WordPress-Wartung:
Was passiert, wenn niemand sich kümmert?

Eine Kundin ruft mich im Januar an. Ihre Website – ein kleiner Dienstleister im Aargau, WordPress-basiert, vor vier Jahren gebaut – leitet plötzlich auf eine zweifelhafte Glücksspiel-Seite um. Google hat die Domain als "unsicher" markiert. Bestehende Kunden bekommen Browser-Warnmeldungen, wenn sie die Seite öffnen. Die Betreiberin hatte jahrelang nichts geändert, nichts aktualisiert – und eigentlich auch nichts bemerkt.

Nach zwei Stunden Analyse wird klar, was passiert ist: Ein seit 2023 nicht mehr gepflegtes Kontaktformular-Plugin hatte eine bekannte Sicherheitslücke. Angreifer haben die Schwachstelle im Herbst ausgenutzt, eine Hintertür installiert und die Seite seit Wochen für ihre Umleitung missbraucht. Der Schaden: zwei verlorene Neukunden-Anfragen pro Woche, eine abgestrafte Domain bei Google und ein Wiederherstellungsaufwand von mehreren Tagen.

Genau dieser Ablauf – unauffälliger Verfall, plötzlicher Einschlag – ist kein Ausnahmefall. Er ist Standard bei WordPress-Websites, die niemand pflegt. In diesem Artikel zeige ich, warum das so ist, wie der Verfall in 12 Monaten typischerweise aussieht und was saubere Wartung wirklich umfasst.

Warum WordPress Wartung braucht – und statische Seiten oft nicht

WordPress betreibt weltweit rund 43 Prozent aller Websites. Diese Marktstellung macht es zum beliebtesten Ziel automatisierter Angriffe. Es gibt keine "kleine Website, die keiner angreift" – die Bots scannen das gesamte Internet, nicht gezielt Ihre Domain. Wenn Ihre WordPress-Version, ein Plugin oder das Theme eine bekannte Lücke hat, ist es nur eine Frage von Tagen bis Wochen, bis ein Scan sie findet.

Hinzu kommt: WordPress ist ein lebendes System aus drei Schichten, die alle laufend Updates erhalten:

• WordPress-Core – mehrere Sicherheits- und Wartungs-Releases pro Jahr.
• Plugins – eine typische KMU-Website hat 10 bis 20 Plugins, die alle einzeln gepflegt werden müssen.
• Themes – meist seltener aktualisiert, aber nicht immer kompatibel mit neueren Core-Versionen.

Dazu die Umgebung: PHP-Versionen werden abgekündigt, MySQL wird ersetzt durch MariaDB, SSL-Zertifikate laufen ab, Browser-Standards ändern sich. Eine WordPress-Website ist eher wie ein Auto – ohne Service wird sie irgendwann stehen bleiben – als wie ein Möbelstück, das man einmal hinstellt.

Das 12-Monats-Bild einer vernachlässigten WordPress-Website

Hier ist, was ich in der Praxis regelmässig sehe, wenn ich eine seit Monaten oder Jahren ungewartete Seite übernehme. Der Verfall ist selten dramatisch – er kommt schleichend.

Monat 1–3: Alles scheint normal

Oberflächlich läuft die Seite. Besucher merken nichts. Im Hintergrund stauen sich aber bereits 5 bis 15 Plugin-Updates, eine WordPress-Punktversion und möglicherweise ein PHP-Hosting-Update an. Jedes einzelne wäre in Minuten erledigt – gemeinsam eingespielt wird daraus ein Risikococktail, weil niemand weiss, welches Update welche Inkompatibilität bringt.

Monat 3–6: Erste Nebengeräusche

Kleine Symptome tauchen auf: Ein Kontaktformular liefert plötzlich keine E-Mails mehr aus, weil der SMTP-Versand veränderte TLS-Anforderungen hat. Die Galerie lädt langsamer, weil ein Bildkomprimierungs-Plugin deprecated wurde. Google Search Console zeigt erste Crawling-Fehler. Nichts davon ist offensichtlich – aber die Seite verliert messbar an Performance und Zuverlässigkeit.

Monat 6–12: Das Einfallstor öffnet sich

Jetzt werden mindestens ein Plugin und meist die WordPress-Version mehrere Sicherheits-Releases hinterher sein. Ab hier genügt ein einziger publizierter Exploit, und die Seite ist für automatisierte Angreifer offen. Die meisten erfolgreichen Hacks, die ich sehe, treffen Websites, die zwischen 6 und 18 Monaten ungepflegt waren.

Ab Monat 12: Sichtbarer Schaden

Ab hier ist nicht mehr die Frage ob, sondern welche Folgen eintreten: Malware-Injektion, SEO-Spam-Weiterleitungen, Missbrauch als Phishing-Host, Komplettausfall nach PHP-Update – oder im harmlosesten Fall schlicht eine Seite, die langsam, kaputt und nicht mehr modernisierbar ist.

Was saubere WordPress-Wartung wirklich umfasst

"Wartung" wird oft als einzelne Position verkauft, ist aber in Wahrheit ein Bündel aus wiederkehrenden, sehr unterschiedlichen Aufgaben. Hier die ehrliche Checkliste, die ich an jeder WordPress-Website abarbeite:

Wöchentlich bis monatlich

• Plugin-Updates einzeln testen. Nicht "Alle aktualisieren"-Knopf drücken, sondern jedes Plugin einzeln, mit Backup davor und Funktionsprüfung danach.
• WordPress-Core-Punktversionen einspielen – meist harmlose Sicherheitsreleases, sollten aber zeitnah kommen.
• Spam-Kommentare und -Registrierungen bereinigen.
• Backup-Integrität prüfen. Ein Backup, das nicht getestet wird, ist kein Backup.

Quartalsweise

• Core-Major-Updates auf Staging-System testen, dann produktiv schalten.
• Performance-Check: Core Web Vitals, Ladezeiten, Bildoptimierung.
• SSL-Zertifikat prüfen (meist automatisch, aber Kontrolle schadet nicht).
• Plugin-Inventar: Was wird nicht mehr genutzt? Jedes entfernte Plugin ist eine weniger potenzielle Angriffsfläche.

Jährlich

• PHP-Version auf aktuellen stabilen Stand bringen. Hosting-Anbieter kündigen alte Versionen meist ein Jahr vorher an.
• Malware-Vollscan mit einem seriösen Tool wie Wordfence oder Patchstack.
• Recovery-Test: Ein komplettes Restore auf einer Testumgebung durchspielen.
• Design- und Inhalts-Review: Was ist veraltet, was fehlt, was funktioniert anders als gedacht?

Selber machen oder auslagern – ehrliche Einschätzung

WordPress-Wartung ist technisch nicht raketenhaft. Wer Zeit und Interesse hat, kann einen Grossteil selbst machen. Realistisch sind das 2 bis 4 Stunden pro Monat für eine kleine KMU-Website – konzentriert, ohne Unterbrechungen, mit einem stabilen Ablauf.

Das Problem ist selten das Können. Es ist die Regelmässigkeit. Ich sehe immer wieder ein typisches Muster: Der Inhaber hat im ersten Halbjahr monatlich 30 Minuten investiert, dann kommt ein grosser Auftrag, dann Ferien, dann das Weihnachtsgeschäft – und die Wartung ist 14 Monate später das erste Mal wieder dran. Genau in diesen Lücken passieren die Einbrüche.

Meine Empfehlung: Wartung macht Sinn selbst zu machen, wenn sie fest im Kalender steht (z.B. jeden ersten Montag, 90 Minuten blockiert) und Sie technisch halbwegs sicher sind. Sonst ist Auslagern meistens günstiger, als es nachher zu reparieren – und das nicht nur finanziell, sondern auch zeitlich und reputationsmässig.

Drei häufige Fragen

Reicht ein reines Backup-Plugin?
Backups sind wichtig, aber kein Ersatz für Wartung – sie bewahren Sie nur vor dem Totalverlust. Eine seit Monaten gehackte Seite zu restaurieren bringt Ihnen nichts, wenn das Backup den Hack bereits enthält. Backups ohne Updates schieben das Problem nur auf.

Wie oft sollten Plugin-Updates wirklich kommen?
Sicherheitsrelevante Updates innerhalb von 1 bis 7 Tagen. Normale Funktions-Updates können monatlich gebündelt werden. "Alles automatisch aktualisieren" klingt bequem, führt aber regelmässig zu stillen Inkompatibilitäten, die erst bei Nutzeraktionen auffallen.

Was ist mit Managed-Hosting (z.B. wpengine, Kinsta)?
Managed-Hosts machen Core-Updates und Basis-Monitoring, übernehmen aber typischerweise keine Verantwortung für Plugins, Themes oder inhaltliche Integrität. Für eine kleine Schweizer KMU ist das oft teurer als nötig und ersetzt keine inhaltliche Betreuung. Sinnvoll vor allem bei sehr traffic-starken oder komplexen Projekten.

Fazit

Eine WordPress-Website zu betreiben ohne Wartung ist wie eine Heizung zu betreiben ohne Service: Sie läuft, bis sie nicht mehr läuft – und dann meistens zum schlechtestmöglichen Zeitpunkt. Der Schaden ist dabei selten die Reparatur selbst, sondern die Zeit, in der die Seite offline, unsicher oder bei Google abgewertet ist.

Die gute Nachricht: Wartung ist unspektakulär. Wenn sie sauber läuft, merken Sie sie nicht – genau wie bei der Heizung. Und für die meisten kleinen Schweizer Unternehmen ist es günstiger und nervenschonender, diese Routine auszulagern, als sich alle paar Jahre aus einem Schaden herausarbeiten zu müssen.