Rund 43 Prozent aller Websites weltweit laufen mit WordPress. Diese Verbreitung macht das Content-Management-System nicht nur zur beliebtesten Plattform, sondern auch zum bevorzugten Ziel von Hackern. Allein im Jahr 2023 entfielen laut Sucuri über 90 Prozent aller bereinigten CMS-Infektionen auf WordPress-Installationen. Der häufigste Grund: veraltete Software, nicht aktualisierte Plugins und fehlende Sicherheitsmaßnahmen.

Doch Sicherheit ist nur ein Aspekt. Eine vernachlässigte WordPress Website wird mit der Zeit langsamer, weil sich Datenbankeinträge ansammeln, ungenutzter Code geladen wird und Medien nicht optimiert sind. Google bewertet Core Web Vitals wie Ladezeit und Interaktivität als Rankingfaktoren. Wer seine Website nicht regelmäßig pflegt, verliert also nicht nur Besucher durch lange Wartezeiten, sondern auch Sichtbarkeit in den Suchergebnissen.

In meiner täglichen Arbeit sehe ich immer wieder WordPress-Projekte, bei denen grundlegende Wartungsaufgaben über Monate oder sogar Jahre vernachlässigt wurden. Die Folgen reichen von gehackten Seiten über dramatisch schlechte Ladezeiten bis hin zu komplettem Ranking-Verlust. Dabei lassen sich die meisten Probleme mit einer klaren Routine verhindern.

Dieser Artikel zeigt dir, welche Wartungsbereiche es gibt, warum jeder einzelne wichtig ist und wie du eine effektive Wartungsroutine aufbaust. Du erfährst, wie du Updates sicher durchführst, welche Backup-Strategie sich bewährt hat, wie du deine Website gegen Angriffe absicherst, die Performance verbesserst und deine SEO-Grundlage pflegst. Am Ende hast du alle Informationen, die du brauchst, um selbst zu entscheiden, welche Aufgaben du übernimmst und wo professionelle Unterstützung sinnvoll ist.

1. Updates und Aktualisierungen: Das Fundament jeder WordPress-Wartung

Jede WordPress-Installation besteht aus drei Softwareschichten: dem WordPress-Core, dem aktiven Theme und den installierten Plugins. Jede dieser Schichten wird von unterschiedlichen Entwicklern gepflegt und in unregelmäßigen Abständen aktualisiert. Updates liefern nicht nur neue Funktionen, sondern schließen vor allem bekannte Sicherheitslücken und beheben Fehler. Wer Updates ignoriert, lässt diese Schwachstellen offen und macht seine Website zum leichten Ziel.

Warum Updates so kritisch sind

Sobald eine Sicherheitslücke in einem Plugin oder im WordPress-Core öffentlich bekannt wird, beginnt ein Wettlauf. Entwickler veröffentlichen Patches, während Angreifer automatisierte Skripte nutzen, um ungepatchte Installationen zu finden. Laut dem WPBeginner Security Guide sind veraltete Plugins die häufigste Ursache für gehackte WordPress-Seiten. Das Problem betrifft nicht nur kleine Blogs, sondern auch professionelle Unternehmenswebsites, die sensible Kundendaten verarbeiten.

WordPress-Core, Themes und Plugins richtig aktualisieren

Bevor du ein Update durchführst, solltest du immer ein vollständiges Backup deiner Website anlegen. Dieser Schritt ist nicht verhandelbar, denn ein fehlgeschlagenes Update kann im schlimmsten Fall die gesamte Seite lahmlegen. Nach dem Backup empfiehlt sich eine klare Reihenfolge: Zuerst den WordPress-Core aktualisieren, dann das Theme und anschließend die Plugins einzeln. So lassen sich Kompatibilitätsprobleme leichter eingrenzen, falls nach einem Update etwas nicht funktioniert. Die offizielle WordPress Developer-Dokumentation bietet dazu detaillierte Anleitungen für sichere Update-Prozesse.

Automatische vs. manuelle Updates

WordPress bietet seit Version 5.5 die Möglichkeit, automatische Updates für Plugins und Themes zu aktivieren. Das klingt zunächst komfortabel, birgt aber Risiken. Wenn ein automatisches Update ein Kompatibilitätsproblem verursacht, bemerkst du den Fehler möglicherweise erst Tage später. Für kleinere Sicherheits-Patches im Core sind automatische Updates sinnvoll, da WordPress diese standardmäßig im Hintergrund installiert. Bei größeren Core-Updates, Theme-Aktualisierungen und Plugins empfehle ich jedoch die manuelle Variante. So behältst du die Kontrolle und kannst nach jedem einzelnen Update prüfen, ob die Website noch einwandfrei funktioniert.

Entscheidend ist die Regelmäßigkeit. Ob du Updates wöchentlich oder alle zwei Wochen durchführst, hängt von der Komplexität deiner Website ab. Wichtig ist, dass du einen festen Rhythmus etablierst und nicht erst reagierst, wenn bereits Probleme aufgetreten sind. Eine gut gewartete WordPress Website mit aktueller Software ist die Grundlage für alle weiteren Wartungsmaßnahmen in den Bereichen Sicherheit, Performance und SEO.

2. Backups: Warum regelmäßige Sicherungen unverzichtbar sind

Ein Backup ist deine Versicherung gegen den Worst Case. Egal ob Hackerangriff, fehlgeschlagenes Update oder ein versehentlich gelöschter Inhalt: Ohne eine aktuelle Sicherung stehst du vor der Aufgabe, deine gesamte Website von Grund auf neu aufzubauen. Für Unternehmenswebsites, die als zentraler Vertriebskanal dienen, kann das Tage oder Wochen dauern und erheblichen wirtschaftlichen Schaden verursachen.

Was ein vollständiges Backup enthalten muss

Ein vollständiges WordPress-Backup besteht immer aus zwei Komponenten: den Dateien und der Datenbank. Die Dateien umfassen den WordPress-Core, alle Themes, Plugins, Uploads wie Bilder und PDFs sowie Konfigurationsdateien wie die wp-config.php. Die MySQL-Datenbank speichert sämtliche Inhalte, Einstellungen, Benutzerkonten und Kommentare. Wer nur eines von beiden sichert, hat im Ernstfall kein funktionsfähiges Backup. Der WPBeginner Maintenance Guide empfiehlt daher ausdrücklich, bei jeder Sicherung beide Bestandteile einzuschließen.

Backup-Strategien: Häufigkeit und Speicherorte

Wie oft du Backups erstellst, hängt davon ab, wie häufig sich Inhalte auf deiner Website ändern. Für einen Blog mit wöchentlichen Beiträgen reicht ein wöchentliches Backup. Für einen WooCommerce-Shop mit täglichen Bestellungen ist ein tägliches oder sogar stündliches Backup notwendig. Die offizielle WordPress.com Backup-Anleitung beschreibt verschiedene Ansätze, die sich an unterschiedliche Anforderungen anpassen lassen.

Ebenso wichtig wie die Häufigkeit ist der Speicherort. Backups sollten niemals ausschließlich auf dem gleichen Server liegen wie die Website selbst. Wird der Server kompromittiert, sind auch die Sicherungen verloren. Bewährt hat sich die Kombination aus einem Cloud-Speicher wie Google Drive, Dropbox oder Amazon S3 und einer zusätzlichen lokalen Kopie auf einer externen Festplatte. Mindestens zwei unabhängige Speicherorte sind empfehlenswert.

Backups testen: Der oft vergessene Schritt

Ein Backup ist nur so viel wert wie seine Wiederherstellbarkeit. Viele Website-Betreiber erstellen zwar regelmäßig Sicherungen, testen aber nie, ob sich diese tatsächlich zurückspielen lassen. Ich empfehle, mindestens einmal pro Quartal eine Testwiederherstellung durchzuführen. Das kann in einer lokalen Entwicklungsumgebung oder auf einer Staging-Umgebung geschehen. So stellst du sicher, dass deine Backups im Ernstfall auch wirklich funktionieren und du weißt, wie der Wiederherstellungsprozess abläuft.

3. Sicherheit: WordPress gegen Angriffe und Sicherheitslücken schützen

WordPress ist aufgrund seiner Verbreitung ein attraktives Ziel für Cyberangriffe. Die meisten Attacken laufen dabei vollautomatisch ab. Bots scannen das Internet nach bekannten Schwachstellen und nutzen diese systematisch aus. Laut Cloudflare gehören Brute-Force-Angriffe auf die Login-Seite, SQL-Injections und Cross-Site-Scripting zu den häufigsten Angriffsarten. Die gute Nachricht: Mit einigen grundlegenden Maßnahmen lässt sich das Risiko drastisch reduzieren.

Login-Bereich absichern

Der WordPress-Login unter /wp-admin ist die erste Anlaufstelle für Angreifer. Ein starkes, einzigartiges Passwort mit mindestens 16 Zeichen ist die absolute Grundvoraussetzung. Darüber hinaus sollte Zwei-Faktor-Authentifizierung (2FA) für alle Benutzerkonten mit Administratorrechten aktiviert sein. Diese zusätzliche Sicherheitsebene verhindert unbefugten Zugriff, selbst wenn ein Passwort kompromittiert wurde. Ergänzend dazu begrenzt eine Login-Limitierung die Anzahl der erlaubten Anmeldeversuche und blockiert IP-Adressen nach mehreren fehlgeschlagenen Versuchen automatisch.

Ebenfalls oft unterschätzt: die Anzahl der Benutzerkonten. Jedes aktive Konto ist ein potenzielles Einfallstor. Lösche nicht mehr benötigte Accounts konsequent und vergib nur die Berechtigungen, die tatsächlich erforderlich sind. Ein Redakteur braucht keine Administratorrechte.

Web Application Firewall und Malware-Scans

Eine Web Application Firewall (WAF) filtert schädlichen Traffic, bevor er deine Website erreicht. Sie erkennt typische Angriffsmuster und blockiert verdächtige Anfragen automatisch. Viele Sicherheits-Plugins bieten eine integrierte WAF zusammen mit regelmäßigen Malware-Scans. Diese Scans durchsuchen alle Dateien deiner WordPress-Installation nach bekannten Schadcode-Signaturen und melden Auffälligkeiten. Der Mittwald-Sicherheitsleitfaden bietet eine ausführliche Übersicht bewährter Sicherheitsmaßnahmen speziell für den deutschsprachigen Hosting-Kontext.

SSL-Zertifikat und Dateiberechtigungen

Ein SSL-Zertifikat verschlüsselt die Datenübertragung zwischen Browser und Server. Seit Jahren ist HTTPS ein Ranking-Faktor bei Google und wird von allen gängigen Browsern als Standard vorausgesetzt. Websites ohne SSL-Verschlüsselung erhalten eine Sicherheitswarnung, die Besucher sofort abschreckt. Neben SSL spielen auch die Dateiberechtigungen auf dem Server eine Rolle. Die wp-config.php sollte auf die Berechtigung 400 oder 440 gesetzt sein, Verzeichnisse auf 755 und Dateien auf 644. Falsch gesetzte Berechtigungen können Angreifern Schreibzugriff auf kritische Systemdateien ermöglichen.

Sicherheit bei WordPress ist kein einmaliges Setup, sondern ein fortlaufender Prozess. Regelmäßige Überprüfungen der installierten Plugins, aktive Überwachung verdächtiger Aktivitäten und schnelle Reaktion auf Sicherheitswarnungen gehören zur nachhaltigen Pflege einer Unternehmenswebsite dazu.

4. Performance: Ladezeiten optimieren und technische Altlasten beseitigen

Die Ladezeit deiner Website beeinflusst direkt, ob Besucher bleiben oder abspringen. Studien zeigen, dass bereits eine Verzögerung von einer Sekunde die Conversion-Rate um bis zu 7 Prozent senken kann. Google bewertet die Core Web Vitals als offiziellen Rankingfaktor, wobei der Largest Contentful Paint (LCP), der Interaction to Next Paint (INP) und der Cumulative Layout Shift (CLS) die drei zentralen Metriken bilden. Eine regelmäßige Performance-Wartung sorgt dafür, dass diese Werte im grünen Bereich bleiben.

Datenbank aufräumen und optimieren

Mit der Zeit sammelt die WordPress-Datenbank erhebliche Mengen an unnötigen Einträgen an. Dazu gehören Post-Revisionen, verwaiste Meta-Daten, Spam-Kommentare, transiente Optionen abgelaufener Caches und Tabellen längst deinstallierter Plugins. Diese Altlasten verlangsamen Datenbankabfragen und damit die gesamte Seitenauslieferung. Eine regelmäßige Datenbankoptimierung, idealerweise monatlich, entfernt überflüssige Einträge und hält die Tabellen schlank. Die WordPress Housekeeping-Dokumentation beschreibt im Detail, welche Bereiche der Datenbank regelmäßig bereinigt werden sollten.

Caching und Komprimierung einrichten

Ohne Caching generiert WordPress bei jedem Seitenaufruf die Seite dynamisch aus der Datenbank. Das kostet bei jedem einzelnen Request Serverressourcen und Zeit. Ein Caching-Plugin erstellt statische HTML-Versionen deiner Seiten und liefert diese direkt an den Browser aus. Das reduziert die Serverbelastung und beschleunigt die Ladezeit erheblich. Ergänzend dazu sollte die GZIP- oder Brotli-Komprimierung auf Serverebene aktiviert sein, um die übertragene Datenmenge weiter zu reduzieren. Die WordPress.com Dokumentation zur Site Speed liefert einen guten Überblick über die wichtigsten Stellschrauben.

Bilder, Medien und ungenutzten Code bereinigen

Bilder sind in den meisten Fällen die größten Dateien auf einer WordPress Website. Nicht optimierte Bilder im PNG- oder JPEG-Format verlangsamen die Ladezeit spürbar. Moderne Formate wie WebP oder AVIF bieten bei vergleichbarer Qualität deutlich kleinere Dateigrößen. Neben der Bildkomprimierung lohnt sich ein Blick auf die Mediathek insgesamt. Nicht mehr verwendete Bilder, verwaiste Uploads und doppelte Dateien belegen Speicherplatz und machen Backups unnötig groß. Der Elementor Performance-Leitfaden zeigt weitere praxisnahe Optimierungsmöglichkeiten speziell für WordPress.

Auch auf Code-Ebene entstehen mit der Zeit Altlasten. Deaktivierte Plugins, die noch installiert sind, können weiterhin CSS- und JavaScript-Dateien laden. Themes, die nicht mehr verwendet werden, sollten bis auf ein Standard-Fallback-Theme gelöscht werden. Jedes zusätzliche Plugin und jedes überflüssige Skript erhöht die Anzahl der HTTP-Requests und bremst die Website aus. Eine schlanke, aufgeräumte Installation ist die beste Grundlage für konstant gute Ladezeiten.

5. SEO-Pflege: Rankings und Sichtbarkeit langfristig erhalten

Suchmaschinenoptimierung ist keine einmalige Einrichtung, sondern ein kontinuierlicher Prozess. Selbst eine technisch perfekt aufgesetzte Website verliert mit der Zeit an Sichtbarkeit, wenn Inhalte veralten, Links ins Leere führen und neue Anforderungen von Google oder KI-Suchsystemen nicht berücksichtigt werden. Die regelmäßige SEO-Pflege gehört deshalb genauso zur WordPress-Wartung wie Updates und Backups.

Broken Links und Weiterleitungen prüfen

Broken Links sind tote Verlinkungen, die auf nicht mehr existierende Seiten verweisen. Sie entstehen, wenn externe Websites ihre URL-Struktur ändern, Inhalte löschen oder interne Seiten umbenannt werden, ohne eine Weiterleitung einzurichten. Für Besucher enden Broken Links in einer frustrierenden 404-Fehlerseite. Für Suchmaschinen signalisieren sie mangelnde Pflege, was sich negativ auf die Bewertung der gesamten Domain auswirken kann. Ein monatlicher Check mit einem Crawling-Tool hilft, defekte Links frühzeitig zu erkennen und durch aktuelle URLs oder sinnvolle 301-Weiterleitungen zu ersetzen.

Meta-Daten und strukturierte Daten aktuell halten

Title-Tags und Meta-Descriptions sind das Erste, was Nutzer in den Suchergebnissen sehen. Veraltete oder fehlende Meta-Daten verschenken Klickpotenzial. Bei jedem inhaltlichen Update einer Seite sollten auch die zugehörigen Meta-Daten geprüft und bei Bedarf angepasst werden. Gleiches gilt für strukturierte Daten im Schema.org-Format. Sie helfen Google und KI-Suchsystemen, den Inhalt einer Seite besser zu verstehen, und ermöglichen Rich Snippets in den Suchergebnissen. Die WordPress.com SEO-Dokumentation bietet einen kompakten Einstieg in die wichtigsten Onpage-SEO-Grundlagen.

Inhalte aktualisieren und für KI-Suchsysteme optimieren

Google bevorzugt Inhalte, die aktuell und relevant sind. Ein Blogbeitrag aus dem Jahr 2021 mit veralteten Zahlen und nicht mehr existierenden Tool-Empfehlungen verliert schrittweise an Ranking-Power. Die regelmäßige Überarbeitung bestehender Inhalte, auch Content-Refresh genannt, ist eine der wirkungsvollsten SEO-Maßnahmen. Dabei werden Statistiken aktualisiert, neue Erkenntnisse ergänzt und veraltete Abschnitte überarbeitet oder entfernt.

Neben der klassischen Google-Suche gewinnen KI-gestützte Suchsysteme wie ChatGPT, Perplexity und Google AI Overviews zunehmend an Bedeutung. Diese Systeme ziehen ihre Antworten aus gut strukturierten, sachlich formulierten Inhalten mit klarer Quellenangabe. Wer seine WordPress Website auch für diese neuen Kanäle sichtbar machen möchte, findet in meinem Beitrag zur WordPress GEO-Optimierung einen praxisnahen Einstieg. Eine erfahrene Webdesign-Agentur kann dabei unterstützen, beide Bereiche systematisch abzudecken.

6. Wartungsroutine: Wie oft welche Aufgabe anfällt

Die einzelnen Wartungsbereiche sind klar, doch ohne eine strukturierte Routine geraten selbst die besten Vorsätze in Vergessenheit. Eine feste Wartungsroutine hilft dir, den Überblick zu behalten und keine kritische Aufgabe zu übersehen. Die folgende Übersicht zeigt dir, welche Maßnahmen in welchem Intervall anfallen.

Wöchentliche Aufgaben

• Verfügbare Updates für WordPress-Core, Themes und Plugins prüfen und installieren
• Backup erstellen und Speicherort kontrollieren
• Spam-Kommentare löschen und Kommentarbereich moderieren
• Sicherheits-Dashboard auf verdächtige Aktivitäten prüfen
• Website kurz auf Funktionalität testen: Formulare, Links, Ladezeit

Monatliche Aufgaben

• Datenbank optimieren und verwaiste Einträge bereinigen
• Broken Links mit einem Crawling-Tool identifizieren und beheben
• Nicht genutzte Plugins und Themes vollständig deinstallieren
• Mediathek auf ungenutzte Uploads prüfen und aufräumen
• Core Web Vitals und Ladezeiten mit Google PageSpeed Insights kontrollieren
• Sicherheits-Scan auf Malware und verdächtige Dateiänderungen durchführen

Quartalsweise und jährliche Aufgaben

• Backup-Wiederherstellung testen, um die Funktionsfähigkeit der Sicherungen zu überprüfen
• Bestehende Inhalte auf Aktualität prüfen und veraltete Beiträge überarbeiten
• Meta-Daten und strukturierte Daten seitenübergreifend kontrollieren
• Benutzerkonten und Zugriffsrechte überprüfen und nicht mehr benötigte Accounts löschen
• SSL-Zertifikat, Domain-Registrierung und Hosting-Vertrag auf Ablaufdaten prüfen
• PHP-Version auf dem Server auf Aktualität und Kompatibilität prüfen

Wie umfangreich die Wartung im Detail ausfällt, hängt von der Größe und Komplexität deiner Website ab. Ein einfacher Onepager mit Kontaktformular erfordert weniger Aufwand als ein umfangreicher Unternehmensauftritt mit Blog, Shop-Anbindung und mehreren Sprachversionen. Wer die Empfehlungen von WP Marmite und die offizielle WordPress-Wartungsdokumentation als Orientierung nutzt, hat eine solide Grundlage für die eigene Routine.

Ob du die Wartung selbst übernimmst oder an einen professionellen Dienstleister abgibst, ist letztlich eine Frage von verfügbarer Zeit, technischem Know-how und dem Stellenwert, den deine Website für dein Geschäft hat. Beide Wege können funktionieren, solange die Wartung tatsächlich regelmäßig stattfindet und nicht auf die lange Bank geschoben wird.

7. Zusammenfassung

WordPress richtig warten bedeutet, fünf zentrale Bereiche regelmäßig im Blick zu behalten. Updates für Core, Themes und Plugins schließen bekannte Sicherheitslücken und bilden das Fundament jeder Wartung. Vollständige Backups aus Dateien und Datenbank sichern dich gegen Datenverlust ab, wobei mindestens zwei unabhängige Speicherorte und regelmäßige Testwiederherstellungen entscheidend sind. Die Absicherung des Login-Bereichs, eine Web Application Firewall und korrekte Dateiberechtigungen schützen deine Website vor den häufigsten Angriffsarten. Performance-Optimierung durch Datenbankpflege, Caching, Bildkomprimierung und die Entfernung ungenutzter Plugins und Themes hält die Ladezeiten im grünen Bereich. Und die kontinuierliche SEO-Pflege mit Broken-Link-Checks, aktuellen Meta-Daten und regelmäßigen Content-Refreshes sorgt dafür, dass deine Sichtbarkeit bei Google und KI-Suchsystemen nicht abnimmt. Eine feste Wartungsroutine mit wöchentlichen, monatlichen und quartalsweisen Aufgaben stellt sicher, dass keine dieser Maßnahmen in Vergessenheit gerät.

8. Fazit

Eine WordPress Website ist kein statisches Produkt, das nach dem Launch sich selbst überlassen werden kann. Sie ist ein lebendiges System, das regelmäßige Pflege braucht, um sicher, schnell und sichtbar zu bleiben. Die gute Nachricht: Die meisten Wartungsaufgaben sind keine Raketenwissenschaft. Mit einer klaren Routine und den richtigen Werkzeugen lässt sich der Aufwand gut bewältigen.

Entscheidend ist, dass du überhaupt anfängst und die Wartung nicht aufschiebst. Jede Woche ohne Updates erhöht das Risiko eines Sicherheitsvorfalls. Jeder Monat ohne Datenbankoptimierung verschlechtert die Performance ein Stück weiter. Und jedes Quartal ohne Content-Review kostet dich potenzielle Rankings. Wer die in diesem Artikel beschriebenen Maßnahmen konsequent umsetzt, schützt nicht nur seine Website, sondern auch das Geschäft, das dahintersteht.

Falls du merkst, dass dir die Zeit oder das technische Wissen für eine professionelle Wartung fehlt, ist das kein Versäumnis. Es ist ein ganz normaler Punkt, an dem viele Unternehmen stehen. Wichtig ist, dass die Wartung dann von jemandem übernommen wird, der sie zuverlässig durchführt. Ob du dich selbst darum kümmerst oder professionelle Unterstützung in Anspruch nimmst: Hauptsache, deine WordPress Website wird regelmäßig gewartet.

9. FAQ