WordPress-Wartung: Was passiert, wenn man es einfach lässt

Der typische Verlauf

Es fängt harmlos an. Die Website läuft. Im WordPress-Dashboard leuchten rote Zählerzahlen, die sagen: 12 Plugin-Updates verfügbar, 1 Theme-Update, Core-Update auf 6.x.x. Aber die Website funktioniert ja. Also lässt man es.

Einen Monat später: 18 Plugin-Updates, Core zwei Versionen veraltet. Noch läuft alles. Zwei Monate später: Das Kontaktformular sendet plötzlich nicht mehr. Warum? Unbekannt. PHP-Version auf dem Server wurde vom Hoster aktualisiert, ein Plugin vertrug das nicht. Fix dauert einen Nachmittag. Hätte mit aktuellen Plugins nicht passiert.

Ein Jahr später: Die Website wurde gehackt. Unklar über welchen Weg. Wahrscheinlich ein Plugin mit bekannter Sicherheitslücke, für die es seit Monaten ein Update gab. Jetzt steht Cleanup an: Malware entfernen, Dateien prüfen, Passwörter zurücksetzen, Google-Blacklist-Eintrag entfernen. Mehrere Tage Arbeit, Kosten in dreistelligem bis vierstelligem Bereich.

Warum WordPress ohne Wartung ein Risiko ist

Das Plugin-Ökosystem ist riesig – und nicht immer sicher

WordPress hat über 60.000 Plugins im offiziellen Verzeichnis. Die Qualität variiert stark. Gut gepflegte Plugins bekommen schnell Sicherheitsupdates, wenn Lücken entdeckt werden. Schlecht gepflegte oder aufgegebene Plugins bleiben mit Lücken bestehen. Wer diese Plugins installiert hat und nicht aktualisiert, hat eine offene Tür.

WordPress-Kernupdates beheben regelmäßig Sicherheitslücken. Minor Updates (6.1 auf 6.1.1) sind fast immer Sicherheitsfixes. Diese Updates nicht einzuspielen ist kein Sparmaßnahme, sondern ein Risiko.

Veraltete PHP-Versionen machen Probleme

Hosting-Anbieter aktualisieren PHP-Versionen in regelmäßigen Abständen. Ältere PHP-Versionen werden irgendwann aus dem Support genommen und dann deaktiviert. Wer seine Plugins und sein Theme nicht aktuell hält, hat plötzlich eine Website, die mit der neuen PHP-Version nicht mehr kompatibel ist. Der Hoster hat nicht böswillig gehandelt – die Plugins waren einfach nicht bereit.

Backups ohne Test sind keine Backups

Viele Websites haben theoretisch Backups. Automatische Backups, die der Hoster anlegt. Das Problem: diese Backups werden selten getestet. Im Ernstfall stellt man fest, dass das Backup unvollständig ist, nicht eingespielt werden kann oder Daten aus einer Zeit enthält, die für einen Restore nicht nützlich ist.

Echte Wartung bedeutet: Backups regelmäßig anlegen, an einem sicheren Ort speichern und gelegentlich prüfen, ob sie auch wirklich funktionieren.

Was Wartung konkret bedeutet

Wartung heißt nicht: einmal im Jahr reinschauen. Es bedeutet: regelmäßige Routinen, die die Website stabil halten.

Das umfasst Core-Updates, Plugin-Updates und Theme-Updates – aber nicht blind eingespielt, sondern mit einem kurzen Test danach, ob alles noch funktioniert. Gerade größere Plugin-Updates können Kompatibilitätsprobleme verursachen, die man sofort erkennen und rückgängig machen muss.

Dazu kommen Backups, die wirklich funktionieren und an einem Ort gespeichert sind, der vom Hosting getrennt ist. Sicherheits-Monitoring, das auffällige Aktivitäten meldet. Und gelegentliche Performance-Checks, weil sich Ladezeiten über Monate einschleichen können, wenn man sie nicht misst.

Wann es zu spät ist

Zu spät ist es, wenn die Website gehackt wurde, wenn Google die Seite als unsicher markiert hat oder wenn ein kritisches Update die Website lahmgelegt hat. In diesen Fällen ist Cleanup deutlich aufwändiger als regelmäßige Wartung gewesen wäre.

Wir sagen das nicht um Angst zu machen. Wir sagen es, weil wir solche Situationen kennen – und weil sie in fast allen Fällen vermeidbar gewesen wären.

Wenn du eine WordPress-Website hast und nicht weißt, wann das letzte Update war: das ist der Zeitpunkt, anzufangen. Nicht morgen.