Checkliste für die WordPress-Wartung: 27 Aufgaben für Agenturen (2026)

Wenn Sie WordPress-Seiten für Kunden verwalten (sei es eine, zehn oder dreihundert), gehen die Kosten für versäumte Wartungsarbeiten zu Ihren Lasten, nicht zu denen des Kunden. Ein versäumtes Plugin-Update wird am Freitagabend zu einer Sicherheitswarnung. Ein veraltetes Backup führt zu einer vierstündigen Wiederherstellung, die Sie nicht in Rechnung stellen können. Ein vernachlässigter Verfügbarkeitsmonitor führt zu einem Anruf eines Kunden, der fragt, warum seine Seite den ganzen Nachmittag nicht erreichbar war.

Diese Checkliste gibt es, weil die meisten Ratschläge zur „WordPress-Wartung“ für jemanden geschrieben sind, der einen persönlichen Blog betreibt. Die eigentliche operative Frage für Agenturen und Freiberufler lautet anders: Was machst du auf jeder Kunden-Website, wie oft, und was kannst du automatisieren, damit du es nicht um 23 Uhr von Hand erledigen musst?

Im Folgenden sind 27 Aufgaben nach Häufigkeit geordnet: täglich, wöchentlich, monatlich, vierteljährlich, jährlich.

In jedem Punkt wird dargelegt, worum es bei der Aufgabe geht, warum sie wichtig ist und welche Infrastruktur oder Plattform dafür sorgt, dass sie ohne menschliches Zutun abläuft. Passen Sie die Checkliste an Ihre Bedürfnisse an; der unten aufgeführte Rhythmus ist ein Ausgangspunkt, kein festes Regelwerk.

Warum ist die Wartung von WordPress-Websites wichtig?

Die WordPress-Wartung umfasst die routinemäßigen Aufgaben, bei denen Kernsoftware, Plugins, Themes, Sicherheit, Leistung und Datenbankvorgänge auf allen von Ihnen betriebenen Websites aktualisiert und überwacht werden.Wird die Wartung vernachlässigt, hat dies folgende Folgen: Die Leistung verschlechtert sich, Sicherheitslücken häufen sich, Suchrankings sinken, und irgendwann kommt es zu einem Ausfall der Website, dessen Behebung Sie einen ganzen Tag kostet.

Der Grund dafür ist, dass eine WordPress-Website kein einzelnes Produkt ist. Es handelt sich um ein System aus mehreren Komponenten. Der Kern, Plugins, Themes, das Hosting und die Inhalte Ihres Kunden wurden nicht dafür konzipiert, zusammenzuarbeiten. Sie werden durch die Wartungsarbeit von Fachleuten kompatibel gehalten. Wenn diese Arbeit eingestellt wird, driftet das System auseinander.

Für Agenturen und Freiberufler steht dabei auch ihr Ruf auf dem Spiel. Kunden bezahlen für Wartungsverträge, weil sie erwarten, dass ihre Website verfügbar, schnell und sicher bleibt. Der Nachweis dieser Arbeit – durch Berichte, Verfügbarkeitsdaten und Aufzeichnungen zu Sicherheitslücken – entscheidet darüber, ob ein Vertrag verlängert oder gekündigt wird.

Wie oft sollte jede Aufgabe ausgeführt werden?

Es gibt keine allgemeingültige Antwort, doch die meisten Anbieter von Pflegeplänen halten sich an folgenden groben Zeitplan:

• Täglich:Verfügbarkeitsprüfungen, automatisierte Backups, Schwachstellenscans, Überprüfung von KI-Plugins, Bewertung der Abwehrbereitschaft.
• Wöchentlich:Updates für WordPress-Kern, Plugins und Themes mit Rollback-Schutz. Cache-Bereinigung. Überprüfung der Version nach dem Update.
• Monatlich:Moderation von Kommentaren, Überprüfung auf defekte Links und 404-Fehler, Bereinigung nicht genutzter Plugins, Überprüfung von PageSpeed und Core Web Vitals, Überprüfung auf PHP-Fehler, Testen von Formularen.
• Vierteljährlich:Überprüfung von Anmeldedaten und Benutzeraktivitäten, Überprüfung der Alt-Texte von Bildern, Überprüfung der Premium-Lizenzen, Überprüfung der Sicherheitsprotokolle, Datenbankoptimierung, Überprüfung des RSS-Zustands, Bereinigung der Medienbibliothek, Wartungsberichte für Kunden.
• Jährlich:Content-Audit und SEO-Überprüfung, Backlink-Bereinigung, Überprüfung der Urheberrechte und der „Über uns“-Seite.

Websites mit höherem Traffic oder höheren Umsätzen (WooCommerce, Mitgliedersysteme, Lead-Generierung) erfordern eine höhere Frequenz. Eine Website mit einer Formularübermittlung pro Woche und 200 Besuchern pro Monat kommt mit einem lockereren Rhythmus aus.Das Grundprinzip lautet: Schwachstellenscans und Backups sind unverzichtbare tägliche Aufgaben; alles andere richtet sich nach dem Wert der Website.

Die WordPress-Wartungscheckliste mit 27 Punkten

Plugins, Themes und der WordPress-Kern sollten aktualisiert werden, sobald Patches veröffentlicht werden, insbesondere wenn eine bekannte Sicherheitslücke vorliegt. Im Folgenden geht es darum, Schwachstellen zu beheben, die durch diese Updates nicht abgedeckt werden.

Tägliche Wartungsaufgaben für WordPress

1. Verfügbarkeit prüfen

Eine Website, die nicht erreichbar ist, verliert Umsatz, Suchrankings und das Vertrauen ihrer Kunden. Sowohl die Benutzererfahrung als auch das SEO-Ranking leiden unter nicht reagierenden Websites, und Sie erfahren von einem Ausfall erst dann, wenn Ihr Überwachungssystem Sie darauf hinweist.

Richten Sie eine automatische Verfügbarkeitsüberwachung mit E-Mail- und Slack-Benachrichtigungen ein. WP Umbrella kontinuierliche Verfügbarkeitsprüfungen (in Intervallen von 1 bis 60 Minuten) von Standorten in der EU, im Osten der USA, im Westen der USA, in Asien und in Australien WP Umbrella , sodass ein regionaler Ausfall an Ihrem Überwachungsstandort keine Fehlalarme auslöst. Eine ausführlichere Anleitung finden Sie in unseremLeitfaden zur WordPress-Verfügbarkeitsüberwachung. Hyperping ist eine eigenständige Alternative, wenn Sie lediglich eine reine Verfügbarkeitsüberwachung benötigen.

2. Erstellen Sie von jeder Website ein Backup (extern)

Tägliche externe Backups sind die mit Abstand wichtigste Aufgabe auf dieser Liste. Ein Backup, das auf demselben Server wie die Website gespeichert ist, ist kein Backup; es ist eine Kopie, die mit dem Host verloren geht. Ein WordPress-Backup muss sowohl die Dateien (wp-content(Themes, Plugins, Uploads) sowie die Datenbank, und das Ganze muss mit einem Klick wiederhergestellt werden können, wenn ein Kunde in Panik anruft.

Es stehen mehrere Backup-Plugins zur Verfügung, wählen Sie jedoch eines aus, das aktiv gepflegt wird, PHP 8.4+ unterstützt und Backups extern speichert:

• UpdraftPlusist weit verbreitet; die kostenlose Version unterstützt Cloud-Speicherorte (S3, Google Drive, Dropbox) und das Plugin wird weiterhin aktiv gepflegt.
• BackWPupist eine zuverlässige kostenlose Option, die Cloud-Speicherorte unterstützt.
• Duplicatorvereint Backup- und Migrationsfunktionen, was besonders dann nützlich ist, wenn Sie Websites zwischen verschiedenen Hosts verschieben.
• WP Umbrella bietet inkrementelle verschlüsselte Backups (Dateien plus Datenbank), eine Aufbewahrungsdauer von 50 Tagen, DSGVO-konforme Speicherung in der EU sowie Wiederherstellung mit einem Klick und ist für Agenturen konzipiert, die Backups für viele Kundenstandorte über ein einziges Dashboard durchführen.

„BackUpWordPress“, einst eine beliebte Option, wurde seit über einem Jahr nicht mehr aktualisiert und weist Kompatibilitätsprobleme mit PHP 8.4 auf. Empfehlen Sie es Ihren Kunden daher nicht. Wenn Sie für Einzelfälle auf eine manuelle Alternative zurückgreifen möchten, finden Sie in unsererAnleitung zur Sicherung von WordPress ohne Plugineine Schritt-für-Schritt-Anleitung für die Verwendung von SFTP und phpMyAdmin.

3. Schwachstellen-Scan durchführen

Durch Schwachstellenscans lassen sich Plugins oder Themes aufspüren, die zwischen den planmäßigen Updates angreifbar werden. Moderne WordPress-Schwachstellenscanner vergleichen installierte Komponenten mit einer CVE-Datenbank und zeigen alles an, was nicht erst nächste Woche, sondern sofort gepatcht werden muss.

Drei Arten von Werkzeugen erfüllen diese Aufgabe:

• Unabhängig von den einzelnen Websites werden alle paar Stunden kontinuierliche Infrastruktur-Scansauf allen von Ihnen verwalteten Websites durchgeführt. WP Umbrella alle 6 Stunden mit der Patchstack-Schwachstellendatenbank WP Umbrella , ordnet sie nach CVE-Schweregrad und zeigt an, welche Schwachstellen derzeit ausgenutzt werden können.
• Endpoint-Firewall-Pluginswie Wordfence und Sucuri werden auf der Website installiert und kombinieren Scans mit einer WAF und Malware-Erkennung. Sie sind auf einzelne Websites ausgerichtet und lassen sich im Portfolio-Maßstab nur schwer betreiben. In unseremVergleich von WordPress-Sicherheits-Pluginsgehen wir näher auf die Vor- und Nachteile ein.
• Schwachstellen-Datenbankdienstewie Patchstack bilden die zugrunde liegende Datenbank, auf die viele der oben genannten Dienste zurückgreifen, und sind direkt über ihre eigene Plattform verfügbar, wobei virtuelles Patching als Zusatzfunktion angeboten wird.

Ein kurzer Vergleich der für 2026 in Betracht kommenden Optionen für Schwachstellen-Scans hinsichtlich ihrer Eignung für Unternehmen:

Werkzeug	Kostenlose Stufe	Kernfunktion	Passung zur Agentur
WP Umbrella	14-tägige Testversion, alle Funktionen	Kontinuierliches, in Patchstack integriertes Schwachstellenscanning an allen Kundenstandorten, zentrales Dashboard	Entwickelt für die Verwaltung eines Portfolios von Websites
Patchstack	Begrenzte kostenlose Nutzung	Sicherheitslücken-Datenbank plus Add-on für virtuelles Patching	Ideal für CVE-gesteuerte Arbeitsabläufe
Wordfence	Kostenlose Firewall und Virenscanner	Endpunkt-Firewall, Malware-Scanner, Bedrohungsdatenbank	Am besten geeignet für einzelne, hochwertige Websites
Sucuri	Nur gegen Bezahlung	Externer WAF und reaktiver Bereinigungsdienst	Nützlich als Ebene für die Reaktion auf Vorfälle

4. KI-Plugins und KI-generierten Code prüfen

KI-Plugins sind mittlerweile auf WordPress-Seiten weit verbreitet: Chatbots, Content-Generatoren, Code-Assistenten. Sie benötigen in der Regel umfassendere Berechtigungen als herkömmliche Plugins, greifen oft auf die Datenbank oder den Admin-Bereich zu, und ihre Angriffsfläche ist von anderer Art.

Das Muster ist real. Im Jahr 2025 wurde das AI Engine-Plugin (Versionen 2.8.0 bis 2.8.3) ohne eine Funktionsprüfung für seine MCP-Funktion ausgeliefert, wodurch authentifizierte Benutzer auf Abonnentenebene wp_create_user, wp_update_user, wp_update_option sowie mehrere andere privilegierte Vorgänge: vollständige Rechteausweitung von einem Konto mit eingeschränkten Rechten. Die Sicherheitslücke wird unter der Nummer CVE-2025-5071 und wurde über die GitHub Advisory Database veröffentlicht.

Überprüfen Sie für jedes KI-Plugin auf einer Kundenwebsite Folgendes:

• Es stammt von einem bekannten Entwickler und wird aktiv weiterentwickelt (es handelt sich nicht um einen erst einen Monat alten Fork).
• In den letzten 12 Monaten gab es keine unbehobenen kritischen CVEs.
• Die deklarierten Berechtigungen entsprechen den tatsächlichen Anforderungen der Website.

Wenn Sie einer Website von KI generierten benutzerdefinierten Code hinzugefügt haben, lassen Sie diesen von einem Mitarbeiter prüfen, bevor er in die Produktion geht.

5. Aufrechterhaltung der Abwehr gegen KI-gestützte Angriffe

Die Angriffsfläche, die sich bis zum Jahr 2025 herausgebildet hat, ist grundlegend anders. KI-gesteuerte Botnetze umgehen mittlerweile herkömmliche CAPTCHAs, wechseln zwischen privaten Proxy-Netzwerken, generieren kontextbezogene Phishing-Nachrichten, die Spamfilter umgehen, und schreiben XSS-Payloads so lange um, bis sie WAF-Regeln umgehen. Malware-Familien wie Parrot TDS erkennen KI-Trainings-Crawler und liefern ihnen saubere Inhalte, während sie weiterhin menschliche Besucher ausnutzen.

Das Ausmaß ist das, was die Betreiber von Webagenturen überrascht, wenn sie die Zahlen sehen. Allein das Netzwerk von Wordfence blockiertmonatlich über 6,4 Milliarden Brute-Force-Angriffe sowie 55 Millionen Exploit-Versuche – und das ist nur der Anteil eines einzigen Anbieters am gesamten Datenverkehr.

Verteidigungsstrategie für Kundenstandorte im Jahr 2026:

• Zwei-Faktor-Authentifizierung für jedes Administratorkonto; Anmeldung per Passkey, sofern die Konfiguration dies unterstützt.
• Verhaltensbasierte Ratenbegrenzung statt reiner IP-basierter Sperrung (Privathaushalts-Proxys umgehen IP-Regeln).
• Ein sich automatisch aktualisierender Schwachstellenscanner, der die Patches für das KI-Plugin sofort nach ihrer Veröffentlichung erfasst.
• Eine WAF, entweder am Endpunkt (Wordfence, Sucuri) oder extern (Cloudflare, Sucuri Cloud).

Wöchentliche Wartungsaufgaben für WordPress

6. WordPress, Plugins und Themes aktualisieren (mit Rollback-Funktion)

Aktualisieren Sie den WordPress-Kern, Plugins und Themes, sobald Patches veröffentlicht werden. Das Risiko besteht darin, dass jedes Update zu Funktionsstörungen auf einer Website führen kann; daher ist es gefährlich, dies im gesamten Portfolio ohne Rollback-Schutz durchzuführen.

Wenn Sie in WP Umbrella ein Update auslösen, überwacht die Plattform den Update-Prozess und setzt das Plugin automatisch auf die vorherige Version zurück, falls das Update die Website lahmlegt. Das ist der Unterschied zwischen der Aktualisierung von 50 Websites in einem Durchgang und der Aktualisierung von 50 Websites in 50 sorgfältigen Schritten.

7. Leeren Sie den Cache

Durch Caching wird WordPress schneller, da statische Versionen von Beiträgen und Seiten bereitgestellt werden, anstatt bei jeder Anfrage die Seite neu aus der MySQL-Datenbank zu generieren. Nach Plugin-Updates, Theme-Änderungen oder umfangreichen Inhaltsbearbeitungen kann ein veralteter Cache das neue Verhalten überdecken. Leeren Sie den Cache und führen Sie den Test erneut durch.

8. Überprüfen Sie nach einem WordPress-Kern-Update die versionsspezifischen Änderungen

Größere WordPress-Updates bringen Verhaltensänderungen mit sich, die sich auf Websites auswirken können, auch wenn die Benutzeroberfläche optisch unverändert bleibt. Überprüfen Sie nach jedem Kern-Update, was sich unter der Haube geändert hat.

Mit WordPress 6.8wurde das „Speculative Loading“ eingeführt, bei dem Seiten im Hintergrund vorab geladen werden, sobald ein Besucher mit der Maus über einen Link fährt. Dadurch wirken Websites schneller, es kann jedoch zu Konflikten mit einigen Caching-Plugins kommen oder eine unerwartete Serverauslastung verursachen. Überprüfen Sie nach dem Update, ob sich das „Speculative Loading“ und Ihre Caching-Lösung nicht gegenseitig behindern.

WordPress 6.9(veröffentlichtam 2. Dezember 2025) hat zwei Funktionen hinzugefügt, die auf Kundenwebsites besonders beachtenswert sind:

• Mit „Notizen“können Redakteure und Administratoren direkt in den Blöcken des Editors Kommentare hinterlassen, wobei Funktionen wie Antworten, Lösen und E-Mail-Benachrichtigungen unterstützt werden. Nützlich für redaktionelle Arbeitsabläufe. Wenn niemand sie bereinigt, können sie sich wie Kommentar-Spam anhäufen.
• Mit „Versteckte Blöcke“lassen sich beliebige Blöcke im Frontend ausblenden, ohne sie zu löschen. Das ist praktisch für saisonale Inhalte und Entwürfe, wird aber leicht vergessen. Überprüfen Sie die Websites Ihrer Kunden stichprobenartig auf alte Werbebanner oder veraltete Inhalte, die unsichtbar auf den Seiten verbleiben.

WordPress 6.9 bietet außerdem Beta-Unterstützung für PHP 8.5 und 8.4. Die meisten Hosting-Umgebungen laufen noch nicht unter PHP 8.5; die praktische Mindestanforderung für Kundenwebsites ist PHP 8.2.

Monatliche Wartungsaufgaben für WordPress

9. Kommentare moderieren

Akismet filtert den Großteil des Kommentar-Spams in WordPress heraus, stuft jedoch gelegentlich auch legitime Kommentare als Spam ein. Überprüfen Sie einmal im Monat die Spam-Warteschlange auf Fehlalarme. Eine übersehene Kundenanfrage oder eine echte Kundenbewertung, die im Spam-Ordner landet, ist schlimmer als der Spam selbst.

10. Überprüfen Sie defekte Links und defekte Bilder

Externe Websites verschwinden. Seiten werden verschoben. Bild-URLs ändern sich, wenn das Hosting umgestellt wird. Die Folge sind defekte externe Links und fehlende Medien, die die Benutzererfahrung und die Suchmaschinenoptimierung still und leise beeinträchtigen.

Führen Sie monatlich eine Überprüfung auf defekte Links auf allen Kundenwebsites durch. WP Umbrella eine kontinuierliche Überwachung auf defekte Links, die für ein ganzes Portfolio von Websites funktioniert.

Ersetzen Sie defekte externe Links durch aktuelle Quellen oder entfernen Sie sie vollständig. Bei fehlenden internen Medien, die in der Regel durch URL-Änderungen oder fehlgeschlagene Bereinigungen der Medienbibliothek verursacht werden, stellen Sie die Originaldatei wieder her oder aktualisieren Sie den Verweis.

11. Nicht verwendete Designs und Plugins entfernen

Auch ungenutzte Themes und Plugins stellen eine Angriffsfläche dar. Viele der am häufigsten ausgenutzten WordPress-Sicherheitslücken befinden sich in Plugins, deren Installation der Website-Betreiber längst vergessen hat. Eine Deaktivierung reicht nicht aus; löschen Sie alles, was Sie nicht nutzen. Leistungsvorteile sind dabei nur ein Nebeneffekt.

12. Überprüfen Sie PageSpeed und Core Web Vitals

Ein einmaliger PageSpeed-Test alle paar Monate reicht nicht aus. Die Leistung verschlechtert sich allmählich, wenn sich Inhalte und Plugins ansammeln; daher ist eine kontinuierliche Überwachung mit einer monatlichen Überprüfung der Trendlinien der richtige Ansatz.

Google bewertet Websites anhand von drei Core Web Vitals:LCP(wie schnell der Hauptinhalt geladen wird, Zielwert ≤ 2,5 s),INP(wie schnell die Website auf Klicks und Taps reagiert, Zielwert ≤ 200 ms) undCLS(ob sich das Seitenlayout während des Ladens verschiebt, Zielwert ≤ 0,1). Diese Faktoren wirken sich direkt auf das Ranking aus.

Zwei Unterscheidungen, die man beachten sollte:

• Labor- vs. Felddaten.PageSpeed Insights führt einen simulierten Test durch (Labordaten). Die Google Search Console gibt Auskunft darüber, was echte Besucher erleben (Felddaten). Vergleichen Sie beide.
• Die TTFB ist ein eigenständiger Faktor.Eine lange „Time to First Byte“ deutet in der Regel auf Probleme beim Hosting oder mit der Datenbank hin; keine noch so umfassende Frontend-Optimierung kann das beheben.

Wenn Sie auf WordPress 6.8 oder 6.9 aktualisiert haben, führen Sie die Leistungstests erneut durch, nachdem Sie den Cache geleert haben. Die Wechselwirkungen zwischen spekulativem Laden und Caching werden derzeit noch optimiert.

13. 404-Fehler überprüfen

404-Fehler sind ein ganz normales Phänomen im Internet. Nutzer tippen URLs falsch ein, alte Seiten werden gelöscht, Suchmaschinen speichern veraltete Verweise. Sie werden erst dann zum Problem, wenn sich 404-Fehler für Seiten häufen, die eigentlich existieren oder auf eine andere Seite weiterleiten sollten.

Die schnellste 404-Prüfung: Öffnen Sie die Google Search Console, navigieren Sie zum Bericht „Seiten“, filtern Sie nach dem Status „Nicht gefunden (404)“ und exportieren Sie die URL-Liste. Richten Sie für URLs, die aufgerufen werden sollten, eine 301-Weiterleitung zur aktuellen Entsprechung ein. Lassen Sie URLs, die nicht mehr existieren sollten (gelöschte Inhalte, aufgegebene Bereiche), sauber mit einem 404-Fehler zurückgeben. Es ist nicht notwendig, jede veraltete URL auf die Startseite umzuleiten.

14. PHP-Fehler abfangen und beheben

Schlecht programmierte Plugins und Themes verursachen PHP-Fehler. Die meisten davon sind zwar nur geringfügig (Warnungen wegen veralteter Funktionen oder Probleme auf Notice-Ebene), doch sie verlangsamen die Website, füllen die Protokolle und geben gelegentlich Informationen preis, die Angreifer ausnutzen können.

Aktivieren Sie auf einer einzelnen Website WP_DEBUG und WP_DEBUG_LOG um Fehler zu protokollieren wp-content/debug.log, und deaktivieren Sie anschließend den Debug-Modus. Unser Anleitung zu WP_DEBUG und WP_DEBUG_LOG behandelt die Konstanten in der Datei „wp-config.php“ und häufige Fallstricke.

Für Agenturen, die Pflegepläne an vielen Standorten verwalten, ist die Echtzeit-Überwachung von PHP-Fehlern die ideale Lösung. WP Umbrella PHP-Fehler auf allen Kundenwebsites sofort nach ihrem Auftreten WP Umbrella , sodass Sie davon erfahren, noch bevor der Kunde es bemerkt.

15. Kontaktformulare testen

Formular-Generatoren wie WPForms machen es einfach, professionelle Kontaktformulare bereitzustellen, doch diese Formulare können plötzlich nicht mehr funktionieren, wenn sich SMTP-Zugangsdaten ändern, Hosting-Änderungen den E-Mail-Versand beeinträchtigen oder der E-Mail-Anbieter die Zustellungsregeln verschärft. Senden Sie monatlich eine Testübermittlung an jedes Formular auf jeder Kundenwebsite. Noch besser: Richten Sie einen Transaktions-E-Mail-Dienst (Postmark, SendGrid, Mailgun) ein, damit die Zustellbarkeit unabhängig von Ihrem Hosting-Anbieter ist.

Vierteljährliche Wartungsaufgaben für WordPress

16. Überprüfung von Zugangsdaten und Zugriffsrechten

Starke, einzigartige Passwörter für jedes Konto: WordPress-Admin, FTP/SFTP, Datenbank, Hosting-Control-Panel. Verwenden Sie einen Passwort-Manager, damit jedes Konto seine eigenen Zugangsdaten erhält.

Die aktuellen Anweisungen sind der Punkt, an dem die meisten Wartungschecklisten versagen. NIST SP 800-63B Rev. 4, die im Juli 2025 fertiggestellt wurde und die bisherigen Leitlinien ersetzt, weist die Systeme ausdrücklich darauf hin, nicht um einen regelmäßigen Passwortwechsel zu erzwingen. Der erzwungene Wechsel führte zu einem vorhersehbaren Muster (Spring2024! wird Summer2024! wird Autumn2024!), und dieses Muster war leichter zu knacken als lange, unveränderte Passwörter. Der aktuelle Standard:

• Mindestens 15 Zeichen, wenn das Passwort das einzige Authentifizierungsmittel ist.
• Keine verbindlichen Komplexitätsregeln (keine vorgeschriebene Mischung aus Groß-, Klein- und Sonderbuchstaben).
• Führen Sie einen Personalwechsel durch,wenn Anzeichen für eine Kompromittierung vorliegen, wenn Mitarbeiter das Unternehmen verlassen oder nach einem Sicherheitsvorfall – nicht nach einem festen Zeitplan.

Kombinieren Sie dies mit einer Zwei-Faktor-Authentifizierung für jedes Administratorkonto oder einer passwortschlüsselbasierten Anmeldung, sofern die Konfiguration dies unterstützt.

17. Nicht benötigte WordPress-Benutzer entfernen

Überprüfen Sie vierteljährlich die Benutzerliste auf jedem Kundenstandort. Löschen Sie Konten von ausgeschiedenen Mitarbeitern, ehemaligen Auftragnehmern und allen Personen, die keinen Administratorzugriff mehr benötigen. Setzen Sie die Berechtigungen herab, anstatt Konten zu löschen, wenn der Prüfverlauf von Bedeutung ist. Veraltete Administratorkonten mit schwachen Passwörtern sind eine häufige Ursache für kompromittierte Websites.

18. Bild-Alt-Text überprüfen

Der Alt-Text beschreibt Bilder für Screenreader und trägt zur Suchmaschinenoptimierung (SEO) bei. Jedes Bild auf einer Kundenwebsite sollte über ein beschreibendes Alt-Attribut verfügen. Heutzutage ist diese Funktion in den meisten SEO-Plugins enthalten, wie beispielsweise Yoast, SEOPress oder RankMath.

19. Ablauf der Premium-Lizenz prüfen

Premium-Plugins und -Themes werden in der Regel auf Basis von Jahreslizenzen betrieben. Wenn eine Lizenz abläuft, läuft das Plugin zwar weiter, erhält aber keine Sicherheitsupdates mehr – was für jede WordPress-Komponente den gefährlichsten Zustand darstellt. Überprüfen Sie vierteljährlich die Ablaufdaten der Lizenzen auf allen Websites und verlängern oder ersetzen Sie diese innerhalb von 30 Tagen vor Ablauf. Das Changelog und die Überwachung der Lizenzablaufdaten WP Umbrellaverfolgen dies automatisch für jede einzelne Website.

20. Überprüfen Sie das Sicherheitsprotokoll

Ein Aktivitätsprotokoll auf Website-Ebene zeichnet wichtige Ereignisse auf: Benutzeranmeldungen, Plugin-Aktivierungen, Dateiänderungen, Rollenänderungen, Passwortzurücksetzungen. Wenn etwas schiefgeht, macht das Protokoll den Unterschied zwischen „Wir wissen nicht, was passiert ist“ und einer forensischen Zeitleiste, die Sie einem Kunden vorlegen können.

„WP Activity Log“ (früher „WP Security Audit Log“, von Melapress umbenannt) ist das gängige kostenlose Plugin hierfür. WP Umbrella Aktivitäten auf Plattformebene für alle Kundenwebsites – nützlich, wenn Sie einen Überblick über das gesamte Portfolio benötigen, anstatt Protokolle für einzelne Websites.

21. Die WordPress-Datenbank optimieren

WordPress speichert alles in einer MySQL-Datenbank, und mit der Zeit sammeln sich dort Zeilen an, die Sie nicht benötigen: Spam-Kommentare, Beitragsrevisionen, abgelaufene Transienten, verwaisten Metadaten und Protokolleinträge von Plugins, die längst entfernt wurden. Die Datenbank funktioniert zwar weiterhin, wird aber mit zunehmender Größe immer langsamer.

Führen Sie vierteljährlich eine Datenbankbereinigung durch.WP-Optimizeist die aktiv gepflegte kostenlose Option und kümmert sich in einem Durchgang um Spam-Kommentare, Entwürfe, temporäre Daten und die Tabellenoptimierung. Bei Websites mit häufigem Plugin-Wechsel sollten Sie gelegentlich eine manuelle Überprüfung in phpMyAdmin (oder dem Datenbank-Tool Ihres Hosting-Control-Panels) durchführen, um verwaisten Tabellen aufzuspüren, die bei der automatischen Bereinigung übersehen werden.

22. Zustand des RSS-Feeds überprüfen

RSS-Feeds gelten zwar als veralteter Vertriebskanal, sorgen aber nach wie vor für neue Abonnenten, Syndizierung und Plattformintegrationen (Newsletter-Tools, Podcast-Aggregatoren, föderierte Reader). Überprüfen Sie vierteljährlich, ob der Feed unter /feed/ wird fehlerfrei geparst und enthält aktuelle Beiträge. Plugins, die auf die Schleife zugreifen, können Feeds unbemerkt beschädigen, ohne dass sichtbare Fehler auftreten.

23. Medienbibliothek bereinigen

Auf einer seit Langem bestehenden Website sammeln sich Bilder an, die in keinem Beitrag oder auf keiner Seite mehr verwendet werden: alte Hero-Bilder, ersetzte Produktfotos, Varianten aus A/B-Tests. Sie belegen Speicherplatz auf dem Server und überladen die Medienbibliothek. Überprüfen Sie vierteljährlich die nicht mehr verwendeten Medien und entfernen Sie diejenigen, die wirklich überflüssig geworden sind. Komprimieren Sie die verbleibenden Medien mit Imagify oder Smush; moderne Formate (WebP, AVIF) reduzieren die Dateigröße erheblich.

24. Wartungsberichte an Kunden senden

Wenn Sie Wartungsverträge anbieten, senden Sie jedem Kunden einen monatlichen Wartungsbericht. Dieser Bericht macht die Arbeit im Hintergrund sichtbar und sorgt dafür, dass Verträge verlängert werden. Ein guter Bericht enthält Informationen zu veröffentlichten Updates, Verfügbarkeitszahlen, durchgeführten Sicherheitsüberprüfungen, Leistungstrends sowie zu allen in diesem Quartal durchgeführten Sonderanfertigungen. UnserLeitfaden zum Verkauf von WordPress-Wartungsverträgengeht näher auf die geschäftlichen Aspekte ein.

WP Umbrella automatisch White-Label-Wartungsberichte auf Basis der Überwachungsdaten der Plattform, versehen mit dem Branding Ihrer Agentur (Name, Logo, Farben, Domain) und über 50 anpassbaren Variablen. Planen Sie den Versand für den ersten Tag jedes Monats, und die Arbeit spricht für sich.

Jährliche Wartungsaufgaben für WordPress

25. Überprüfung der Inhalte und Suchmaschinenoptimierung

Führen Sie einmal im Jahr eine Inhaltsanalyse anhand der Daten aus Google Analytics und der Google Search Console durch. Achten Sie dabei auf folgende Muster: Seiten mit vielen Aufrufen, aber niedriger Klickrate (Kandidaten für eine Klickrate-Optimierung), Seiten mit hohem Traffic, aber geringer Interaktion (Kandidaten für eine Anpassung an die Suchabsicht) sowie Seiten, deren Position im Laufe der Zeit gesunken ist (Kandidaten für eine Aktualisierung).

Aktualisieren Sie die Seiten mit der größten Reichweite, passen Sie die Veröffentlichungsdaten an, wenn sich der Inhalt geändert hat, und entfernen Sie Inhalte, die keinen Zweck mehr erfüllen.

26. Backlink-Profil prüfen (Sonderfall)

Google hat das Disavow-Tool seit 2020 in den Hintergrund gerückt. Die meisten algorithmisch erkannten Spam-Links werden nun automatisch ignoriert, anstatt dass eine manuelle Ablehnung erforderlich ist. Für die meisten Websites lohnt es sich nicht mehr, diese Aufgabe jährlich durchzuführen.

Führen Sie dies durch, wenn einer der folgenden Punkte zutrifft: Sie haben eine Website mit einem bekanntermaßen schädlichen Backlink-Profil übernommen, Sie haben in der Search Console eine Benachrichtigung über eine manuelle Maßnahme erhalten oder Sie haben aggressive Negative-SEO-Kampagnen gegen die Website durchgeführt, die Sie identifizieren können. Andernfalls lassen Sie das Backlink-Profil unverändert. Legitime Links zu disavowen ist schädlicher, als Spam-Links einfach stehen zu lassen.

27. Überprüfen Sie die Seiten „Über uns“ und „Impressum“

Überprüfen Sie einmal im Jahr die „Über uns“-Seite und alle Urheberrechtshinweise, um sicherzustellen, dass sie den aktuellen Gegebenheiten entsprechen: aktuelles Team, aktuelles Jahr, aktuelle Rechtsform. Automatisieren Sie die Angabe des Urheberrechtsjahres mit einem PHP-Snippet, damit sie nie veraltet:

<?php echo date("Y"); ?>