Du hast deine Website einmal aufgesetzt, sie sieht gut aus, sie läuft – und seitdem hast du sie in Ruhe gelassen. Klingt vernünftig, ist es aber nicht. Eine WordPress Website ohne regelmäßige Updates und Pflege ist wie ein Haus mit offenen Fenstern – irgendwann kommt jemand rein, den du nicht eingeladen hast. Updates und Sicherheitsrisiken sind kein Thema nur für IT-Abteilungen großer Konzerne. Sie betreffen jede Website, jede Größe, jede Branche. In diesem Artikel erfährst du, was bei fehlender Pflege wirklich passiert, welche Schutzmaßnahmen jede Website braucht – und wie du das Ganze so organisierst, dass es keine Dauerbaustelle wird. Was Website Wartung insgesamt bedeutet und kostet, haben wir in unserem Website Wartung Überblick ausführlich aufgeschlüsselt.
Warum deine Website ohne Updates zur Sicherheitslücke wird
WordPress ist das meistgenutzte Content Management System der Welt – rund 43 % aller Websites laufen darauf. Das ist ein enormer Vorteil: große Community, viele Plugins, viel Support. Aber es ist auch ein Nachteil: Was so weit verbreitet ist, ist auch das attraktivste Ziel für Angreifer*innen. Hacker*innen suchen nicht manuell nach Schwachstellen – das machen automatisierte Scripts, die rund um die Uhr das Internet nach veralteten WordPress Versionen, bekannten Plugin-Lücken und schwachen Passwörtern durchsuchen.
WordPress ist das beliebteste CMS – und deshalb das meistangegriffene
Die Popularität von WordPress ist Fluch und Segen zugleich. Sicherheitslücken in verbreiteten Plugins werden öffentlich gemeldet – das ist gut, weil Updates dann schnell kommen. Aber zwischen der Veröffentlichung einer Lücke und dem Moment, in dem du das Update einspielst, liegt ein Zeitfenster. Und in diesem Fenster suchen automatisierte Angriffswerkzeuge aktiv nach Websites, die noch nicht gepatcht wurden. Je länger du wartest, desto größer das Risiko.
Was passiert, wenn du Updates monatelang ignorierst?
In den meisten Fällen: erst mal gar nichts Sichtbares. Das ist das Tückische. Eine kompromittierte Website sieht oft noch Wochen oder Monate genauso aus wie vorher – während im Hintergrund Spam versendet wird, Malware eingeschleust wird oder deine Seite für Phishing-Angriffe missbraucht wird. Du merkst es erst, wenn Google deine Seite aus dem Index nimmt, dein Hosting-Anbieter dein Konto sperrt – oder ein Kunde schreibt, dass sein Virenprogramm auf deiner Website anschlägt.
Echte Szenarien: Gehackte Seite, Datenverlust, Google Abstrafung
Was kann konkret passieren? Szenario 1: Deine Website wird für Spam-Mails genutzt, deine Domain landet auf Blacklists und E-Mails von dir landen im Spam-Ordner – auch bei bestehenden Kund*innen. Szenario 2: Malware wird eingeschleust, Google erkennt sie und markiert deine Seite als „Diese Website könnte schädlich sein" – mit sofortigem Einbruch beim Traffic. Szenario 3: Daten werden gestohlen – Kund*innendaten, Login-Informationen, Formulardaten. Das sind nicht nur geschäftliche Schäden, sondern auch DSGVO-relevante Datenpannen mit Meldepflicht.
Die drei Ebenen der Website Updates – und warum alle zählen
Viele denken bei „Website aktualisieren" nur an das WordPress Core Update. Aber eine sichere Website braucht Updates auf mehreren Ebenen – und wer eine davon vernachlässigt, hat trotzdem eine offene Flanke.
1. WordPress Core Updates: Sicherheitslücken und neue Funktionen
Das WordPress Core Update ist das Fundament. Es schließt bekannte Sicherheitslücken, verbessert die Performance und bringt neue Funktionen. Minor Updates (z.B. von 6.4.1 auf 6.4.2) sind in der Regel reine Sicherheits-Patches und sollten sofort eingespielt werden. Major Updates (z.B. von 6.4 auf 6.5) bringen neue Features und sollten erst nach einem Test in einer Staging-Umgebung live gesetzt werden.
2. Plugin Updates: Inkompatibilitäten und Schwachstellen beseitigen
Plugins sind die häufigste Einfallsroute für Angreifer*innen. Über 90 % aller WordPress Hacks passieren über veraltete oder unsichere Plugins. Jedes Plugin ist ein Stück fremden Code auf deiner Website – und wenn dessen Entwickler*innen eine Sicherheitslücke schließen, ist das Update keine Option, sondern dringende Pflicht. Dazu kommt: Plugins, die nicht mehr aktiv entwickelt werden, sind ein dauerhaftes Risiko und sollten durch aktiv gewartete Alternativen ersetzt werden.
3. Theme Updates: Design und Funktionalität auf Stand halten
Auch das Theme – also das Design-Grundgerüst deiner Website – wird regelmäßig aktualisiert. Theme Updates schließen ebenfalls Sicherheitslücken, sorgen für Kompatibilität mit neuen WordPress Versionen und verbessern die Performance. Wer das Theme nie aktualisiert, riskiert Darstellungsfehler nach einem Core Update und potenziell ausnutzbare Schwachstellen.
4. PHP Version: Veraltetes PHP ist ein unterschätztes Risiko
PHP ist die Programmiersprache, auf der WordPress läuft. Veraltete PHP Versionen erhalten nach ihrem End-of-Life Datum keine Sicherheitsupdates mehr – sind aber noch auf tausenden Websites aktiv. PHP 7.4 zum Beispiel hat seit Ende 2022 keinen aktiven Support mehr. Wer noch darauf läuft, betreibt seine Website auf einem Fundament ohne Sicherheitsnetz. Frag deinen Hosting-Anbieter nach der aktuellen PHP Version – und updaten wenn nötig.
Backups: Deine Lebensversicherung im Notfall
Selbst wer alles richtig macht, kann Opfer eines Angriffs werden. Ein aktuelles Backup ist der Unterschied zwischen einem kurzen Schrecken und einem totalen Datenverlust. Backups sind keine Vorsichtsmaßnahme für Paranoide – sie sind Standard für jeden, der eine Website professionell betreibt.
Wie oft brauchst du ein Backup? (Blog vs. Shop vs. Unternehmensseite)
Die Backup-Frequenz hängt davon ab, wie oft sich deine Inhalte ändern. Als Faustregel gilt: Unternehmenswebsite mit seltenem Content-Update – wöchentliches Backup reicht. Blog mit regelmäßigen Artikeln – tägliches Backup empfohlen. Online Shop mit laufenden Bestellungen – stündliches oder sogar Echtzeit-Backup ist notwendig, weil jede Stunde ohne Backup verlorene Bestelldaten bedeuten kann.
Automatische Backups einrichten: UpdraftPlus und Co.
Manuelle Backups passieren nicht – zumindest nicht zuverlässig. Automatisiere diesen Prozess mit einem Plugin wie UpdraftPlus (kostenlose Version reicht für die meisten Websites) oder BackupBuddy. Speichere Backups immer an einem externen Ort – also nicht nur auf demselben Server, auf dem die Website liegt. Google Drive, Dropbox oder ein dedizierter Backup-Dienst sind gute Optionen. Wenn der Server kompromittiert wird, willst du dein Backup woanders haben.
Backups testen: Nur gesicherte Daten, die du auch einspielen kannst, helfen
Ein Backup, das im Ernstfall nicht funktioniert, ist wertlos. Teste mindestens einmal im Quartal, ob du dein Backup tatsächlich wiederherstellen kannst. Das klingt nach Aufwand, aber ein 30-minütiger Test kann dir im Ernstfall tagelange Arbeit ersparen. Die meisten Backup-Plugins bieten eine Test-Wiederherstellung in einer Staging-Umgebung an – nutze diese Funktion.
Sicherheitsmaßnahmen, die jede Website haben sollte
Updates und Backups sind die Basis – aber sie allein reichen nicht. Eine wirklich sichere Website braucht mehrere Schutzschichten, die zusammen ein robustes Sicherheitsnetz bilden.
SSL Zertifikat: HTTPS ist heute Pflicht – kein Nice-to-have
Ein SSL Zertifikat verschlüsselt die Verbindung zwischen deiner Website und den Besucher*innen. Ohne SSL zeigen moderne Browser eine Warnung „Nicht sicher" – das schreckt ab und schadet dem Vertrauen. Dazu kommt: Google bevorzugt HTTPS-Seiten in den Suchergebnissen. Die meisten Hosting-Anbieter stellen kostenlose SSL Zertifikate über Let's Encrypt bereit. Es gibt keine Ausrede, das nicht einzurichten. Überprüfe außerdem, ob dein Zertifikat regelmäßig erneuert wird – abgelaufene SSL Zertifikate sind ein häufiges und unnötiges Problem.
Starke Passwörter und Zwei-Faktor-Authentifizierung
„admin" als Benutzername und „12345678" als Passwort – das klingt übertrieben, ist aber in der Praxis erschreckend häufig. Verwende lange, zufällige Passwörter (ein Passwort-Manager wie Bitwarden hilft dabei) und aktiviere die Zwei-Faktor-Authentifizierung für alle Admin-Zugänge. Das bedeutet: selbst wenn jemand dein Passwort kennt, kommt er ohne den zweiten Faktor (meistens ein Code per App) nicht rein. Ein einfacher, aber extrem wirksamer Schutz.
Firewall Plugins: Wordfence und Sucuri im Vergleich
Eine Web Application Firewall (WAF) überwacht den Traffic auf deiner Website und blockt verdächtige Anfragen, bevor sie Schaden anrichten können. Wordfence ist das meistgenutzte WordPress Sicherheitsplugin und bietet in der kostenlosen Version bereits soliden Schutz: Firewall, Malware-Scanner und Login-Schutz. Sucuri ist eine leistungsstärkere Alternative mit DNS-Level-Firewall – ideal für Websites mit höherem Traffic oder erhöhtem Angriffspotenzial. Für die meisten kleinen bis mittleren Websites reicht Wordfence Free als Einstieg.
| Feature | Wordfence Free | Sucuri |
|---|---|---|
| Firewall | Ja (verzögerte Regeln) | Ja (DNS-Level, Echtzeit) |
| Malware Scanner | Ja | Ja |
| Login-Schutz | Ja | Ja |
| CDN inklusive | Nein | Ja (kostenpflichtig) |
| Kosten | Kostenlos / ab 119 $/Jahr | Ab 199 $/Jahr |
| Für wen | Kleine bis mittlere Websites | Websites mit hohem Traffic |
Login-Schutz: Brute-Force-Angriffe abwehren
Bei einem Brute-Force-Angriff versuchen automatisierte Scripts, sich durch massenhafte Passwort-Kombinationen in dein WordPress Admin-Panel einzuloggen. Schütze dich mit drei einfachen Maßnahmen: Limitiere die Anzahl erlaubter Login-Versuche (Wordfence und Loginizer können das), ändere die Standard-Login-URL von /wp-admin auf eine individuelle URL, und lege für jeden Admin-Nutzer einen eigenen Account an – niemals einen gemeinsamen Zugang für mehrere Personen.
Unnötige Plugins und Themes löschen – jedes ist ein potenzielles Einfallstor
Deaktivierte Plugins sind kein ausreichender Schutz. Auch inaktive Plugins und Themes können Sicherheitslücken enthalten, die ausgenutzt werden – selbst wenn sie nicht aktiv genutzt werden. Lösche alles, was du nicht brauchst. Das gilt besonders für vorinstallierte Standard-Themes wie Twenty Twenty-One, die viele Websites haben, aber kaum jemand nutzt. Weniger Code bedeutet weniger Angriffsfläche.
Updates richtig durchführen: Schritt für Schritt ohne Angst
Updates klingen nach Risiko – was ist, wenn danach etwas kaputt ist? Diese Sorge ist verständlich, aber mit der richtigen Vorgehensweise weitgehend unbegründet. Der Schlüssel ist eine klare Reihenfolge und ein Backup vor dem ersten Klick.
Vor dem Update: Immer zuerst ein Backup erstellen
Kein Update ohne vorheriges Backup – das ist die erste und wichtigste Regel. Erstelle ein vollständiges Backup von Datenbank und Dateien, bevor du irgendetwas aktualisierst. Wenn nach dem Update etwas nicht stimmt, kannst du innerhalb von Minuten auf den Stand vor dem Update zurück. Ohne Backup ist jedes Update ein Glücksspiel.
Reihenfolge: Core, dann Plugins, dann Theme
Die Reihenfolge der Updates ist nicht egal. Starte immer mit dem WordPress Core, dann kommen die Plugins, zuletzt das Theme. Warum? Weil Plugins und Themes auf bestimmte WordPress Versionen ausgelegt sind – ein Core Update zuerst stellt sicher, dass alle nachfolgenden Updates auf einer aktuellen Basis laufen. Aktualisiere Plugins einzeln oder in kleinen Gruppen, nicht alle auf einmal – so kannst du schneller erkennen, welches Plugin einen Fehler verursacht hat, falls etwas schiefgeht.
Staging-Umgebung nutzen: Updates erst testen, dann live setzen
Eine Staging-Umgebung ist eine Kopie deiner Website, auf der du Updates und Änderungen testen kannst, ohne die Live-Website zu gefährden. Viele Hosting-Anbieter bieten Staging mit einem Klick an – zum Beispiel Ionos, Raidboxes oder SiteGround. Für Major Updates oder umfangreiche Plugin-Updates ist Staging keine Luxus, sondern Absicherung. Wer seinen Kund*innen oder Besucher*innen eine immer funktionierende Website schuldet, macht Updates zuerst auf Staging.
Nach dem Update: Website auf Fehler prüfen
Nach jedem Update gilt: Website öffnen und die wichtigsten Seiten und Funktionen prüfen. Startseite, Kontaktformular, Checkout (bei Shops), Menü-Navigation, Darstellung auf Smartphone – all das sollte nach dem Update noch einwandfrei funktionieren. Meistens tut es das. Aber wer es nicht prüft, merkt einen Fehler erst dann, wenn ihn ein Kunde meldet.
Website Wartung als Checkliste: Täglich, wöchentlich, monatlich, quartalsweise
Gute Website Pflege ist kein Einmalaufwand – sie folgt einem Rhythmus. Hier ist ein realistischer Wartungsplan, der für die meisten kleinen bis mittleren Websites passt:
Täglich
- ☐ Erreichbarkeit der Website prüfen (Uptime Monitoring nutzen)
- ☐ Neue Kommentare auf Spam prüfen und moderieren
- ☐ Kontaktformular-Eingänge checken
Wöchentlich
- ☐ Verfügbare Plugin Updates einspielen (nach Backup)
- ☐ Website auf Smartphone testen
- ☐ Wordfence oder Sucuri Scan-Ergebnisse prüfen
Monatlich
- ☐ WordPress Core und Theme Updates (nach Backup und ggf. Staging)
- ☐ Backup-Wiederherstellung testen
- ☐ SSL Zertifikat Status prüfen
- ☐ Google Search Console auf Fehler und Warnungen checken
- ☐ Ladezeit prüfen (Google PageSpeed Insights)
Quartalsweise
- ☐ PHP Version auf Aktualität prüfen
- ☐ Alle Formulare testen (Kontakt, Newsletter, Checkout)
- ☐ Content Audit: veraltete Inhalte aktualisieren oder entfernen
- ☐ Kaputte Links prüfen (z.B. mit Broken Link Checker)
- ☐ Unnötige Plugins und Themes löschen
- ☐ Admin-Zugänge und Passwörter überprüfen
Selbst warten oder Wartungsvertrag – was lohnt sich für wen?
Wer Zeit, technisches Grundverständnis und Disziplin für einen regelmäßigen Wartungsrhythmus mitbringt, kann vieles selbst erledigen. Wer das nicht hat – oder nicht haben will – ist mit einem professionellen Wartungsvertrag gut beraten.
Ein Wartungsvertrag ist kein Luxus für große Unternehmen. Er ist für viele Selbstständige und kleine Betriebe die sinnvollste Lösung: jemand anderes kümmert sich verlässlich um Updates, Backups und Sicherheits-Monitoring, während du dich auf dein eigentliches Business konzentrierst. Die Kosten liegen je nach Umfang typischerweise zwischen 30 und 150 Euro pro Monat – deutlich günstiger als ein einzelner Hack, der Wiederherstellung, Imageschaden und Ausfallzeit bedeutet.
Wenn du wissen möchtest, ob deine Website aktuell gut aufgestellt ist, bietet sich ein Website Check als erster Schritt an. Oder du meldest dich direkt – wir schauen gemeinsam, was deine Website braucht.
Fazit: Regelmäßige Pflege ist keine Kür – sie ist Grundschutz für dein Business
Eine ungepflegte Website ist kein neutrales Risiko – sie ist ein aktives Sicherheitsproblem. Updates, Backups und grundlegende Schutzmaßnahmen sind nicht optional, sie sind die Mindestanforderung für jeden professionellen Online-Auftritt. Die gute Nachricht: Mit dem richtigen System ist der Aufwand überschaubar. Und wer das nicht selbst stemmen will, findet mit einem Wartungsvertrag eine verlässliche Alternative.
Deine Website ist das digitale Zuhause deines Business – behandle sie entsprechend.
FAQ
Was passiert, wenn ich meine WordPress Website nicht aktualisiere?
Veraltete WordPress Installationen sind ein häufiges Ziel für automatisierte Angriffe. Wenn du deine Website nicht aktualisierst, riskierst du, dass bekannte Sicherheitslücken ausgenutzt werden – das kann zur Einschleusung von Malware, zum Versand von Spam über deine Domain oder zur Übernahme deines Admin-Bereichs führen. Google kann deine Seite als unsicher markieren und aus dem Index nehmen. Im schlimmsten Fall ist ein kompletter Datenverlust die Folge.
Wie oft sollte ich meine Website aktualisieren?
Plugin Updates sollten wöchentlich eingespielt werden, nachdem ein Backup erstellt wurde. WordPress Core Minor Updates sollten so schnell wie möglich umgesetzt werden, da sie oft Sicherheitslücken schließen. Major Updates können monatlich – nach einem Test in einer Staging-Umgebung – eingespielt werden. Die PHP Version sollte quartalsweise geprüft und bei Bedarf aktualisiert werden.
Wie schütze ich meine WordPress Website vor Hackern?
Der effektivste Schutz ist eine Kombination aus mehreren Maßnahmen: regelmäßige Updates aller Komponenten, starke Passwörter mit Zwei-Faktor-Authentifizierung, ein Firewall Plugin wie Wordfence, ein SSL Zertifikat, automatische Backups an einem externen Speicherort und das Löschen aller nicht genutzten Plugins und Themes. Kein einzelnes Tool bietet vollständige Sicherheit – aber mehrere Schutzschichten zusammen reduzieren das Risiko drastisch.
Was ist ein WordPress Wartungsvertrag?
Ein WordPress Wartungsvertrag ist eine Vereinbarung mit einer Agentur oder einem Freelancer, der regelmäßig Updates, Backups, Sicherheits-Monitoring und technische Pflege für deine Website übernimmt. Die Kosten liegen je nach Umfang typischerweise zwischen 30 und 150 Euro pro Monat. Er ist besonders sinnvoll für Unternehmen, die keine internen IT-Ressourcen haben und sich auf ihr Kerngeschäft konzentrieren möchten.
Wie richte ich automatische Backups für WordPress ein?
Automatische Backups lassen sich einfach mit einem Plugin einrichten. UpdraftPlus ist die meistgenutzte und empfehlenswerte Lösung – die kostenlose Version reicht für die meisten Websites. Nach der Installation kannst du Backup-Intervall, Speicherort (Google Drive, Dropbox, Amazon S3) und Aufbewahrungsdauer festlegen. Wichtig ist, Backups immer extern zu speichern – also nicht nur auf demselben Server wie die Website – und die Wiederherstellung regelmäßig zu testen.
Warum ist ein SSL Zertifikat wichtig für meine Website?
Ein SSL Zertifikat ist wichtig, weil es die Datenübertragung zwischen deiner Website und den Besucher*innen verschlüsselt. Ohne SSL zeigen moderne Browser eine Sicherheitswarnung an, was das Vertrauen massiv schädigt. Dazu bevorzugt Google HTTPS-Websites in den Suchergebnissen – ein fehlendes SSL Zertifikat ist also auch ein SEO Nachteil. Die meisten Hosting-Anbieter stellen kostenlose SSL Zertifikate bereit, die mit wenigen Klicks aktiviert werden können.
