Pantheon, brachte es auf den Punkt: “it’s vibecoding”.
Bevor wir klären, ob das ein Problem für WordPress ist, lohnt es sich, den Begriff genau zu fassen, denn er verbreitet sich rasant und wird sehr unterschiedlich verstanden.
Was Vibecoding ist
Vibecoding bedeutet, eine Anwendung zu bauen, indem man sie einem Sprachmodell beschreibt und akzeptiert, was es erzeugt, ohne den Code Zeile für Zeile zu lesen. Die Werkzeuge heißen Lovable, Bolt.new, v0 von Vercel, Replit Agent und Base44. Sie tippen “bau einen Shop mit Login und Zahlungen”, und Sie erhalten in wenigen Minuten ein funktionierendes Frontend, eine Datenbank (meist Supabase) und ein fertiges Deployment.
Für einen Prototyp, ein internes Werkzeug oder eine Kampagnen-Landingpage, die eine Woche leben soll, ist das wirklich gut. Wir bauen damit unsere eigenen Mockups, um einem Kunden die Richtung zu zeigen, bevor jemand Produktivcode schreibt. Das Problem beginnt erst dort, wo ein solches Ergebnis als Fundament eines Geschäfts in Produktion geht.
Wo vibecodete Seiten brechen
Das ist keine reflexhafte Verteidigung von WordPress. Es ist eine Liste dessen, was tatsächlich auftaucht, wenn jemand mit den Worten kommt “es lief, und jetzt läuft es nicht mehr”:
- Schlüssel im Bundle. Das Modell legt einen
service_role-Schlüssel von Supabase in Code, der im Browser landet. Jeder mit geöffneten Entwicklertools liest ihn aus. Im Laufe von 2025 wurden über offengelegte Schlüssel aus Lovable-Apps und Supabase-Datenbanken ohne aktiviertes Row Level Security ganze Nutzertabellen offengelegt. - Endpunkte ohne Autorisierung. Der Prompt “bau ein Admin-Panel” erzeugt ein Panel, aber die Route
/api/adminprüft nie, wer anklopft. Es sieht funktionsfähig aus, weil der Autor sie eingeloggt auf seinem eigenen Konto testet. - Keine Validierung, keine Limits. Ein Kontaktformular ohne Rate Limiting und ohne Sanitisierung wird zur offenen Tür für Spam-Versand und Injection-Versuche.
- Unsichtbar in der Suche. Inhalte, die erst clientseitig gerendert werden, ohne serverseitiges Rendering, sind für den Googlebot eine leere Seite. Ein Produktkatalog, der im HTML nicht existiert, gelangt nicht in den Index.
- Kein Wartungspfad. Keine Datenbankmigrationen, keine Backups, keine Versionierung, keine Pipeline. Die erste ernsthafte Änderung bedeutet Neuschreiben von Grund auf, weil niemand, auch nicht der Autor des Prompts, weiß, warum es so und nicht anders gebaut wurde.
Zwei konkrete Fälle aus den letzten Monaten. Ein Berliner Startup baute sein Kundenportal in Bolt.new und ging binnen einer Woche live. Zwei Wochen später zeigte sich, dass Nutzer die Daten fremder Konten sehen und bearbeiten konnten, weil der anon key von Supabase im Code lag und Row Level Security schlicht nie aktiviert war. Der zweite Fall: ein Onlineshop aus dem DACH-Raum stellte seinen “Shop” in v0 auf. Schnell, sauber, ansehnlich, und nach drei Monaten null Traffic aus Google, weil der gesamte Katalog erst im Browser gerendert wurde. Beide Seiten wirkten am Tag des Launches tadellos. Genau das ist die Falle des Vibecodings: Das Demo ist makellos, die Rechnung kommt später.
Wie Sie eine vibecodete Seite erkennen
Dafür braucht es keinen Zugang zum Code. Ein paar Signale reichen:
- Der Quelltext (Strg+U) zeigt einen fast leeren
<body>und eine große JavaScript-Datei. Der Inhalt erscheint erst, nachdem das Skript geladen ist. - JavaScript deaktivieren hinterlässt eine weiße Seite statt Text.
- In den Google-Ergebnissen hat die Seite außer der Startseite keine Unterseiten, obwohl der Browser viele zeigt.
- Keine Login-Seite unter der eigenen Domain, oder ein Panel, das ausschließlich auf einem externen Dienst ohne konfigurierte Rechte beruht.
- Die Antwort-Header deuten auf Preview-Hosting (Vercel, Netlify) ohne eigene Anwendungsschicht hin.
Keiner dieser Punkte ist für sich genommen ein Urteil. Zusammen ergeben sie das Bild einer Seite, die aus einem Prompt entstand und nie ein Fundament bekam.
Vibecoding und WordPress in Produktion
| Kriterium | Vibecodete Seite | WordPress, geführt von einem Senior |
|---|---|---|
| Zeit bis zum ersten Demo | Minuten | Tage |
| Rendering für SEO | Meist clientseitig | Serverseitiges HTML |
| Rechtekontrolle | Standardmäßig keine, muss ergänzt werden | Rollen und Rechte im Kern |
| Wartungspfad | Keine Migrationen, keine Backups | Updates, Backups, Pipeline |
| Weiterentwicklung nach einem Jahr | Oft Neuschreiben | Iteration am bestehenden Code |
| Verantwortung bei Ausfall | Diffus | Ein Entwickler, der den Code kennt |
Die Tabelle sagt nicht, dass Vibecoding schlecht ist. Sie sagt, wozu jedes Werkzeug passt. Um eine Idee an einem Wochenende zu prüfen, gewinnt Vibecoding ohne Diskussion. Für eine Seite, die in einem Jahr Umsatz bringen soll, gewinnt das Fundament.
Warum das nicht das Ende von WordPress ist
Der Anteil sinkt, weil das untere Ende des Marktes, also die einfachen Seiten, die man früher aus Gewohnheit auf WordPress stellte, tatsächlich zur KI abwandert. Und das ist in Ordnung. Es war der am wenigsten profitable, am ehesten wegwerfbare Teil des Marktes. WordPress verliert die Arbeit, an der ohnehin niemand verdient hat.
Es bleibt der Rest: WooCommerce-Shops mit echtem Umsatz, mehrsprachige Seiten mit korrektem hreflang, DSGVO-gebundene Projekte und andere Compliance-Anforderungen, Arbeiten, die fünf Jahre laufen und ein Dutzend Updates überstehen sollen. Dorthin reicht Vibecoding nicht, denn dort geht es nicht darum, einen Bildschirm zu generieren. Es geht um ein Fundament: Sicherheit, in Core Web Vitals messbare Performance, Wartung und die Verantwortung dafür, was um zwei Uhr nachts im Black-Friday-Peak passiert.
WordPress gewinnt nicht, weil es in Mode ist. Es gewinnt, weil es zwei Jahrzehnte Ökosystem, einen berechenbaren Wartungspfad und einen Menschen hat, der weiß, warum etwas so und nicht anders gebaut wurde.
Wann Vibecoding Sinn ergibt und wann Sie einen Senior rufen sollten
Klar und einfach: für einen Prototyp, ein MVP, ein internes Werkzeug oder eine Kampagnen-Landingpage vibecoden Sie unbesorgt. Schnell, günstig, gut genug. Ein Shop, eine Unternehmensseite oder alles, was von etwas leben und in einem Jahr noch existieren soll, braucht ein Fundament, keinen generierten Bildschirm.
Wenn Sie bereits eine KI-gebaute Seite haben und etwas anfängt zu bröckeln, von Datenlecks über fehlenden Traffic bis “das lässt sich nicht mehr erweitern”, ist das meist reparierbar, aber nicht mit dem nächsten Prompt. Wir retten KI-erstellte Websites: Sicherheitsaudit, SEO von Grund auf und die Entscheidung, was neu geschrieben und was gerettet wird. Das macht ein Entwickler, der den Code liest, den vorher niemand gelesen hat.





