WP Umbrella Logo

WordPress-Wartung: Der umfassende Leitfaden für Website-Betreiber, Freiberufler und Agenturen

Dieser Leitfaden richtet sich an drei Zielgruppen. Wenn Sie eine WordPress-Website betreiben, erfahren Sie hier, was die Wartung konkret beinhaltet, wie viel sie kosten sollte und wie viel Sie davon getrost selbst erledigen können.

Aurelio Volle
-

Im Jahr 2025 betrug die mittlere Zeitspanne zwischen der Veröffentlichung einer WordPress-Sicherheitslücke und deren großangelegter Ausnutzung durch Angreifer laut dem Bericht „State of WordPress Security 2026“ von Patchstack fünf Stunden. Nicht fünf Wochen. Fünf Stunden. Etwa die Hälfte der Schwachstellen mit hohen Auswirkungen wurde innerhalb eines Tages ausgenutzt. Dieses Tempo definiert die Aufgabe neu: Die WordPress-Wartung ist nicht länger eine monatliche Routineaufgabe, sondern ein kontinuierliches Risikomanagement, das durch planmäßige Maßnahmen ergänzt wird.

Dieser Leitfaden richtet sich an drei Zielgruppen. Wenn Sie eine WordPress-Website betreiben, erfahren Sie hier, was die Wartung konkret umfasst, wie viel sie kosten sollte und welche Aufgaben Sie getrost selbst übernehmen können. Wenn Sie vorhaben, diese Aufgaben auszulagern, erhalten Sie hier Informationen zu den marktüblichen Preisen und den Auswahlkriterien. Wenn Sie Websites für Kunden betreuen, ist die zweite Hälfte genau das Richtige für Sie: Preisdaten auf Umfragebasis, die Margenberechnungen hinter rentablen Wartungsangeboten und wie Sie diese in großem Maßstab umsetzen können.

Eine Klarstellung, bevor es losgeht. Suchen Sie nach der Seite „Im Aufbau“? Das ist der Wartungsmodus: eine vorübergehende Seite, keine Wartungsarbeiten. Diese Anleitung befasst sich mit dem eigentlichen Vorgang.

Jede der unten aufgeführten Zahlen ist mit ihrer Quelle verlinkt. Bei abgeleiteten Zahlen wird die Berechnung dargestellt, sodass Sie diese mit Ihren eigenen Eingabewerten nachrechnen können.

Was ist WordPress-Wartung?

Die WordPress-Wartung umfasst die regelmäßig anfallenden technischen Arbeiten, die dafür sorgen, dass eine Website sicher, gesichert, schnell und online bleibt: Updates installieren, Backups überprüfen, auf Schwachstellen und Ausfallzeiten überwachen sowie die Datenbank auf dem neuesten Stand halten. Dabei geht es nicht um Neugestaltungen oder neue Funktionen, sondern um die betriebliche Disziplin, die dahintersteht.

Diese Disziplin ergibt sich aus der Größe. Laut W3Techs laufen 41,5 % aller Websites mit WordPress, was es zur größten einzelnen Angriffsfläche im Internet macht. Die Plattform ist zudem von Grund auf auf Selbstverwaltung ausgelegt: Kein Anbieter aktualisiert Ihre Plugins, testet Ihre Backups oder überwacht Ihre Verfügbarkeit, es sei denn, Sie richten dies selbst ein. Die Verantwortung liegt standardmäßig bei Ihnen.

In der Praxis lässt sich die Arbeit in fünf Aufgabenbereiche unterteilen:

  1. Updates: WordPress-Kern, Plugins und Themes – sicher und pünktlich installiert.
  2. Sicherungen: vollständige externe Kopien, deren Wiederherstellung Sie tatsächlich getestet haben.
  3. Sicherheitsüberwachung und Reaktion auf Sicherheitslücken: Innerhalb weniger Stunden erfahren, wenn eine von Ihnen betriebene Komponente angreifbar wird, und entsprechend handeln.
  4. Verfügbarkeits- und Leistungsprüfungen: kontinuierliche Überwachung der Verfügbarkeit, Geschwindigkeit und Core Web Vitals.
  5. Datenbank- und Inhaltspflege: Überarbeitungen, Spam, defekte Links, ablaufende SSL-Zertifikate und Domains.

Wer die Arbeit erledigt, ist unterschiedlich. Eigentümer kümmern sich selbst darum, Freiberufler und Agenturen liefern sie den Kunden in Form von Wartungsverträgen (monatlich abgerechnete Wartungsabonnements mit festem Leistungsumfang), und Plattformen automatisieren die sich wiederholenden Aufgaben. Die Aufgabenliste ist in allen drei Fällen identisch; nur der Ausführende und die wirtschaftlichen Rahmenbedingungen ändern sich.

Jede Familie scheitert auf ihre eigene Weise: Updates bringen das Layout durcheinander, Backups melden einen Erfolg, obwohl nichts wiederhergestellt wird, ungepatchte Sicherheitslücken werden innerhalb weniger Stunden ausgenutzt, Ausfallzeiten werden in einer E-Mail eines Kunden erwähnt, und aufgeblähte Datenbanken verlangsamen jede Abfrage. In den folgenden Abschnitten werden die einzelnen Fehlerarten anhand konkreter Vorfälle und echter Rechnungen behandelt.

Wenn sie gut gemacht ist, fällt die Wartung gar nicht auf: Seiten werden geladen, Formulare gesendet, Aktualisierungen ohne Probleme übernommen. Genau diese Unsichtbarkeit ist der Grund, warum sie oft vernachlässigt wird – und warum es im nächsten Abschnitt ausschließlich um Zahlen geht.

Warum die Wartung von WordPress wichtig ist: Die Zahlen

Zeitfenster für die Ausnutzung von WordPress-Sicherheitslücken

Beginnen wir mit den Zahlen. Im Jahresbericht 2026 von Patchstack wurden für das Jahr 2025 insgesamt 11.334 neue WordPress-Sicherheitslücken verzeichnet – ein Anstieg von 42 % gegenüber dem Vorjahr.

91 % dieser Schwachstellen befanden sich in Plugins, nicht im WordPress-Kern, und der Anteil der Schwachstellen mit hohem Schweregrad stieg am schnellsten an – um 113 % innerhalb eines Jahres. Ihr tatsächliches Risiko liegt in Ihrer Plugin-Liste und nimmt mit jeder Installation weiter zu.

Betrachten Sie die Anzahl als Planungsgrundlage und nicht als Warnung. Sie zeigt Ihnen, dass der Patch-Strom niemals unterbrochen wird; daher darf auch der Workflow, der diese Patches anwendet, nicht unterbrochen werden.

Die Geschwindigkeit ist der Wert, der Ihre Gewohnheiten ändern sollte. Laut den Daten von Patchstack für das Jahr 2026 beträgt die Medianzeit zwischen der öffentlichen Bekanntgabe und der ersten massenhaften Ausnutzung fünf Stunden, und die Verteilung fällt nicht wesentlich besser aus als der Median: 20 % der ausgenutzten Sicherheitslücken werden innerhalb von sechs Stunden für Angriffe missbraucht.

45 % der ausgenutzten WordPress-Sicherheitslücken werden innerhalb von 24 Stunden ausgenutzt, und bis zum siebten Tag werden 70 % aktiv ausgenutzt. Vergleichen Sie diesen Zeitrahmen mit einer monatlichen Routine: Wenn Sie Ihre Websites alle 30 Tage überprüfen, ist die „monatliche Wartung“ als Maßnahme zur Behebung von Sicherheitslücken rein rechnerisch überholt. Die Überwachung muss kontinuierlich erfolgen. Der monatliche Zeitrahmen ist für Arbeiten vorgesehen, die warten können.

Drittens: der Mythos vom Hosting. „Mein Hosting-Anbieter kümmert sich um die Sicherheit“ ist die teuerste Annahme, die man bei WordPress treffen kann. Laut den Messungen von Patchstack aus dem Jahr 2026 blockierten Schutzmaßnahmen auf Hosting-Ebene insgesamt 26 % der Angriffe auf Sicherheitslücken, auf der WordPress-Anwendungsebene jedoch nur 12 %. Der Server ist geschützt. Die Anwendung, in der sich Ihre Plugins und Nutzer befinden, ist der Ort, an dem der Rest landet.

Das alles macht Managed Hosting jedoch nicht zu einer schlechten Wahl. Es macht es lediglich zu einer unvollständigen Lösung. Das Hosting deckt die Server-Ebene ab; die WordPress-Wartung deckt die Anwendungsebene ab, die der Host Ihnen überlässt.

Auch Ausfallzeiten verursachen Kosten. Schätzungen für Kleinunternehmen reichen von 100 bis 5.000 Dollar pro Stunde, und Analysen mit Fokus auf KMU liegen ebenfalls in diesem breiten Spektrum. Betrachten Sie es als Bandbreite: Ihre Zahl ist der Betrag, den eine Stunde entgangener Traffic Ihr Unternehmen konkret kostet. Eine E-Commerce-Website spürt einen Ausfall in Echtzeit; eine Website zur Lead-Generierung spürt ihn erst im nächsten Quartal, in der Pipeline.

Leistungseinbußen sind zwar weniger auffällig, aber ebenso kostspielig. Eine Analyse von Akamai, die rund zehn Milliarden Besuche auf Einzelhandels-Websites untersuchte, ergab, dass eine Verzögerung von 100 Millisekunden die Konversionsraten auf Mobilgeräten um 7 % senkt und dass 53 % der mobilen Besucher eine Seite verlassen, deren Ladezeit länger als drei Sekunden dauert.

Merken Sie sich vier Zahlen aus diesem Abschnitt; jede Empfehlung im weiteren Verlauf dieses Leitfadens lässt sich auf eine dieser Zahlen zurückführen:

  1. Fünf Stunden: die mittlere Zeitspanne zwischen der Veröffentlichung und der massenhaften Nutzung
  2. 91 %: Der Anteil der Fehler, die in Plugins zu finden sind
  3. 12 %: Anteil der Angriffe auf der WordPress-Ebene, die zu Hosting-Sperren führen
  4. Ihre Kosten pro Ausfallstunde: individuell auf Ihr Unternehmen und Ihr Umsatzmodell zugeschnitten

Die wichtigsten Wartungsaufgaben für WordPress (und wie oft sie durchgeführt werden sollten)

Die kurze Antwort: Die Überwachung läuft kontinuierlich, Aktualisierungen finden wöchentlich statt, die Datenbankbereinigung erfolgt monatlich und Wiederherstellungstests werden vierteljährlich durchgeführt. Die folgende Tabelle setzt die fünf Aufgabenbereiche in diesen Zeitplan um. Beachten Sie die strukturelle Änderung gegenüber der herkömmlichen Aufgabenliste: Die Schwachstellenüberwachung und die Verfügbarkeitsüberwachung gehören in die Zeile „kontinuierlich“ und nicht in die Zeile „monatlich“. Diese Einordnung ist die direkte Folge des Fünf-Stunden-Fensters.

TaktfrequenzAufgaben
Kontinuierlich (automatisiert)Verfügbarkeitsüberwachung, Erkennung von Sicherheitslücken, Sicherheitsscans, Nachverfolgung von PHP-Fehlern, geplante Backups
WöchentlichAktualisierungen von Plugins, Themes und dem Kern durch einen sicheren Arbeitsablauf; Stichprobenprüfung des Abschlusses der Datensicherung
MonatlichDatenbankbereinigung, Überprüfung auf defekte Links, Leistungsanalyse, Bericht für Stakeholder oder Kunden
VierteljährlichTest der vollständigen Wiederherstellung, Überprüfung des Administratorkontos, Überprüfung der SSL-Zertifikate und der Ablaufdaten von Domains, Bereinigung der Plugin-Liste
WordPress-Wartungsprozesse

Updates: Kern, Plugins und Themes

Da 91 % der Sicherheitslücken in Plugins zu finden sind, sind Updates Ihr wichtigster Kanal für Patches. Der Haken dabei: Gerade die Komponenten mit dem höchsten Risiko werden vom WordPress-Update-Bildschirm am schlechtesten behandelt.

Patchstack stellte fest, dass bei Premium-Plugins und -Themes die Wahrscheinlichkeit, dass bekannte Sicherheitslücken ausgenutzt werden, dreimal so hoch ist wie bei kostenlosen Varianten, und zählte 33 kritische Zero-Day-Schwachstellen innerhalb eines einzigen Jahres. Premium-Code wird nicht automatisch über wordpress.org aktualisiert.

Außerdem wird es häufig als Teil eines Themes mitgeliefert, sodass Website-Betreiber gar nicht wissen, dass sie es nutzen. Führen Sie eine Bestandsliste: jedes kostenpflichtige Plugin und Theme, dessen Lizenzstatus und woher die Updates stammen.

Fachleute erkennen bereits die Risiken einer blinden Automatisierung. Die WordPress-Sicherheitsumfrage 2025 von Melapress ergab , dass Designer und Entwickler mit 32 % bzw. 33 % die Gruppen sind, die am seltensten automatische Updates aktivieren. Das ist berechtigtes Misstrauen, keine Nachlässigkeit . Die Lösung ist der im nächsten Abschnitt beschriebene Arbeitsablauf.

Backups: Die Aufgabe, die jeder auf seine Liste setzt, aber niemand überprüft

Jede Wartungsliste enthält Backups. Fast niemand testet deren Wiederherstellung, weshalb „wir hatten Backups“ und „wir haben die Daten wiederhergestellt“ zwei verschiedene Aussagen sind. Die stillen Ausfallarten verdienen einen eigenen Abschnitt, der im Folgenden behandelt wird.

Sicherheitsüberwachung und Reaktion auf Sicherheitslücken

Die Überwachung ist aus einem unangenehmen Grund eine von der Aktualisierung getrennte Aufgabe: Für 46 % der Sicherheitslücken ist zum Zeitpunkt ihrer Bekanntgabe noch kein Patch verfügbar.

Wenn es nichts zu aktualisieren gibt, besteht die Reaktion in Abhilfemaßnahmen: Deaktivieren Sie die Komponente, wenden Sie einen virtuellen Patch an (eine Firewall-Regel, die das Exploit-Muster blockiert, bevor es den anfälligen Code erreicht) und warten Sie auf die korrigierte Version. All dies ist nur möglich, wenn Sie innerhalb weniger Stunden wissen, auf welchen Ihrer Websites die betroffene Komponente läuft. Diese Erkenntnis gewinnen Sie durch kontinuierliche Überwachung – nicht durch eine monatliche Überprüfung.

Verfügbarkeits- und Leistungsprüfungen

Ausfallzeiten, von denen Sie erst durch eine E-Mail eines Kunden erfahren, kosten mehr als der Ausfall selbst: Sie kosten die Geschäftsbeziehung. Eine kontinuierliche Überwachung der Verfügbarkeit in kurzen Intervallen und aus mehreren Regionen verwandelt „Die Website war das ganze Wochenende nicht erreichbar“ in einen fünfminütigen Vorfall mit einer zeitgestempelten Warnmeldung. Überprüfungen in mehreren Regionen sind wichtig, denn „für Sie verfügbar“ und „für Ihre Besucher verfügbar“ sind zwei verschiedene Dinge – und nur eines davon bezahlt die Rechnungen.

Kombinieren Sie dies mit der Überwachung der Core Web Vitals sowie mit Warnmeldungen zu SSL und ablaufenden Domains. Ein abgelaufenes Zertifikat legt eine Website genauso effektiv lahm wie jeder Angreifer und macht in der Browserleiste deutlich, dass hier Nachlässigkeit vorliegt.

Datenbank- und Inhaltspflege

Dies ist die „Slow-Rot“-Ebene. Beitragsüberarbeitungen, Spam-Kommentare, abgelaufene Transienten und verwaiste Tabellen blähen die Datenbank auf und verlangsamen jede Abfrage; defekte Links führen zu einem Autoritätsverlust und frustrieren die Besucher gleichermaßen.

Eine monatliche Bereinigung sorgt für schnelle Abfragen. Eine vierteljährliche Überprüfung der Administratorkonten und ungenutzter Plugins verringert die Angriffsfläche: Deaktivierte, aber installierte Plugins enthalten weiterhin ausnutzbaren Code – löschen Sie daher alles, was Sie nicht verwenden.

Für eine übersichtliche, nach einzelnen Punkten gegliederte Version dieses Zeitplans nutzen Sie bitte unsere WordPress-Wartungscheckliste. In diesem Leitfaden finden Sie die Intervalle und die Gründe dafür; auf dieser Seite finden Sie die Checkliste.

So aktualisieren Sie WordPress sicher: Der professionelle Arbeitsablauf

„Haltet einfach alles auf dem neuesten Stand“ – dieser Ratschlag stammt von Leuten, die noch nie miterlebt haben, wie ein Update eine Checkout-Seite lahmlegt. Updates bergen echte, strukturelle Risiken. WordPress.org hat die schrittweise Einführung von Plugins gerade deshalb eingeführt, weil eine neue Version auf einmal Regressionen auf Millionen von Websites verursachen kann, und Managed-Hosting-Anbieter bieten von Menschen geprüfte und visuell getestete Updates als Premium-Service an.

Wenn sowohl die Betreuer der Plattform selbst als auch die Hosting-Branche Updates als risikobehaftete Vorgänge betrachten, sollten Sie ihnen Glauben schenken. Der professionelle Arbeitsablauf umfasst fünf Schritte, und jeder einzelne davon ist notwendig, da das Überspringen eines Schritts nachweislich zu Fehlern führt.

1. Erstellen Sie ein Backup, bevor Sie irgendetwas ändern. Ein aktuelles, verifiziertes Backup dient als Rollback-Punkt. Nicht das geplante Backup von gestern Abend, sondern eines, das Sie jetzt erstellen, damit eine Wiederherstellung den exakten Zustand vor dem Update wiederherstellt. Vergewissern Sie sich, dass es abgeschlossen und wiederherstellbar ist – und nicht nur geplant.

Wenn die Sitzung ohne eine solche beginnt, ist sie bereits unterbrochen.

2. Risikobehaftete Änderungen auf einer Staging-Umgebung durchführen, Routineänderungen im Batch-Verfahren. Alles, was mit Umsatz oder Komplexität zu tun hat (WooCommerce, Mitgliedschaften, benutzerdefinierter Code), wird zunächst auf einer Staging-Kopie aktualisiert. Bei einfachen Prospekt-Websites ist ein festgelegtes Batch-Fenster mit einem vorbereiteten Rollback-Plan ein vernünftiger Kompromiss. Einen Shop am Freitag um 17 Uhr zu aktualisieren und sich dann einfach abzumelden, ist es hingegen nicht.

3. Vergleichen Sie Screenshots vor und nach der Änderung. Der Begriff „visuelle Regressionstests“ klingt zwar nach einer Lösung für Großunternehmen, in der Praxis bedeutet er jedoch lediglich, dass vor und nach einem Update Screenshots wichtiger Seiten erstellt und diese auf unbeabsichtigte Änderungen verglichen werden. Es sind nicht alle Seiten erforderlich: Eine Seite pro Vorlage – also etwa 8 bis 10 Szenarien – deckt etwa 90 % der visuellen Oberfläche einer typischen Website ab.

Startseite, ein Beitrag, ein Produkt, eine Kategorie, Warenkorb, Kasse, Kontaktformular. Wenn sich Pixel an Stellen verschoben haben, an denen sie nicht hingehören, hast du das bemerkt, bevor es dein Kunde getan hat.

4. Definieren Sie Rollback-Trigger vor der Aktualisierung, nicht danach. Legen Sie im Voraus fest, was unter „Fehlfunktion“ zu verstehen ist: eine falsch gerenderte Vorlage, Checkout-Fehler, Formulare, die nicht mehr gesendet werden können, oder eine Verdopplung der Ladezeit. Wenn ein Trigger ausgelöst wird, stellen Sie zunächst den vorherigen Zustand wieder her und untersuchen Sie den Fehler erst später. Unüberlegtes Debugging auf einer Live-Website führt dazu, dass aus einer zehnminütigen Aktualisierung ein verlorener Nachmittag und eine Entschuldigungs-E-Mail wird.

5. Ordnen Sie das Portfolio nach Risiko. Aktualisieren Sie zuerst die Website mit dem geringsten Risiko und lassen Sie die Änderungen erst einmal einwirken, bevor die anderen folgen. Bei der „Canary“-Reihenfolge sorgt die Plugin-Version, die zu Fehlern führt, dafür, dass Ihr Testkandidat ausfällt – und nicht die Website, über die Ihre Rechnungen bezahlt werden. Außerdem kommt so ein Rhythmus in die Arbeit. Jede Woche dieselbe Reihenfolge, dasselbe Zeitfenster – damit nichts unbemerkt übersehen wird.

Zwei Gewohnheiten steigern den Nutzen des Workflows erheblich. Lesen Sie das Changelog bei Sprüngen zu neuen Hauptversionen, denn eine x.0-Version ist eine Neuprogrammierung, die sich als Update tarnt. Und lassen Sie ausstehende Updates niemals anhäufen: Je weiter eine Website in Verzug gerät, desto größer wird der spätere Sprung und desto schwieriger ist die Rücknahme, falls etwas schiefgeht.

Dieser manuell durchgeführte Arbeitsablauf ist der Hauptgrund dafür, dass die Wartung so viele Stunden in Anspruch nimmt. Er ist aber auch genau der Teil, dessen Automatisierung sich lohnt. Backups vor dem Update, ein visueller Regressionsvergleich und ein automatisches Rollback im Fehlerfall bilden den Kern der sicheren Updates WP Umbrella: dieselben fünf Schritte, die bei jedem Update für jede Website ausgeführt werden – ohne dass ein ganzer Nachmittag dafür draufgeht. Der Arbeitsablauf dauert nur wenige Minuten pro Website; ihn zu überspringen, kostet den anschließenden Supportfall.

Was passiert, wenn man die Wartung auslässt?

Versäumte Wartungsmaßnahmen führen nicht zu einem schleichenden Ausfall. Der Ausfall tritt auf einen Schlag ein, und die Umstände sind öffentlich bekannt. Für keinen der beiden unten aufgeführten Vorfälle waren ein raffinierter Angreifer oder ein unglückliches Opfer erforderlich. Es bedurfte lediglich von Zeit und einer nicht gepatchten Komponente.

Zwei Angriffe, die ausschließlich nicht gewartete Websites betreffen

Dezember 2014: Laut den Vorfallberichten von Sucuri wurden im Rahmen der „SoakSoak“-Kampagne mehr als 100.000 WordPress-Websites kompromittiert, und Google setzte an einem einzigen Wochenende über 11.000 Domains auf die schwarze Liste.

Der Einstiegspunkt war eine Sicherheitslücke in RevSlider, die bereits zehn Monate zuvor behoben worden war. Das Grausamste daran: RevSlider war in Tausenden von kommerziellen Themes vorinstalliert, sodass viele Nutzer gar nicht wussten, dass sie das Programm nutzten. Das ist der größte blinde Fleck auf der Aufgabenliste – und er wurde als Waffe eingesetzt.

Die Aufnahme in die Blacklist ist an sich schon eine Strafe. Google unterbricht jeden Besuch mit einer Malware-Warnung, was für eine Unternehmenswebsite Ausfallzeiten und damit einen Reputationsschaden bedeutet.

Balada Injector wendet seit 2017 dieselbe Vorgehensweise an und hat über bekannte Sicherheitslücken in Plugins und Themes mehr als eine Million WordPress-Seiten infiziert.

Angreifer nutzen kein Pech aus. Sie nutzen mangelnde Wartung aus: Für jede dieser Infektionen gab es bereits zuvor einen Patch oder eine Abhilfemaßnahme.

Ein Blick hinter die Kulissen einer gehackten Website: Was bei der Bereinigung tatsächlich zutage tritt

Forensische Daten von Sucuri zu den im Jahr 2023 bereinigten Websites: 39,1 % liefen zum Zeitpunkt der Infektion mit einem veralteten CMS, und 49,2 % enthielten mindestens eine Hintertür.

Derselbe Bericht ergab, dass in 55,2 % der infizierten Datenbanken böswillige Admin-Benutzer gefunden wurden und auf 42,2 % der kompromittierten Websites SEO-Spam vorlag.

Diese beiden letzten Zahlen machen die gängigste Illusion in Bezug auf die Wiederherstellung zunichte: „Ich stelle einfach ein Backup wieder her.“ Bei einer unüberlegten Wiederherstellung werden sowohl Ihre Inhalte als auch das Administratorkonto des Angreifers wiederhergestellt. Hintertüren und böswillige Benutzer bleiben bestehen, und innerhalb weniger Tage kommt es zu einer erneuten Infektion. Eine echte Bereinigung beginnt mit einer forensischen Untersuchung.

Die Zahl für die Hintertür erklärt auch, warum bei den Preisen für die Beseitigung eine Stufe für „tiefgreifende Infektionen“ vorgesehen ist, bei der die Kostenvoranschläge zwischen 1.500 und über 3.000 Dollar liegen. Eine Hintertür zu finden , ist einfach; zu beweisen, dass es keine zweite gibt, ist der kostspielige Teil.

Die volle Rechnung: Kosten, Ausfallzeiten und die Google-Uhr

Beschreiben Sie den Vorfall im Detail. Eine professionelle Malware-Beseitigung kostet in der Regel zwischen 300 und 800 US-Dollar, wobei die marktüblichen Preise zwischen 100 und 2.500 US-Dollar und darüber liegen.

Die Wiederherstellungszeit hängt davon ab, ob Sie die Backups überprüft haben oder nicht: 2 bis 4 Stunden bei ordnungsgemäßen Backups, ein bis zwei Tage ohne. Diese Tage gelten als Ausfallzeit und werden nach dem zuvor festgelegten Stundensatz abgerechnet.

Dann startet Google seine eigene Uhr. Nach der Bereinigung beantragen Sie eine Überprüfung, und laut Googles eigener Dokumentation dauern Malware-Überprüfungen „einige Tage“, während Spam-Überprüfungen „bis zu mehreren Wochen“ in Anspruch nehmen; bei Phishing etwa einen Tag. Ihre Platzierungen und der Hinweis „Diese Website wurde möglicherweise gehackt“ hängen von Googles Warteschlange ab, nicht von der Geschwindigkeit Ihrer Bereinigung. Während dieses gesamten Zeitraums ist die Website zwar technisch gesehen sauber, wirtschaftlich gesehen jedoch weiterhin gehackt.

Rechnen Sie mal nach: Aufräumarbeiten, ein bis zwei Tage Ausfallzeit und wochenlange Einschränkung der Sichtbarkeit in Suchmaschinen. Ein einziger Vorfall kann Kosten verursachen, die denen eines ganzen Jahres an echter Wartung entsprechen – und dabei sind die entgangenen Umsätze noch gar nicht mitgerechnet. Und dabei sind die indirekten Kosten noch gar nicht berücksichtigt: die Kundenanrufe, die Wiederherstellung des Vertrauens, die Überprüfung aller anderen von Ihnen betriebenen Websites.

Ein Überwachungssystem kann einen Schwachstellen-Feed nicht rund um die Uhr beobachten. Eine Überwachungslösung hingegen schon. Die kontinuierliche Schwachstellenerkennung WP Umbrellagleicht jede Website alle sechs Stunden mit einer Live-Schwachstellendatenbank ab und schließt so die Lücke zwischen der Bekanntgabe einer Schwachstelle und Ihrer Reaktion.

Unbemerkte Backup-Fehler: Das Risiko, das niemand überprüft

Ein Website-Betreiber schrieb im WordPress.org-Forum, nachdem sein Plugin eine erfolgreiche Wiederherstellung gemeldet hatte: „UpdraftPlus hat mir gemeldet, dass das Backup wiederhergestellt wurde. Aber am Ende hatte ich nach der Wiederherstellung nur leere Verzeichnisse auf dem Server.“ Im Dashboard wurde „erfolgreich“ angezeigt. Die Daten waren jedoch verschwunden.

Dieser Thread ist kein Einzelfall. Es handelt sich um den klassischen Backup-Fehler: Ein Job, der als „grün“ gemeldet wird, aber nichts liefert – und das genau in dem Moment, in dem es darauf ankommt.

Die Fehlerquellen sind banal: Ein PHP-Speicherlimit führt dazu, dass das Archiv während des Schreibvorgangs abgeschnitten wird; ein Datenbankexport bricht bei einer Tabelle auf halber Strecke ab; nach dem Kopieren wird die Dateiintegrität nicht überprüft. Der Fehler im Budgetplan ist der unauffälligste: Das Backup befindet sich auf demselben Server, den es schützen soll, sodass der Fehler, der den Bedarf dafür schafft, auch die Abhilfe zunichte macht. „Off-Site“ bedeutet eine andere Fehlerdomäne, nicht einen anderen Ordner.

Die Überprüfung muss zu zwei Zeitpunkten erfolgen: nach Abschluss des Backup-Vorgangs (Prüfsummen, Archivgröße, Anzahl der Tabellen) und bevor man sich darauf verlässt (bei einer tatsächlichen Wiederherstellung). Bei den meisten Konfigurationen geschieht keines von beiden. Dort wird lediglich bestätigt, dass der Auftrag ausgeführt wurde, was jedoch nicht dasselbe ist.

Die Grenze ist klar. Ein Backup, dessen Wiederherstellung Sie getestet haben, ist ein Gewinn. Ein Backup, das Sie nicht getestet haben, ist nichts weiter als eine Hoffnung mit einem Zeitstempel. Dennoch hat Melapress festgestellt, dass nur 27 % der WordPress-Experten über einen Plan zur Wiederherstellung nach einer Sicherheitsverletzung verfügen, während 64 % bereits mindestens eine Sicherheitsverletzung erlebt haben.

Der Test ist im Vergleich zur Alternative kostengünstig: Stellen Sie das Backup der letzten Woche unter einer Staging-URL wieder her und klicken Sie sich durch zehn Seiten. Zwanzig Minuten, einmal pro Quartal, pro umsatzgenerierender Website. Und wenn ein Anbieter Ihre Backups verwaltet, fragen Sie nach dem Datum der letzten erfolgreichen Testwiederherstellung; die Pause vor der Antwort ist das Audit.

Jedes Backup-System sollte vier Kriterien erfüllen: inkrementell, verschlüsselt, extern und auf Wiederherstellbarkeit getestet. „Inkrementell“ bedeutet, dass bei jedem Durchlauf nur die seit dem letzten Durchlauf vorgenommenen Änderungen erfasst werden, sodass die Backups klein genug bleiben, um täglich durchgeführt zu werden. Das ist der Standard, nach dem die BackupsWP Umbrella ausgelegt sind, und der Standard, den Sie von jedem anderen System verlangen sollten, das Ihre Daten schützt.

Wie hoch sind die Kosten für die WordPress-Wartung?

WordPress-Wartungsmatrix

Die meisten Käufer landen in der Mitte eines vierstufigen Marktes: standardisierte Betreuungsangebote für 50 bis 150 Dollar pro Website und Monat. Die unten aufgeführten Preise entsprechen den branchenüblichen Sätzen aller Anbieter und nicht der Preisliste eines einzelnen Anbieters. Zu welcher Stufe eine Website gehört, hängt von ihrem Ertragspotenzial ab, nicht von ihrer Größe: Eine fünfseitige Website, die Aufträge im Wert von 2.000 Dollar einbringt, ist eine 100-Dollar-pro-Monat-Website, unabhängig von ihrer Seitenanzahl.

StufeTypische KostenWas Sie erhalten
Selbermachen≈200 $ pro Jahr für Plugins + 2–8 Stunden pro Monat Ihrer ZeitVolle Kontrolle; der Umfang hängt von Ihrem Fachgebiet ab
Kostengünstige automatisierte Dienste30–50 $ pro MonatAutomatisierte Updates und grundlegende Überwachung, kaum manuelle Überprüfung
Standardisierte Pflegepläne50–150 $ pro Website und MonatDer Schwerpunkt des Marktes: Updates, Backups, Überwachung, Berichte
Premium und entwicklerorientiert240–1.000+ Dollar pro MonatStaging, visuelle Regressionstests, Entwicklungsstunden inbegriffen

„Do-it-yourself“ erscheint erst dann kostenlos, wenn man seine Arbeitszeit mit einem Preis bewertet. Codeable schätzt den Zeitaufwand für routinemäßige Selbstwartung auf 2 bis 8 Stunden pro Monat, zuzüglich etwa 200 Dollar pro Jahr für Premium-Plugin-Lizenzen. Selbst bei Opportunitätskosten von nur 50 Dollar pro Stunde entspricht das einem Arbeitsaufwand von 100 bis 400 Dollar pro Monat für eine einzige Website. Die „kostenlose“ Option ist nur dann kostenlos, wenn Ihre Zeit nichts kostet. Und bei einem größeren Portfolio wird die Rechnung schnell brutal: Fünf DIY-Websites entsprechen einem Teilzeitjob.

Günstige Anbieter besetzen die Preisklasse von 30 bis 50 Dollar mit Automatisierung und geringen Gewinnspannen. Für Websites mit geringem Risiko ist das ein fairer Kompromiss, aber fragen Sie genau nach, was passiert, wenn ein Update eine Vorlage lahmlegt: Wer bemerkt das, wie schnell und wer behebt den Fehler? Bei diesem Preis lautet die ehrliche Antwort meist: irgendwann ein Skript – und letztendlich Sie selbst.

Der produktisierte Cluster zu Preisen zwischen 50 und 150 Dollar pro Standort und Monat entspricht dem Preisniveau, das die meisten Agenturen und spezialisierten Anbieter praktizieren.

Die Differenz zwischen 40 und 120 Dollar pro Monat macht in der Regel eine Person aus: jemand, der den Workflow für sichere Updates steuert, die Verantwortung für den Vorfall übernimmt und ans Telefon geht.

In der höchsten Preisstufe liegen die Wartungspakete von Codeable bei 240, 590 und über 1.000 Dollar pro Monat, wobei das 590-Dollar-Paket zusätzlich visuelle Regressionstests umfasst. Beachten Sie, was die Premium-Pakete tatsächlich bieten: Prozesse. Standardmäßige Staging-Umgebung, Screenshot-Vergleich bei jedem Update, ein Entwickler auf Abruf.

Der Stundensatz liegt für Freiberufler zwischen 50 und 150 Dollar, für Agenturen zwischen 100 und 250 Dollar. Zum Vergleich: Der durchschnittliche, in 229 veröffentlichten Profilen angegebene Stundensatz für WordPress-Entwickler beträgt 69 Dollar. Der Aufpreis gegenüber diesem Durchschnittswert kauft Verantwortlichkeit, nicht Arbeitsaufwand.

Vergleichen Sie jede Stufe mit der Alternative aus dem letzten Abschnitt: Eine Bereinigung im Wert von 300 bis 800 Dollar entspricht mehreren Monaten eines Wartungsplans der mittleren Stufe – noch bevor Ausfallzeiten und die Überprüfungswarteschlange ins Spiel kommen. Das ist auch die ehrliche Sichtweise auf einen „teuren“ Plan: Es geht nie um die Gebühr an sich, sondern um das Verhältnis der Gebühr zu dem Vorfall, den sie verhindert, und zu den Stunden, die dadurch eingespart werden. In unserer detaillierten Analyse der WordPress-Wartungskosten werden die Preise Stufe für Stufe aufgeführt.

Selber machen, beauftragen oder automatisieren? Wie man sich entscheidet

WordPress-Wartungsspielraum

Vier seriöse Optionen, bewertet nach ihren Kosten, ihren Anforderungen und dem tatsächlichen Leistungsumfang:

OptionMonatliche KostenDeine ZeitRisikoabsicherungPassend für
Selbermachen – von Hand≈17 $ für Plugin-Lizenzen2–8 StundenNur so gut wie deine Disziplin1–2 Seiten mit niedrigen Einsätzen
DIY- und VerwaltungsplattformEin paar Dollar pro WebsiteWeniger als eine StundeKontinuierliche Überwachung, sichere automatische Updates, geprüfte BackupsUnternehmer und Freiberufler mit zwei oder mehr Websites
Einen Anbieter beauftragen50–250 Dollar pro StandortNahe NullSo gut wie der Arbeitsablauf des AnbietersUmsatzkritische Standorte ohne internen Verantwortlichen
Nur Managed HostingIm Hosting enthaltenNullNur InfrastrukturschichtNiemand – als vollständige Antwort

DIY von Hand funktioniert unter zwei Voraussetzungen: Die Websites sind wirklich unbedeutend, und man investiert tatsächlich jeden Monat Zeit dafür, nicht nur im Januar. Das Konzept scheitert in dem Moment, in dem eine Website Einnahmen erzielt oder die Anzahl zwei überschreitet, da ausgelassene Monate erst dann sichtbar werden, wenn der Vorfall eintritt.

DIY in Kombination mit einer Verwaltungsplattform – das ist ein professioneller Arbeitsablauf ohne den Preis eines kommerziellen Produkts: kontinuierliche Überwachung, sichere Massenaktualisierungen und auf Wiederherstellbarkeit getestete Backups über ein einziges Dashboard, wobei Sie die Kontrolle behalten. Die Plattform übernimmt die Überwachung und die sich wiederholenden Aufgaben; Sie behalten die Entscheidungsgewalt, beispielsweise darüber, was wann aktualisiert werden soll und was eine bestimmte Website verkraften kann.

Wenn Sie eine Stunde im Monat erübrigen können, bietet Ihnen diese Option das beste Preis-Leistungs-Verhältnis in der Tabelle. Sehen Sie selbst, wie es funktioniert.

Die Beauftragung eines Anbieters ist dann sinnvoll, wenn die Website für den Umsatz entscheidend ist und intern niemand die Verantwortung dafür trägt. Entscheiden Sie sich anhand von vier Kriterien, nicht anhand von Broschüren; jedes dieser Kriterien ist ein Standard, der in den obigen Abschnitten definiert wurde:

  1. Wiederherstellungsgetestete Sicherungen mit Angabe des Datums der letzten erfolgreichen Testwiederherstellung
  2. Visuelle Regressionstests bei jedem Update
  3. Angegebene Reaktionszeiten
  4. Monatsberichte, die die Arbeit dokumentieren

Die Reaktionszeit ist wichtiger als die Liste der Funktionen. Fragen Sie nach, wer an einem Samstag um 21 Uhr erreichbar ist – und wie Sie überhaupt erfahren würden, dass ein Vorfall eingetreten ist. Informieren Sie sich darüber, was ein echter Betreuungsplan beinhaltet, bevor Sie Angebote vergleichen.

Gerade das Managed Hosting ist der Punkt, an dem viele ins Straucheln geraten. Abwehrmaßnahmen auf Hosting-Ebene wehren nur 12 % der Angriffe auf WordPress-Ebene ab; das Hosting ist die Grundlage, nicht die Wartung. Selbst Hosting-Anbieter wissen das: Hier wird gezeigt, wie ein Hosting-Anbieter die WordPress-Wartung als Betreuungsangebot auf Basis seiner eigenen Infrastruktur monetarisiert hat.

Es gibt noch einen fünften Punkt: Sie betreuen Websites für Kunden. Dann geht es nicht mehr um die Frage, ob Sie diese Betreuung übernehmen sollen, sondern darum, wie Sie sie rentabel gestalten können – und der Rest dieses Leitfadens richtet sich an Sie.

Wartungsleistungen in wiederkehrende Einnahmen umwandeln

Sollte Ihre Agentur Betreuungskonzepte anbieten? Die Rentabilitätsdaten sprechen eindeutig dafür. Die praktische Umsetzung kennen Sie bereits; im Folgenden finden Sie die betriebswirtschaftliche Analyse in Zahlen, damit Sie die vorhersehbarste Einnahmequelle Ihres Unternehmens ohne Bedenken mit einem angemessenen Preis versehen können.

Die Umfrage von „The Admin Bar“ aus dem Jahr 2026 unter 622 Web-Fachleuten ergab, dass 58,3 % der Agenturen ohne wiederkehrende Einnahmen selten oder nie Gewinne erzielen. Unter den Agenturen, bei denen die wiederkehrenden Einnahmen ein Viertel des Umsatzes ausmachen, sind weniger als 10 % unrentabel.

Derselbe Datensatz zeigt, dass Agenturen mit Retainer-Modellen mit 51,2 % durchweg profitabel sind, gegenüber 39,8 % bei stundenweiser Abrechnung. Betrachtet man die Ergebnisse im Zusammenhang, ergibt sich ein eindeutiges Muster: Wiederkehrende Umsätze sind das stärkste Indikator für Rentabilität im Datensatz – nicht die Größe der Agentur, nicht die Nische, nicht die Mitarbeiterzahl. Das Abrechnungsmodell bestimmt die Marge.

Wiederkehrende Einnahmen verändern nicht nur den Gesamtumsatz, sondern auch die Struktur des Unternehmens. Sie gleichen die Schwankungen zwischen Projekten aus, sichern die Lohnzahlungen, bis das nächste Projekt abgeschlossen ist, und wirken sich kumulativ aus: Jede Website, die Sie starten, wird zu einem Abonnenten – und nicht zu einem Abschied.

Der Markt ist ausgereift, aber falsch bewertet. Die Daten von WP Engine zeigen, dass 80 % der Webdesign-Profis bereits Wartungspakete anbieten, doch 44 % haben das Gefühl, dass sie zu wenig dafür verlangen. Die Chance liegt nicht darin, das Angebot neu zu erfinden, sondern darin, es richtig zu bepreisen und umzusetzen – genau das wird im nächsten Abschnitt quantifiziert.

Machen Sie gleich ein Produkt daraus: ein benannter Tarif, ein festgelegter Umfang, ein monatlicher Preis. Durch informelle Vereinbarungen nach dem Motto „Ich behalte das im Auge“ kommt es oft dazu, dass Agenturen die Arbeit nach dem ersten Notruf ohnehin unbezahlt erledigen.

Die Einhaltung des Projektumfangs schützt die Marge. Verkaufen Sie auf Monatsbasis, denn das schafft mehr Vertrauen als eine feste Bindung, und die Abwanderungsrate bei einem guten Betreuungsmodell ist ohnehin gering. Halten Sie SEO und E-Mail-Marketing aus dem Plan heraus – das sind separate Projekte und klassische Ursachen für Scope Creep.

Und verkaufen Sie niemals aus Angst heraus. Verkaufen Sie Betriebszeit, Sicherheit und monatliche Nachweise über die geleistete Arbeit; ein Betreuungskonzept, das als erweiterte Garantie gegen Katastrophen vermarktet wird, zieht Kunden an, die schon beim ersten ruhigen Monat abspringen.

Das ist keineswegs nur Theorie: Sehen Sie selbst, wie Rubber Duckers eine Einnahmequelle aus Wartungsleistungen in Höhe von 30.000 Dollar pro Jahr aufgebaut haben. Was den Verkaufsprozess selbst angeht, beginnen Sie mit sieben Techniken für den Verkauf von WordPress-Wartungsleistungen und den strategischen Argumenten für Wartungsverträge im Jahr 2026.

Die Gewinnformel für Pflegepläne: Was man berechnen sollte und was die Erbringung der Leistung kostet

Da keine Rangliste diese Berechnung aufzeigt, finden Sie sie hier in drei Teilen: Ihre Bereitstellungskosten, ein Beispiel und die tatsächlich auf dem Markt üblichen Preise.

Ihre Servicekosten, Zeile für Zeile

Der Arbeitsaufwand macht den Unterschied aus. Eine manuelle Aktualisierung dauert 15 bis 30 Minuten pro Website, und eine gepflegte Website erfordert ein bis zwei solche Sitzungen pro Monat. Rechnet man die Überprüfung der Backups, einen kurzen Blick auf die Überwachung und die Erstellung von Berichten hinzu, ergibt sich ein realistischer manuell zu bewältigender Arbeitsaufwand von 30 bis 60 Minuten pro Website und Monat.

Berechnen Sie diesen Zeitaufwand zu Ihrem Stundensatz: die Spannen von 50 bis 150 Dollar für Freiberufler und 100 bis 250 Dollar für Agenturen aus dem Abschnitt „Kosten“. Wenn Sie sich selbst niemals zu diesem Stundensatz in Rechnung stellen würden, ist die Marge, von der Sie glauben, dass Sie sie haben, rein fiktiv.

Dann kommt noch der Punkt hinzu, den die meisten vergessen: Zwischenfälle. Ein einziges fehlgeschlagenes Update oder eine fehlgeschlagene Wiederherstellung kostet Stunden, und auf Portfolioebene sind „seltene“ Ereignisse plötzlich gar nicht mehr so selten. Planen Sie ausdrücklich Mittel dafür ein, sonst werden sie sich von selbst durchsetzen.

Letzte Zeile: Tooling. Die Kosten für Verwaltungsplattformen reichen von einigen Euro bis zu über fünfzig Euro pro Website und Monat, je nach Anbieter und Zusatzfunktionen. WP Umbrella pauschal 1,99 € pro Website und Monat, wobei alle Funktionen enthalten sind. Die Tooling-Kosten sind von Bedeutung, da sie die einzigen Kosten sind, die nicht mit Ihrem Zeitaufwand skalieren. Wir erwähnen dies einmal und überlassen es dann der Mathematik, den Rest zu berechnen.

Ein Beispiel: 50 Standorte

Annahmen, die klar formuliert sind, damit Sie Ihre eigenen Zahlen einsetzen können:

  • Portfolio: 50 Websites, für die jeweils 100 $ pro Monat in Rechnung gestellt werden, was einem monatlichen Umsatz von 5.000 $ entspricht.
  • Manueller Aufwand: 45 Minuten pro Standort und Monat, was dem Mittelwert der oben genannten Sitzungszeiten entspricht, zuzüglich Sicherungsprüfungen und eines monatlichen Berichts.
  • Stundensatz: 75 $/Stunde, was im mittleren Bereich der Freiberufler liegt.

Vollständig manuell: 50 Standorte × 45 Minuten = 37,5 Stunden pro Monat. Bei 75 $ pro Stunde entspricht das Arbeitskosten in Höhe von 2.812 $. Gewinnspanne: (5.000 $ – 2.812 $) ÷ 5.000 $ = 44 % Bruttogewinn, sofern nichts schiefgeht.

Es kommt immer mal zu Problemen. Rechnet man zwei Update-Vorfälle pro Monat mit einer Wiederherstellungszeit von 2 bis 4 Stunden (sagen wir 6 Stunden, 450 Dollar) sowie vier Stunden für Ad-hoc-Anfragen von Kunden (300 Dollar) hinzu, sinkt die effektive Marge auf 25 bis 30 %. Ein wirklich schlechter Monat macht sie komplett zunichte.

Automatisieren Sie nun die Routine. Durch Massenaktualisierungen, die nach einem sicheren Workflow ablaufen, geplante, verifizierte Backups und automatisch generierte Berichte reduziert sich der Arbeitsaufwand auf die Bearbeitung von Ausnahmen. Nehmen wir eine bewusst konservative Schätzung von 15 Minuten pro Standort und Monat für die Überprüfung sowie ein Budget von 3 Stunden für Zwischenfälle an: 12,5 + 3 = 15,5 Stunden oder 1.163 US-Dollar an Arbeitskosten. Tooling: 50 Standorte × Pauschalpreis pro Standort ≈ 110 $.

Gesamtkosten ≈ 1.273 $ gegenüber denselben 5.000 $: eine Marge von etwa 75 %. Gleiche Standorte, gleiche Preisklasse. Der Unterschied von ~25 % auf ~75 % ist ausschließlich auf den Arbeitsaufwand zurückzuführen, der durch den Workflow eingespart wird. Führen Sie die Berechnung mit Ihren eigenen Eingabewerten durch – das Ergebnis bleibt unverändert.

Was der Markt verlangt

Die Preisdaten für Betreuungspläne in der Admin-Leiste, die aus mehr als 100 Agentur-Websites stammen, zeigen: Selbstständige legen ihre Preise selten unter 75 Dollar pro Monat fest, die Mehrheit liegt zwischen 100 und 150 Dollar, und Spitzenangebote erreichen etwa 250 Dollar. Betrachten Sie die Preisspanne von 100 bis 150 Dollar als Ausgangspunkt und nicht als Obergrenze: Die in der oben genannten Umfrage geäußerte Beschwerde über zu niedrige Preise stammt von Agenturen, deren Preise bereits innerhalb dieser Spanne liegen.

Der Preis richtet sich nach dem gelieferten Mehrwert: Verfügbarkeit, Sicherheit und ein monatlicher Bericht, der beides belegt. Ihre Dienstleistungskosten bilden die Untergrenze, niemals den Preis. Die 44 %, die das Gefühl haben, zu wenig zu verlangen, legen ihre Preise in der Regel anhand ihrer Kosten fest; die profitablen Unternehmen orientieren sich bei der Preisgestaltung am Risiko für den Kunden.

Beachten Sie, wo sich die Kurven schneiden. Bei dem marktüblichen Preis von 100 Dollar betragen die Kosten pro Standort im automatisierten Workflow etwa 25 Dollar (die im Beispiel genannten 1.273 Dollar verteilen sich auf 50 Standorte). Der Marktpreis beinhaltet bereits die Marge; der Workflow sorgt lediglich dafür, dass diese nicht durch Personalkosten aufgezehrt wird.

Rechnen Sie selbst für Ihr Portfolio nach: Starten Sie Ihre kostenlose Testphase und verbinden Sie Ihre Websites in wenigen Minuten. Keine Kreditkarte erforderlich.

So führen Sie WordPress-Wartungsarbeiten in großem Maßstab durch

Zunächst einmal zur Positionierung: WP Umbrella Ihren Kunden WP Umbrella Wartungsleistungen – das übernehmen die Agenturen. Wir erstellen die Infrastruktur, auf der sie diese Leistungen erbringen. Alles in diesem Abschnitt entspricht Ihrem Arbeitsablauf und wird unter Ihrer Marke bereitgestellt: Ihre Kundenbeziehungen, Ihre Preisgestaltung und Ihr Name auf den Berichten bleiben Ihre Sache, und die Infrastruktur bleibt für alle außer Ihnen unsichtbar.

Die oben beschriebenen Arbeitsabläufe funktionieren an fünf Standorten. Ab 30 Standorten versagen manuelle Abläufe. Bei 50 Standorten und wöchentlichen Aktualisierungssitzungen ergibt das 2.600 Sitzungen pro Jahr, und bei diesem Umfang sind seltene Ausfälle keine Seltenheit mehr, sondern werden zu einem monatlichen Fixpunkt. Die Art des Versagens ist zudem nie ein dramatischer Zusammenbruch, sondern eine schleichende Abweichung: Aktualisierungen werden verschoben, Berichte ausgelassen, ein Standort bleibt unbemerkt unüberwacht.

Vier Probleme prägen die Wartung in großem Maßstab: Durchsatz, Nachweis, Personal und Plattform. Für jedes dieser Probleme gibt es eine Lösung im Rahmen des Arbeitsablaufs.

Stapelverarbeitung mit standortspezifischer Sicherheit. Skalierbarkeit scheitert, wenn „Massen“ gleichbedeutend mit „blind“ ist. Das Massenmanagement von WP Umbrellawendet den „Safe-Update“-Workflow auf jede einzelne Website im Stapel an: Sicherung vor dem Update, visueller Vergleich, automatisches Rollback – und das für jede Website, selbst wenn zweihundert gleichzeitig aktualisiert werden. Planen Sie das Zeitfenster über Nacht ein und überprüfen Sie die Unterschiede bei einer Tasse Kaffee: Der Stapel wurde ausgeführt, die Screenshots liegen bereit, und die beiden Websites, bei denen ein Fehler aufgetreten ist, wurden automatisch zurückgesetzt.

Monatlicher Mehrwert. Gut durchgeführte Wartungsarbeiten sind unsichtbar – und unsichtbare Arbeit wird gestrichen. Automatisierte White-Label-Berichte verwandeln die monatlichen Updates, Backups, Verfügbarkeitszeiten und Fehlerbehebungen in für Kunden sichtbare Nachweise, einschließlich maßgeschneiderter Arbeiten. Ein White-Label-Bericht ist ein kundenorientierter Bericht, der unter dem Branding Ihrer Agentur und nicht unter dem der Plattform veröffentlicht wird. Ihre Kunden sehen Ihren Namen auf den Arbeiten, niemals unseren.

Das Herzstück eines Betreuungsplans ist der Bericht, nicht die geleistete Arbeit; Kunden verlängern das, was sie sehen können. Versehen Sie alles mit einem Datumsstempel: Der Bericht dient gleichzeitig als Nachweis, wenn ein Kunde fragt, wofür er im März bezahlt hat.

Team-Workflows ohne Lizenzgebühren pro Nutzer. Die in den Beispielen dargestellten Abläufe sollten auch bei Neueinstellungen erhalten bleiben. Dank festgelegter Rollen, Aktivitätsprotokollen und einer unbegrenzten Anzahl von Teammitgliedern entsteht durch das Hinzufügen eines Mitarbeiters keine zusätzliche Lizenzzeile, jede Aktion bleibt nachverfolgbar, und der Admin-Zugriff per Mausklick macht die Passwort-Tabelle überflüssig. Die Nachverfolgbarkeit ist in großem Maßstab aus demselben Grund wichtig wie Berichte: Sie verwandelt die Aussage „Jemand hat etwas aktualisiert“ in einen Betriebsnachweis.

Die Wahl der Plattform als Infrastrukturentscheidung. Ihre Pflegepläne werden Ihren aktuellen Host und Ihr aktuelles Team überdauern. Entscheiden Sie sich für Tools, die hostunabhängig sind, damit die Portabilität Ihr Trumpf bleibt; die aktiv weiterentwickelt werden, damit die Plattform mit WordPress selbst Schritt hält; und die pauschal abgerechnet werden, damit Ihre Gewinnspannen auch bei der Erweiterung um weitere Websites vorhersehbar bleiben.

Bei Pauschalpreisen geht es nicht um Billigkeit; ein Wartungsvertrag, dessen Preis auf der Marge pro Standort basiert, kann keine Werkzeugkosten auffangen, die sich von Quartal zu Quartal ändern.

Ein weiteres Auswahlkriterium: Mehrere ehemals marktbeherrschende Plattformen sind nach Übernahmen ins Stocken geraten. Betrachten Sie die Dynamik eines Anbieters als einen wichtigen Faktor und prüfen Sie das Änderungsprotokoll, bevor Sie Ihr Portfolio festlegen.

Taten statt Versprechen: Erfahren Sie, wie Seahawk durch die Konsolidierung seines Bereitstellungsworkflows den Wartungsaufwand pro Website senken konnte. Der Engpass lag nie in den Fachkenntnissen, sondern in den Minuten pro Website – multipliziert mit der Gesamtzahl der Websites. Auf derselben Infrastruktur werden über 60.000 Websites für mehr als 5.000 Agenturen betrieben.

Wenn Sie die Migration durchführen, fangen Sie dort an, wo es am meisten wehtut: Verlegen Sie zunächst Ihren aufwendigsten manuellen Arbeitsnachmittag (in der Regel den Tag der Aktualisierung) auf die neue Plattform, und lassen Sie dann die Datensicherung und das Berichtswesen folgen.

Starten Sie Ihre kostenlose Testphase: 14 Tage, alle Funktionen inklusive, keine Kreditkarte erforderlich. Verbinden Sie Ihre ersten Websites in wenigen Minuten und führen Sie die Wartungsarbeiten für den nächsten Monat von einem Ort aus durch.

Häufig gestellte Fragen zur WordPress-Wartung

Wie oft sollte die WordPress-Wartung durchgeführt werden?

Die WordPress-Wartung erfolgt in zwei Intervallen. Die Überwachung (Verfügbarkeit, Sicherheitslücken, Abschluss von Backups) muss kontinuierlich erfolgen, da laut dem Patchstack-Bericht aus dem Jahr 2026 die mittlere Zeitspanne zwischen der Bekanntgabe einer Sicherheitslücke und ihrer massenhaften Ausnutzung bei fünf Stunden liegt. Geplante Arbeiten umfassen eine wöchentliche Aktualisierungssitzung, eine monatliche Systemüberprüfung (Datenbank, defekte Links, Bericht) sowie einen vierteljährlichen Wiederherstellungstest. Bei einer rein monatlichen Routine sind Sie an etwa 29 von 30 Tagen ungeschützt.

Was umfasst die WordPress-Wartung?

Fünf Aufgabenbereiche:
1. Updates: Core, Plugins und Themes, die im Rahmen eines sicheren Workflows durchgeführt werden
2. Backups: extern, verschlüsselt, auf Wiederherstellbarkeit getestet
3. Sicherheit: kontinuierliche Überwachung und Behebung von Sicherheitslücken
4. Verfügbarkeit und Leistung: Verfügbarkeitsprüfungen und Core Web Vitals
5. Datenbank- und Inhaltspflege: Revisionen, Spam, defekte Links, SSL und Ablauf von Domains
Ein vollständiger Plan umfasst alle fünf Bereiche sowie einen monatlichen Bericht, der die durchgeführten Arbeiten aufzeigt.

Wie oft sollte ich eine Sicherungskopie meiner WordPress-Website erstellen?

Die Häufigkeit der Backups hängt von der Art Ihrer Website ab und davon, wie oft Sie deren Inhalt aktualisieren. Im Allgemeinen wird jedoch empfohlen, für die meisten Websites tägliche Backups durchzuführen. Wenn Ihre Website häufig aktualisiert wird oder stark frequentiert ist, sollten Sie Echtzeit- oder stündliche Backups in Betracht ziehen.

Kann ich die Wartung von WordPress selbst übernehmen?

Ja, unter bestimmten Voraussetzungen. Rechnen Sie mit 2 bis 8 Stunden pro Monat sowie etwa 200 Dollar pro Jahr für Plugin-Lizenzen ein, und seien Sie ehrlich, was die Regelmäßigkeit angeht: Ein ausgelassener Monat birgt ein verstecktes Risiko. DIY macht keinen Sinn mehr, sobald eine Website Einnahmen generiert, die Anzahl der Websites zwei oder drei übersteigt oder Ihr Stundenwert die Kosten für Automatisierung oder einen Dienstleister übersteigt.

Umfasst Managed Hosting auch die Wartung von WordPress?

Nein. Das Hosting sorgt für die Sicherheit des Servers, nicht der Anwendung: Schutzmaßnahmen auf Hosting-Ebene haben insgesamt 26 % der Angriffe auf Sicherheitslücken abgewehrt , auf WordPress-Ebene hingegen nur 12 %. Updates, auf Wiederherstellung getestete Backups, die Reaktion auf Sicherheitslücken und die Berichterstattung bleiben Ihre Aufgabe oder die Ihres Anbieters, unabhängig davon, was das Hosting-Paket verspricht. Betrachten Sie das Hosting als Grundlage für die Wartung, niemals als Ersatz dafür.

Wie viel sollte ich für einen WordPress-Wartungsvertrag verlangen?

Marktdaten zeigen, dass unabhängige Anbieter selten unter 75 Dollar pro Monat liegen, die meisten zwischen 100 und 150 Dollar verlangen und Spitzenangebote bei etwa 250 Dollar liegen. Der Preis richtet sich nach dem Nutzen (Verfügbarkeit, Sicherheit, monatlicher Nachweis) und nicht nach Ihren Kosten. Mit einem automatisierten Workflow sinken die Servicekosten so stark, dass der marktübliche Tarif eine Marge von über 70 % bietet.

Wo soll man anfangen?

Website-Betreiber: Automatisieren Sie noch heute die Überwachung und die Datensicherung, führen Sie den „Safe-Update“-Workflow wöchentlich durch und halten Sie den monatlichen „Hygiene-Pass“ ein. Die obige Tabelle mit den Intervallen stellt das gesamte System dar; beginnen Sie mit der Zeile „kontinuierlich“.

Käufer: Prüfen Sie jedes Angebot anhand der vier Kriterien (wiederherstellungsgeprüfte Backups, Updates zur visuellen Regression, festgelegte Reaktionszeiten, monatliche Berichte) und der oben genannten Marktpreise. Bezahlen Sie für Verantwortlichkeit, nicht für den günstigsten Einzelposten.

Verkäufer: Berechnen Sie den Preis anhand der Gewinnformel, verlangen Sie den Preis, den die Marktdaten rechtfertigen, und stützen Sie die Abwicklung auf eine Infrastruktur, die für Portfolios ausgelegt ist, statt auf Einzelaktionen.

Ganz gleich, zu welcher Lesergruppe Sie gehören – die Frist ist dieselbe: fünf Stunden zwischen Offenlegung und Ausnutzung. Die Lösung ist ein System, kein Ad-hoc-Maßnahme.

Kostenlos loslegen: 14-tägige kostenlose Testphase, alle Funktionen inklusive, keine Kreditkarte erforderlich.