Eine WordPress-Website ist kein Projekt mit Enddatum, sondern ein System, das gepflegt werden will. Ohne WordPress Wartung passiert das, was mit jedem ungepflegten System passiert: Es wird langsamer, unsicherer und irgendwann teuer. Die gute Nachricht: Ein großer Teil der Wartung ist kein Hexenwerk – und lässt sich mit einer klaren Routine selbst erledigen.
In diesem Artikel zeige ich dir die vier Säulen der Wartung, eine konkrete monatliche Routine für Selbermacher – und die ehrliche Antwort auf die Frage, ab wann sich professionelle Wartung wirtschaftlich rechnet. Mit Quellen, Video und den typischen Fehlern aus der Praxis.
Zusammenfassung
- Rund 9 von 10 WordPress-Sicherheitslücken stecken in Plugins – nicht im WordPress-Core. Regelmäßige Updates sind deshalb die wichtigste Wartungsmaßnahme überhaupt.
- WordPress Wartung steht auf vier Säulen: Updates, Backups, Sicherheit und Performance – wer eine davon ignoriert, riskiert die anderen drei gleich mit.
- Backups zählen nur, wenn sie automatisch laufen, extern gespeichert werden und mindestens einmal testweise wiederhergestellt wurden.
- Mit einer monatlichen Routine von 30 bis 60 Minuten lässt sich der Großteil der Wartung selbst erledigen – eine Checkliste dafür steht im Artikel.
- Professionelle Wartung lohnt sich, wenn die Website aktiv Anfragen oder Umsatz bringt – dann ist ein Ausfall teurer als der Wartungsvertrag.
Warum WordPress Wartung kein Nice-to-have ist
WordPress betreibt über 40 Prozent aller Websites weltweit – und ist genau deshalb das beliebteste Angriffsziel für automatisierte Attacken. Die Zahlen dazu sind eindeutig: Laut dem State of WordPress Security Report von Patchstack stecken rund 9 von 10 gemeldeten Sicherheitslücken in Plugins, der Rest überwiegend in Themes. Der WordPress-Core selbst ist für nur etwa ein Prozent verantwortlich.
Das hat eine wichtige Konsequenz: Nicht WordPress ist unsicher – ungepflegte Plugins sind es. Besonders kritisch: Ein erheblicher Teil der gemeldeten Schwachstellen erhält bis zur Veröffentlichung keinen Patch vom Entwickler. Wer also wahllos Plugins installiert und Updates aufschiebt, sammelt offene Türen.
Dazu kommt die wirtschaftliche Seite, die mir als Berater wichtiger ist als jede Technik-Diskussion: Eine gehackte oder kaputte Website kostet nicht nur die Bereinigung. Sie kostet Anfragen, Rankings und Vertrauen – also genau das, wofür die Website überhaupt existiert. Wartung ist deshalb keine IT-Pflichtübung, sondern Schutz deiner Investition.
Die vier Säulen der WordPress Wartung
Säule 1: Updates – Core, Plugins, Themes
Updates sind die wichtigste Einzelmaßnahme. Die richtige Reihenfolge: zuerst ein Backup, dann Plugins, dann Themes, dann der Core. Nach jedem Schwung kurz die Website im privaten Tab prüfen – Startseite, eine Unterseite, das Kontaktformular.
Automatische Updates sind dabei kein Tabu, sondern ein Werkzeug: Für kleinere Core-Versionen (Sicherheits-Releases) sind sie standardmäßig aktiv und sollten es bleiben – das empfiehlt auch das offizielle WordPress-Sicherheitsteam. Bei Plugins würde ich differenzieren: Unkritische Plugins können automatisch aktualisieren, geschäftskritische (Shop, Formulare, Pagebuilder) besser manuell mit Sichtkontrolle.
Genauso wichtig wie das Aktualisieren: das Aufräumen. Jedes deaktivierte Plugin und jedes ungenutzte Theme ist Angriffsfläche ohne Nutzen. Was nicht gebraucht wird, fliegt raus.
Säule 2: Backups – automatisch und extern
Ein Backup, das auf demselben Server liegt wie die Website, ist kein Backup – es ist eine Kopie, die beim selben Ausfall mit verschwindet. Die Regel lautet deshalb: automatisch erstellen, extern speichern (Cloud-Speicher wie Google Drive, Dropbox oder S3), mehrere Generationen aufbewahren.
Für WordPress hat sich dafür UpdraftPlus als Standard etabliert: Zeitplan festlegen, externes Speicherziel verbinden, fertig. Viele Hoster bieten zusätzlich eigene Backups an – die sind eine gute zweite Ebene, aber kein Ersatz für ein Backup, auf das du selbst Zugriff hast.
Und der Punkt, den fast alle überspringen: Ein Backup zählt erst, wenn du einmal getestet hast, dass die Wiederherstellung funktioniert. Der schlechteste Zeitpunkt, das herauszufinden, ist der Ernstfall.
Säule 3: Sicherheit – Login, Firewall, Monitoring
Die meisten Angriffe auf WordPress sind unspektakulär: Bots probieren massenhaft Passwörter am Login durch. Dagegen helfen drei einfache Maßnahmen: starke, einmalige Passwörter für alle Benutzer, Zwei-Faktor-Authentifizierung für Administratoren und eine Begrenzung der Login-Versuche.
Ergänzend lohnt ein Security-Plugin mit Firewall und Schwachstellen-Monitoring – etwa Wordfence, Solid Security oder Patchstack, das bekannte Plugin-Lücken virtuell patcht, bevor der Entwickler ein Update liefert. Wichtig für die Einordnung: Ein Security-Plugin ist die Alarmanlage, nicht das Fundament. Das Fundament bleiben Updates und Backups.
Prüfe außerdem regelmäßig die Benutzerliste: Ehemalige Mitarbeiter, alte Agentur-Zugänge und unbekannte Administratoren haben dort nichts verloren.
Säule 4: Performance und Datenbank
Wartung heißt auch: Die Seite bleibt schnell. Dazu gehört das Aufräumen der Datenbank (Revisionen, Spam-Kommentare, verwaiste Tabellen gelöschter Plugins) und ein funktionierendes Caching. Wie Page-Cache und Object-Cache zusammenspielen und was du wirklich brauchst, habe ich im Artikel WP Rocket und Redis Object Cache ausführlich beschrieben.
Ein monatlicher Blick auf die Ladezeit – etwa mit PageSpeed Insights – zeigt dir früh, wenn etwas aus dem Ruder läuft. Schleichende Verlangsamung fällt sonst erst auf, wenn die Anfragen zurückgehen.
Wer die Grundlagen lieber im Video sieht: Dieses deutschsprachige Webinar zeigt Backups, Login-Sicherheit und Updates Schritt für Schritt.
Was du selbst machen kannst: Die monatliche Routine
Für eine normale Unternehmenswebsite reicht eine feste Routine von 30 bis 60 Minuten pro Monat – plus ein wöchentlicher Kurz-Check der Update-Anzeige. So sieht sie aus:
- Backup prüfen: Ist das letzte automatische Backup gelaufen? Liegt es extern?
- Updates einspielen: Erst Backup, dann Plugins → Themes → Core. Danach Startseite, Unterseite und Formular testen.
- Aufräumen: Deaktivierte Plugins und ungenutzte Themes löschen, Spam-Kommentare entfernen.
- Benutzer kontrollieren: Gibt es Konten, die niemand mehr braucht? Löschen oder Rechte reduzieren.
- Websitezustand ansehen: Unter Werkzeuge → Websitezustand zeigt WordPress selbst, wo es hakt – von PHP-Version bis Object Cache.
- Ladezeit und Formulare testen: PageSpeed-Check plus eine echte Testanfrage über das Kontaktformular. Kaputte Formulare sind der teuerste unbemerkte Fehler überhaupt.
Einmal im Quartal kommt dazu: Wiederherstellung eines Backups testen (auf einer Staging-Umgebung oder lokal) und die PHP-Version mit dem Hoster abgleichen.
Wann professionelle Wartung sinnvoll ist
Die ehrliche Antwort hängt nicht von der Technik ab, sondern von der Rolle deiner Website. Drei Fragen helfen bei der Entscheidung:
- Was kostet ein Tag Ausfall? Wenn deine Website aktiv Anfragen oder Umsätze bringt, ist jeder Ausfalltag teurer als ein Monat Wartungsvertrag. Dann ist die Rechnung schnell eindeutig.
- Machst du es wirklich? Die beste Routine nützt nichts, wenn sie im Tagesgeschäft untergeht. Drei Monate ohne Updates sind riskanter als gar kein Plan, weil sie sich nach Sicherheit anfühlen.
- Wer hilft im Ernstfall? Bei einem Hack oder einem weißen Bildschirm nach einem Update zählt Reaktionszeit. Ohne Partner beginnt dann erst die Dienstleister-Suche – im schlechtesten Moment.
Mein Standpunkt als Berater: Eine reine Visitenkarten-Website kannst du mit der Routine oben gut selbst pflegen. Sobald die Website aber ein aktiver Vertriebskanal ist – mit Werbebudget, SEO-Investment und messbaren Anfragen – gehört die Wartung in dieselbe Kategorie wie das Kampagnen-Management: professionell erledigt, damit du dich um dein Geschäft kümmern kannst. Wie ich das im Rahmen meiner WordPress-Betreuung handhabe, findest du auf der Leistungsseite.
Häufige Fehler bei der WordPress Wartung
- Updates aus Angst aufschieben. „Never change a running system“ ist bei WordPress gefährlicher Unsinn – die meisten Hacks nutzen Lücken, für die längst ein Update existiert.
- Backup ohne Wiederherstellungstest. Erst im Ernstfall festzustellen, dass das Backup unvollständig ist, ist der Klassiker unter den teuren Überraschungen.
- Plugin-Sammlung statt Plugin-Strategie. Jedes Plugin ist Angriffsfläche und Wartungsaufwand. Vor jeder Installation lohnt die Frage: Brauche ich das wirklich – und wird es aktiv gepflegt?
- Alles auf das Security-Plugin schieben. Eine Firewall ersetzt keine Updates. Wer das Fundament vernachlässigt, dem hilft auch die beste Alarmanlage nicht.
- Wartung ohne Dokumentation. Spätestens beim Dienstleister-Wechsel rächt sich, wenn niemand weiß, welche Zugänge, Lizenzen und Sonderlösungen existieren.
Häufige Fragen zur WordPress Wartung
Als Faustregel: Updates wöchentlich prüfen und zeitnah einspielen, Backups täglich automatisch laufen lassen, die große Routine (Aufräumen, Benutzer, Performance, Formulartest) einmal im Monat. Sicherheitskritische Updates – etwa bei aktiv ausgenutzten Plugin-Lücken – gehören sofort eingespielt, nicht zum nächsten Termin.
Je nach Umfang liegen Wartungsverträge meist zwischen 50 und 250 Euro pro Monat – von reinen Update-Paketen bis zur Betreuung mit Monitoring, Staging und Notfall-Support. Die wirtschaftliche Gegenrechnung: Was kostet ein Tag Ausfall an Anfragen und Umsatz, und was kostet eine professionelle Hack-Bereinigung? Letztere liegt schnell im vierstelligen Bereich.
Ja, mit Augenmaß. Automatische Sicherheits-Updates des WordPress-Core sollten immer aktiv bleiben. Bei Plugins gilt: Unkritische Plugins können automatisch aktualisieren, geschäftskritische Komponenten wie Shop, Formulare oder Pagebuilder besser manuell mit anschließender Sichtkontrolle – und immer mit aktuellem Backup im Rücken.
Kurzfristig meist nichts – das ist das Tückische. Mittelfristig sammeln sich bekannte Sicherheitslücken, die Bots automatisiert ausnutzen. Die Folgen reichen von Spam-Einschleusung über Google-Warnungen und Ranking-Verluste bis zur komplett übernommenen Website. Dazu kommen Inkompatibilitäten, die spätere Updates immer riskanter machen.
Nein. Ein Security-Plugin ist eine sinnvolle zusätzliche Schutzschicht – Firewall, Login-Schutz, Malware-Scan. Das Fundament der Sicherheit sind aber aktuelle Plugins und Themes, ein gepflegter Core, starke Zugangsdaten und getestete Backups. Rund 9 von 10 Lücken stecken in Plugins; die schließt kein Scanner, sondern nur das Update.
Fazit
WordPress Wartung ist keine Raketenwissenschaft, aber auch kein Selbstläufer. Die vier Säulen – Updates, Backups, Sicherheit, Performance – lassen sich mit einer monatlichen Routine von 30 bis 60 Minuten solide selbst abdecken. Entscheidend ist weniger das Wie als das Ob: Eine Routine, die wirklich stattfindet, schlägt jeden perfekten Plan, der im Tagesgeschäft untergeht.
Sobald deine Website aber ein aktiver Vertriebskanal ist, lohnt die wirtschaftliche Rechnung: Ein Ausfalltag kostet dann meist mehr als ein Monat professionelle Betreuung. Wenn du wissen willst, wie es um deine Website steht, schau dir meine WordPress-Betreuung an – im kostenlosen Erstgespräch sage ich dir ehrlich, ob du einen Wartungsvertrag brauchst oder ob die Selbermacher-Routine für dich reicht.
