Warum deine Website regelmäßig gewartet werden sollte

Die regelmäßige technische Pflege einer Website ist von entscheidender Bedeutung für die Sicherheit und den damit auch den Erfolg deiner WordPress-Website. Die meisten Website-Betreiber denken, dass es ausreicht, zwischendurch ein Backup durchzuführen und Plugins zu aktualisieren, und meistens ist dies für eine Weile auch ausreichend.

Doch während sich die meisten Betreiber in Sicherheit wiegen, finden im Hintergrund bereits hunderte automatisierte Angriffe statt, die bisher nur aus reinem Glück noch keinen Schaden angerichtet haben.

Bei diesen Angriffen werden bekannte und unbekannte Sicherheitslücken vollkommen automatisiert ausgenutzt. Diese Lücken werden von den Entwicklern von WordPress, den Plugins und Themes zwar meistens irgendwann erkannt und geschlossen, allerdings handelt es hier um ein reines Katz-und-Maus-Spiel.

Abgesehen von den automatisierten Angriffen, kann eine Website auch durch unsichere Administratoren-Zugänge gekapert werden. Das kann passieren, wenn beispielsweise eine unsichere Internetverbindung mit dem Laptop genutzt wird und darüber Zugangsdaten ausgelesen werden. Oder auf dem Computer eines Website-Admins wurde heimlich ein Trojaner installiert zu dem gleichen Zweck.

Es ist nur eine Frage der Zeit, bis derartige Angriff Erfolg haben und deine Website auf eine hässliche Gewinnspiel-Seite umgeleitet oder anderweitig entstellt wird. Im schlimmsten Fall wird die gekaperte Website für die Verbreitung von Viren und Spam, oder auch als Teil eines größeren Botnetzes für weitere Angriffe missbraucht.

Die Frage ist nicht “ob”, sondern “wann” etwas passiert!

Wenn dann doch ein Schaden eintritt, wird dieser oft erst spät bemerkt, weil nicht verstanden wird, dass solche Angriffe gar nicht auf die eigene Website abzielen. Warum sollte auch jemand meine Website hacken? ist ein beliebtes Argument, doch meistens ist es dann zu schon spät.

Ein professioneller Wartungsdienst erhöht die Wahrscheinlichkeit, dass die Seite nicht gehackt wird, erheblich! Wie auch die regelmäßige Untersuchung und Wartung eines Autos dabei hilft, spätere Unfälle und anderen Schäden vorzubeugen.

Eine derart kompromittierte Website schadet nicht nur der Reputation deines Business. Es können auch keine Umsätze generiert werden, wenn die Seite nicht mehr funktioniert oder umgeleitet wurde. Und sollte die Website in Folge des Hacks ebenfalls als Virenschleuder oder Bot missbraucht werden, drohen zudem Schadensersatzforderungen durch Dritte. Viele Hosting-Anbieter bemerken zudem, wenn von einer Website aus Spam und Viren verteilt werden und sperren die Website mit einer kurzen Benachrichtigung.

Worin besteht eine professionelle Website-Wartung?

Neben den Backups und Updates sollten weitere Maßnahmen umgesetzt werden, z.B. die Einrichtung einer Web-Application-Firewall zur Abwehr der häufigsten Angriff-Szenarien, sauber konfigurierte Security-Headers für einen besseren Schutz deiner Besucher, ein täglicher Malware-Scan zur Überwachung der Website bei anderweitig eingeschleuster schadhafter Software und vieles mehr.

Das klingt sehr zeitaufwendig

Zum Glück gibt es spezialisierte Anbieter und Dienstleister, welche viele dieser Maßnahmen kostengünstig anbieten.

Bei PressCode bekommst du mit unserem PressCode Admin einen hochgradig professionalisierten Service für die Wartung & Pflege deiner Website, der weit über das hinaus geht, was üblicherweise von Entwicklern und Agenturen angeboten wird:

PressCode Admin – Unsere Leistungen

Bitte klicken zum Aufklappen

Wir prüfen die Installation auf potenzielle, WP-typische Sicherheitslücken und beheben diese. Übrigens: den Login zu verstecken bringt nichts, die Angreifer finden heutzutage effektivere Wege, um deine Installation zu kompromittieren.

Neben der Behebung der potenziellen WP-typischen Risiken konfigurieren wir die Security Header der Website. Erfahre in diesem Beitrag, worum es dabei geht.

Zudem sorgen wir dafür, dass E-Mail-Adressen, egal wo sie auf der Website angezeigt werden, nicht von Bots ausgelesen werden können und trotzdem die Mailto-Funktion beibehalten. Wir verschleiern quasi die E-Mail-Adresse im Quellcode.

Hiermit kann nicht nur das Spam-Aufkommen für den Kunden reduziert werden. Es hilft auch gegen Mail-Spoofing, weil viele Bots nicht nur Adressen für den Spam-Empfang sammeln, sondern auch den für Versand von einer vorgetäuschten Adresse aus, wie es beim Phishing üblich ist.

Neben der vielen Schutzmaßnahmen, die bei den meisten Hosting- oder Cloud-Provider gegeben sind, wird für WP-Websites fast immer auch eine zusätzliche WAF benötigt, um typische Angriffe wie z.b. Cross-Site Scripting, SQL Injections oder sonstige automatische und Bot-basierte Attacken erfolgreich abzuwehren.

Und auch spezifische Angriffe auf frisch bekannt gewordene Sicherheitslücken in WP oder Plugins, welche nicht durch Zero-Day-Patches geschlossen werden, können explizit geblockt werden.

Wir übernehmen die Prüfung, Installation und Konfiguration der WAF auf deiner Website.

Fordert ein Browser eine Seite von einem Webserver an, dann antwortet der Webserver mit der Auslieferung der Seite und sendet außerdem einen HTTP-Response-Header mit dem Inhalt.

Moderne Webbrowser verfügen über eine Vielzahl von Funktionen, die Nutzer vor bösartigen Angriffen schützen sollen. Einige dieser Sicherheitsfunktionen wurden bereits bei der Erstellung der zugehörigen Webstandards berücksichtigt (als Beispiel sei hier die Same-Origin-Policy genannt), andere Schutzfunktionen aber wurden erst definiert, als aus einer bisher legitim verwendeten Webfunktion ein ernstzunehmender Angriffsvektor wurde.

Kurzum: Ohne vernünftig konfigurierte Security Header können (und werden sehr oft) Attacken über veraltete Web-Browser gestartet, die trotz starker Sicherung der Website gegen Website-spezifische Angriffe durchaus erfolgreich sein können.

Wir übernehmen die Prüfung und Konfiguration der Security Header auf deiner Website.

Die DSGVO macht es erforderlich, die Privatsphäre der Website-Besuchenden, -Benutzer, Kunden und Mitarbeitenden zu schützen. Beim Einsatz von Drittanbietern wie Google Analytics, Facebook oder anderen US-Anbietern ist es besonders wichtig, den Besuchenden eine Wahl zu lassen, ob ihr Besuch von diesen Anbietern erfasst und ausgewertet werden darf oder nicht.

Wir prüfen Startseite, das Kontakt– und Newsletter-Formular auf nicht-essenzielle Verbindungen zu Drittanbietern und ob ein Consent-Banner bzw. „Cookie-Banner“ korrekt implementiert wurde.

Ein vollständiges DSGVO-Audit kann optional dazugebucht werden, was bei Shop-Systemen, Online-Kursen, Mitgliederbereichen und Website-Typen notwendig sein kann, bei denen externe Dienste im Bereich Marketing oder Analytics intensiv genutzt werden, häufig auch ohne das Wissen der Website-Betreibenden!

Wir prüfen alle 5 Minuten, ob die Website erreichbar ist über ein globales Netzwerk an Servern und benachrichtigen dich bzw. deine Kunden unverzüglich bei Störungen, damit schnell reagiert werden kann.

In der Google-Blocklist werden Websites erfasst, deren Besuch als nicht sicher klassifiziert wird. Dies kann passieren, wenn eine Website über noch unbekannte Sicherheits-Lücken gehackt wurde, oder auch, nachdem der Account der Website-Betreibenden kompromittiert wurde.

Das Blocklist-Monitoring ist aus dem einfachen Grund besonders wichtig, weil trotz aller Abhärtung und Vorsichtsmaßnahmen kein 100%-iger Schutz garantiert werden kann. Wenn z.B. eine neu aufgetretene Sicherheitslücke in einem Plugin noch nicht erkannt und in den Malware-Datenbanken erfasst wurde und ausgenutzt wird, könnte ein Hacker über Seite Viren verbreiten, was von Google mit einem Eintrag in der Blocklist und infolgedessen einen großen roten Warnhinweis zur Folge hat, welcher den Besuchenden im Browser anstelle der Website angezeigt wird!

Dies kann auch passieren, wenn der Hosting-Account, einer der WordPress-Administrator-Accounts oder ein FTP-Account kompromittiert wurde, z.B. über Social Engineering oder einen Keylogger auf dem Rechner einer zugangsbechtigten Person.

Wir prüfen alle 6 Stunden, ob eine von uns betreute Domain in der Google Blocklist eingetragen wurde und benachrichtigen dich bzw. deine Kunden unverzüglich, damit schnell reagiert werden kann.

Einfache Backups sind geeignet, um eine Website schnell vom eigenen Webspace oder Server wiederherzustellen. Als dynamische Backups bezeichnen wir inkrementelle Sicherheitskopien, die auf externe Server abgelegt werden.

Das ist aus dem einfachen Grund sinnvoll, da auch der Webserver, auf dem das WordPress läuft, beschädigt, korrumpiert sein oder aus anderen Gründen ausfallen kann, und somit auch alle Websites, die sich auf dem Server befinden.

Eine externe Sicherung kann in so einem Fall helfen, die Website rasch wiederherzustellen und über einen Domain-Switch von einem anderen Server aus zu betreiben.

Es wird also nur alle paar Wochen ein vollständiges, und dazwischen inkrementelle Backups erstellt, wo nur die Änderungen seit dem letzten Voll-Backup gesichert werden.

Dies hilft auch dabei, Speicherplatz auf dem Backup-Server zu sparen, was auch für den ökologischen Fußabdruck vorteilhaft ist.

Unser externes Monitoring und die internen Scanner untersuchen die Website täglich auf Sicherheitslücken sowie schadhafte Dateien und Code.

Bei Verdacht auf unzulässig eingeschleusten, boshaften Software-Code (daher auch „Malware“ genannt), benachrichtigen wir dich bzw. deine Kunden unverzüglich , damit schnell reagiert und tiefergehend geprüft werden kann, ob tatsächlich eine Verunreinigung stattgefunden hat.

Zu den wichtigsten Maßnahmen der WordPress-Pflege und -Absicherung gehört die regelmäßige Überprüfung auf Aktualisierungen der WordPress-Version, der Plugins und des Themes.

Doch nicht alle am Markt erhältlichen Plugins und Themes sind untereinander kompatibel. Wenn ein Plugin von seinen Entwicklern tiefgreifend verändert wurde, könnte folgendes passieren:

  • die neue Version bringt unabsichtlich eine Inkompatibilität mit einem wichtigen anderen Plugin mit sich, oder sonstige „Verschlimmbesserungen“
  • die neue Version löst Störungen auf der Website aus, die sich nur im Hintergrund bemerkbar machen
  • löst Störungen aus, die zwar „nur“ das error-log im Webspace vergrößern, damit allerdings ggf. den verfügbaren Speicherplatz übersteigen

Eine neue Version kann aber auch dazu führen, dass die Seite überhaupt nicht mehr benutzbar ist.

Wir prüfen die WP-Site wöchentlich oder täglich auf neue Versionen und spielen diese automatisch ein. Vor der Aktualisierung wird stets ein Backup erstellt und nach der Aktualisierung ein Oberflächen-Scan der Startseite durchgeführt, optional auch auf zusätzlichen Unterseiten.

Wenn die Aktualisierung zu Änderungen von mehr als 25 % führt, spielen wir das Backup wieder ein und benachrichtigen dich bzw. deine Kunden.

Unser Reporting gibt Auskunft über den Erfolg und Gesundheitszustand der Website. Er gibt zudem erste Hinweise darauf, ob auf der Startseite (und wahlweise für beliebig viele Unterseiten, wie z.B. einzelne Landingpages) Optimierungsarbeiten durchzuführen sind, die einen positiven Effekt auf die Conversion-Rate einer Seite haben kann.

Der PressCode Admin Report informiert über folgende Punkte:

  • der Status der Website
  • die letzten Änderungen , Backups & Updates
  • zuletzt abgewehrte Angriffe
  • Entwicklung der Ladezeiten
  • SEO-Audits
  • Besucherzahlen

Das SEO-Audit gibt Auskunft über das Suchmaschinen-Optimierungs-Potenzial aus technischer Perspektive und zeigt dir, welche Inhalte besser strukturiert, optimiert und priorisiert werden sollten, um leichter gefunden zu werden.

Die WordPress-Datenbank wächst im Laufe der Zeit immer weiter an, selbst wenn der Website keine neuen Beiträge, Seiten, Kommentare oder Benutzer hinzugefügt werden. So werden z.B. bei der Bearbeitung bestehender Inhalte stets Revisionen angelegt. Zudem hat WordPress eine wunderbare Schnittstelle, die „Transients API“, die es ermöglicht, Ergebnisse von Berechnungen in der Datenbank zwischenzuspeichern und abzurufen, was der Performance der Website zugutekommt. Also eine Art Datenbank-Ergebnis-Caching.

Mit der Zeit wächst die Datenbank also immer weiter an, allerdings sammeln sich auch viele Einträge an, die nach einer Weile nicht mehr benötigt werden. Und auch bei der De-Installation von Plugins bleiben häufig Rückstände zurück, falls so ein Plugin nicht so programmiert ist, dass es „hinter sich aufräumt“.

Eine aufgeblähte Datenbank ist zwar kein direktes Sicherheitsrisiko, spielt jedoch bei der Ladezeit der Website eine wichtige Rolle und kann den Aufruf der Website sowohl für die Besucher, als auch im Dashboard, erheblich verlangsamen.

Bei unserer monatlichen Datenbank-Bereinigung prüfen wir die WP-Datenbank auf nicht mehr benötigte und veraltete Einträge, löschen Spam-Kommentare, leeren Papierkörbe, stutzen die Anzahl der Revisionen und löschen „verwaiste“ Einträge und Tabellen.

Über ein monatliches Support-Kontingent können die Ursachen für fast alle oben genannten, potenziellen Störungen, Schäden und anderen Problemen von uns behoben werden.

Das Kontingent kann auch für generelle Support-Anfragen, Schulungen, Content-Updates, Ladezeit-Verbesserungen und sogar Entwicklungsarbeiten genutzt werden!

Der Worst-Case: Umgang mit Problemen und Störungen

Sollte deine Website nicht mehr erreichbar sein oder den berühmten „White Screen of Death“ anzeigen, bekommst du den PressCode-Tarifen LITE & PRO automatisch eine Benachrichtigung per E-Mail. In dieser steht dir ein „Fix it!“ Link zur Verfügung, über den du deinen PressCode-Admin mit der Behebung beauftragen kannst.

Natürlich kannst du auch selber tätig werden und das letzte Backup wiederherstellen, eine Fehleranalyse und -behebung durchführen. Es ist meistens aber effizienter, die Problembeseitigung an Experten auszulagern, die sich regelmäßig damit beschäftigen.

Übrigens: Im ELITE-Tarif brauchst du dich um nichts weiter kümmern! Wir setzen alles in Bewegung, um deine Website zu reanimieren und die Fehlerursache zu eliminieren.

Welcher Tarif für dich geeignet ist

Unser LITE Tarif bietet einen soliden Grundschutz für einfache WordPress-Sites, warnt dich rechtzeitig bei Problemen und hält dir den Rücken frei.

Der PRO Tarif ist geeignet, wenn neben der Sicherheit auch die Performance deiner Website wichtig ist. PressCode Admin PRO hilft dir mit automatischer Bilder-Komprimierung, regelmäßigen Datenbank-Bereinigungen und SEO-Audits deine Website besser in der Google-Suche gefunden zu werden.

PressCode Admin ELITE ist für Website-Betreiber geeignet, die keine Zeit verlieren möchten, um in den Top-Rängen der Suchmaschinen zu erscheinen, um nachhaltig und langfristig neue Kunden zu gewinnen. Sämtliche technischen Aspekte einer professionellen WordPress-Pflege sind in diesem Tarif abgedeckt.

PressCode Admin Tarife

BESTSELLER

pc Admin Basic

Einfache WP-Wartung

Security Check-up & Abhärtung

Uptime Monitor alle 5 Minuten

Google Blocklist Monitoring 6 stdl.

Tägliche Offsite-Backups

Tägliche Malware Scans

Tägliches Uptime Monitoring

Wöchentlicher Update-Check

Updates von Plugins & Themes

€ 50 monatlich

Jetzt bestellen

pc Admin Premium

Professionelle Wartung

Alle Feature von Admin Basic

DSGVO Check-up

Basic SEO Audit

Täglicher Update Check

Updates mit Surface-Check & Rollback

Updates mit Surface-Check & Rollback

Bilder-Kompressions-Dienst

Monatliche Datenbank Bereinigung

Monatliches Reporting

€ 100 monatlich

Jetzt bestellen

pc Admin Elite

Enterprise Wartung

Alle Admin Feature von Basic & Premium

Tiefen-Funktionsprüfung

Tech Support Flat: 1 Std

Performance Audit

Advanced SEO Audit & Ranking Report

Content Optimierung eines SEO-Artikels

€ 290 monatlich

Jetzt bestellen

* Im ELITE-Tarif sind monatliche Funktionstests für Kontakt- & Newsletter-Formulare inkludiert. Funktionstests für Webshops, Communities, LMS & Multisites sind per Add-on buchbar ab 30 € monatlich.

PressCode Add-ons

Die folgenden Zusatz-Leistungen stehen optional zur Verfügung:

  • WordPress Tech-Support für 20 € je Viertelstunde
  • Funktionsprüfung (Kontakt- oder Newsletter-Formulare, Checkout etc.) ab 20 €
  • Wartung für WooCommerce, Community-Sites, LMS und Multisites ab 30 €
  • Optimierung bestehender Sites (Performance, Sicherheit, DSGVO-Tiefenprüfung) ab 150 €
  • Zusätzlicher externer Backup-Storage für 2 € je 10 GB monatlich
Alle Preise gelten zzgl. der gesetzlichen Mehrwertsteuer

Hol dir deinen kostenlosen Leitfaden für die Sicherheit deiner WordPress-Website

Melde dich an, um zu erfahren, wie du deine WordPress-Website sicher halten kannst, angefangen mit diesem kostenlosen Leitfaden. Du kannst dich jederzeit mit einem Klick wieder abmelden.

Wir hassen SPAM und versprechen, dass wir deine E-Mail-Adresse sicher aufbewahren. Hier ist unsere Datenschutzerklärung.