WordPress-Wartung Checkliste
Gute WordPress-Wartung lebt von Regelmäßigkeit: Updates, Backups, Sicherheit, Performance und Monitoring, die Sie strukturell durchführen statt erst, wenn etwas kaputtgeht. Der Kern einer Wartungs-Checkliste lautet: Kern, Theme und Plugins sicher aktualisieren, Backups erstellen und testen, die Sicherheit in Ordnung halten, auf Malware scannen, Geschwindigkeit und Uptime überwachen sowie Benutzer, Rechte und Formulare prüfen. Nachfolgend finden Sie eine vollständige, praktische Checkliste mit einer kurzen Begründung je Punkt.
Kern-, Theme- und Plugin-Updates
Veraltete Software ist mit Abstand die häufigste Ursache gehackter WordPress-Sites. Aktualisieren Sie den WordPress-Kern, das aktive Theme und alle Plugins regelmäßig — am besten zuerst in einer Staging-Umgebung, damit Sie Updates testen können, bevor sie live gehen. Lesen Sie bei großen Updates das Changelog, da diese Änderungen oder Konflikte mit sich bringen können. Entfernen Sie Plugins und Themes, die Sie nicht nutzen: Jedes zusätzliche Plugin ist potenzielle Angriffsfläche und zusätzlicher Wartungsaufwand.
Backups und Wiederherstellungstest
Ein Backup, das Sie nie zurückgespielt haben, ist kein Backup, sondern eine Annahme. Richten Sie automatische Backups von Dateien und Datenbank ein, speichern Sie sie extern (getrennt vom Webserver) und behalten Sie mehrere Versionen. Der entscheidende und am häufigsten vergessene Teil: Testen Sie regelmäßig, ob Sie ein Backup tatsächlich zurückspielen können. So wissen Sie, dass Sie nach einer Störung, einem fehlerhaften Update oder einem Hack schnell wieder online sind — statt erst dann zu entdecken, dass die Wiederherstellung scheitert, wenn Sie sie am dringendsten brauchen.
Sicherheit und Hardening
Begrenzen Sie Zugriff und Angriffsfläche. Nutzen Sie starke, einzigartige Passwörter mit Zwei-Faktor-Authentifizierung, begrenzen Sie Anmeldeversuche und schützen oder verbergen Sie die Anmeldeseite. Setzen Sie eine Web Application Firewall vor die Site, halten Sie SSL/HTTPS aktiv und korrekt konfiguriert und betreiben Sie eine unterstützte PHP-Version. Prüfen Sie Dateirechte und deaktivieren Sie das Bearbeiten von Theme- und Plugin-Code über das Dashboard. Vieles davon überschneidet sich mit sichere Hosting, wo Firewall und Serversicherheit bereits auf Plattformebene geregelt sind.
Performance und Geschwindigkeit
Eine langsame Site kostet Besucher, Conversions und Suchpositionen. Halten Sie Caching aktiv und korrekt konfiguriert, optimieren und komprimieren Sie Bilder (und nutzen Sie moderne Formate), räumen Sie die Datenbank regelmäßig auf (Revisionen, Transients, Spam) und begrenzen Sie Anzahl und Gewicht der Plugins. Prüfen Sie die Ladezeit regelmäßig mit einem Tool wie PageSpeed Insights und behalten Sie die Core Web Vitals im Blick. Performance-Wartung ist keine einmalige Aktion: Neue Inhalte und Updates können die Geschwindigkeit langsam verschlechtern.
Malware-Scan und Uptime-Monitoring
Scannen Sie die Site regelmäßig auf Malware und auf unerwünschte Dateiänderungen, damit Sie eine Infektion entdecken, bevor Besucher oder Google es tun. Kombinieren Sie dies mit Uptime-Monitoring, das Sie warnt, sobald die Site nicht erreichbar ist oder langsamer wird. Zusammen bilden sie Ihr Frühwarnsystem: Je früher Sie ein Problem sehen, desto kleiner der Schaden und desto schneller die Wiederherstellung. Wird die Site doch infiziert, folgen Sie unserem Leitfaden WordPress gehackt: was tun?
WooCommerce, Benutzer, Rechte und Formulare
Betreiben Sie einen Webshop, behandeln Sie WooCommerce besonders sorgfältig: Testen Sie nach jedem Update den Bestell- und Bezahlvorgang, halten Sie Zahlungs- und Versand-Plugins aktuell und achten Sie auf die PCI- und Datenschutzaspekte von Kundendaten. Prüfen Sie außerdem Benutzer und Rechte: Entfernen Sie alte Konten, geben Sie niemandem mehr Rechte als nötig und kontrollieren Sie auf unbekannte Administratoren. Testen Sie schließlich Ihre Formulare (Kontakt, Angebot, Newsletter): Kommen E-Mails an, funktioniert die Speicherung und erfüllen Sie die DSGVO für die erfassten Daten? Möchten Sie all das abgeben, siehe WordPress-Wartung oder die breitere Website-Wartung.
Häufige Fragen
Kurze, direkte Antworten auf die häufigsten Fragen.
Eine vollständige Checkliste umfasst: Updates für Kern, Theme und Plugins (am besten zuerst auf Staging), automatische und getestete Backups, Sicherheit und Hardening (starke Passwörter, 2FA, Firewall, SSL), Performance-Optimierung, regelmäßige Malware-Scans, Uptime-Monitoring, WooCommerce-Checks bei einem Webshop, Verwaltung von Benutzern und Rechten sowie das Testen von Formularen. Jeder Punkt senkt das Risiko von Ausfall, Hacks oder Datenverlust.
Sicherheitsupdates installieren Sie so schnell wie möglich, idealerweise innerhalb weniger Tage nach Veröffentlichung. Reguläre Updates, ein Malware-Scan und eine Backup-Kontrolle gehören mindestens monatlich, bei stark frequentierten oder geschäftskritischen Sites wöchentlich. Uptime-Monitoring läuft kontinuierlich. Eine gründliche Prüfung von Performance, Benutzern und Formularen können Sie quartalsweise vornehmen. Regelmäßigkeit ist wichtiger als die genaue Frequenz.
Weil veralteter Kern, Themes oder Plugins der häufigste Einstiegsweg sind. Updates schließen bekannte Sicherheitslücken, die Angreifer aktiv ausnutzen, oft kurz nachdem eine Lücke öffentlich wird. Neben der Sicherheit bringen Updates auch Fehlerbehebungen, Kompatibilität mit neuen PHP-Versionen und neue Funktionen. Testen Sie große Updates zuerst auf Staging, um Überraschungen auf der Live-Site zu vermeiden.
Ja, eigene Backups bleiben sinnvoll. Host-Backups sind manchmal in Aufbewahrungsdauer, Frequenz oder Zugänglichkeit begrenzt und liegen oft auf derselben Plattform — ein Risiko bei einem Serverausfall. Behalten Sie daher eigene externe Backups mit mehreren Versionen und testen Sie regelmäßig, ob Sie sie wirklich zurückspielen können. Zwei unabhängige Backup-Wege geben die größte Sicherheit.
Ja, und für die meisten Unternehmen ist das die sinnvolle Wahl. Bei ausgelagerter Wartung werden Updates getestet und durchgeführt, Backups überwacht und getestet, die Sicherheit beobachtet und Probleme proaktiv gelöst — ohne dass Sie selbst Zeit investieren oder Risiken übersehen. So bleibt die Site sicher, schnell und aktuell, und Sie können sich auf Ihre eigene Arbeit konzentrieren.
Ohne Wartung häufen sich die Risiken: ungepatchte Lücken machen einen Hack wahrscheinlicher, fehlende oder ungetestete Backups machen die Wiederherstellung unsicher, und die Site wird langsamer und fehleranfälliger, je älter Plugins und PHP werden. Im schlimmsten Fall ist die Site offline, Sie verlieren Daten oder Kundendaten und Ihre Auffindbarkeit und Reputation leiden. Wartung ist günstiger als Wiederherstellung.
