WordPress Website Pflege und Wartung selber machen

Eine regelmäßige Wartung und Sicherung ist bei WordPress-Websites ein absolutes Muss, alleine schon um mit den Vorgaben der DSGVO konform zu sein und die Systeme, die mit Kundendaten in Berührung kommen vor dem Zugriff durch unbefugte Dritte zu schützen.

Wenn Du die regelmäßige Wartung Deiner Website selber übernehmen willst ist das natürlich kein Problem. Damit das gelingt, gebe ich Dir hier eine kleine Handlungsanweisung für die selbstständige Pflege Deiner Internetseite. Darin informiere ich Dich über die ständigen, täglichen, wöchentlichen und monatlichen Aufgaben, die regelmäßig abgearbeitet werden sollten, um Deine Investition in die Firmen-Website zu schützen.

Sicherheit

Wie jede andere Software kann auch Deine Website gegenüber Hackern oder Viren angreifbar sein. Diese nutzen Sicherheitslücken aus, um z.B. Werbung auf Deiner Seite anzuzeigen, die Besucher zu ihren eigenen Seiten umzuleiten oder sogar um dir konkreten Schaden zuzufügen indem Sie Deine Seite komplett löschen.

Es gibt viele Maßnahmen, die für eine umfangreiche Sicherheit ergriffen werden können, zu den wichtigsten zählen aber:

  • Gutes Hosting. Wähle einen guten Hoster, der Wert auf Sicherheit legt. Wenn der Hoster extrem günstig ist, ist das eher ein Alarmsignal.
  • Verwende ein Sicherheits/Firewall-Plugin (Suche im WordPress Repository) Ich verwende Ninja Firewall.
  • starke (wirklich starke) Passwörter, besonders für Admins, aber auch für alle anderen Benutzer.
  • wenn möglich 2-Faktor Authentifizierung, z.B. mit dem Google Authenticator und einem entsprechenden Plugin.
  • Unnötige oder deaktivierte Plugins und Themes solltest Du immer löschen, sie stellen ein vermeidbares Sicherheitsrisiko dar.

SSL-Zertifikat

Eine frische Website sollte auf jeden Fall schon ein SSL-Zertifikat haben. Je nach Hoster muss dieses Zertifikat aber nach meist einem Jahr manuell verlängert werden. Hier solltest Du Dir ggf. einen Termin im Kalender setzen um die Verlängerung rechtzeitig zu beantragen oder zu prüfen, ob die automatische Verlängerung funktioniert hat.

Ob Dein Zertifikat sicher und funktional  ist kannst Du z.B. auf der Website „Why no Padlock“ testen.

Tägliche Aufgaben

Im nächsten Schritt führe ich Aufgaben auf, die ggf. täglich gemacht werden sollten. Viele dieser Tasks können ganz oder teilweise automatisiert werden, sollten aber trotzdem regelmäßig im Auge behalten und auf erfolgreiche Durchführung geprüft werden.

Backups

Absolut unverzichtbar sind Backups. Ob es ein tägliches Backup geben muss oder ob ein wöchentlicher oder sogar monatlicher Zyklus ausreicht, hängt von der Art und Aktualisierungsrate der Website ab. Eine Seite auf der z.B. nur einmal im Monat ein Blog-Beitrag geschrieben wird kann mit 14-tägiger Sicherung auskommen. Ein Online-Shop z.B. wird ggf. sogar stündliche Backups erforderlich machen um wichtige Kunden- und Bestelldaten zu sichern.

Mit regelmäßigen Datensicherungen (die auch über einen Zeitraum von min. 6 Monaten, besser 1 Jahr aufbewahrt werden sollten) stellst Du sicher, dass Du Deine Seite jederzeit nach einem Hacker-Angriff, einem Virenbefall oder einem fehlgeschlagenen Plugin-Update ganz oder in Teilen wiederherstellen kannst. So vermeidest du verärgerte Kunden, längere Ausfallzeiten oder den Verlust Deiner Investition.

Auch die meisten Hoster erstellen regelmäßige Backups, diese sind aber nicht immer zuverlässig. Egal welche Backup-Methode man wählt, es sollte nie die Einzige sein. Auch sollten die Backup-Dateien an verschiedenen Speicherorten (online und offline) gelagert werden. Eine Lagerung auf dem Server auf dem auch die Website läuft ist (zumindest für sich alleine) nicht ratsam, da bei einem Zwischenfall so ggf.  auch die Sicherungen betroffen sind.

Bei Bedarf 24/7 Überwachung

In manchen Fällen kann ein Ausfall einer Website höhere finanzielle Verluste bedeuten (besonders bei Online-Shops). Aber keine Angst, Du musst nicht mit Steichhölzern unter den Augenlidern den ganzen Tag vor Deinem Computer sitzen und die Website beobachten, es gibt Dienstleister, die diese Aufgabe übernehmen und Dich im Falle einer Nichterreichbarkeit der Seite (Downtime) sofort informieren, so dass du zeitnah eingreifen kannst.

Einer der bekanntesten Dienste dieser Art ist „Uptime Robot„. Du kannst Dir dort ein kostenloses Konto anlegen, Deine Seite zur regelmäßigen Überprüfung eingeben, dann wird Deine Website alle 5 Minuten geprüft und Du per E-Mail informiert, falls die Website nicht erreichbar ist.

Wöchentliche Aufgaben

Plugin Updates

Da WordPress an sich relativ wenig Funktionen hat, sind auf Ihrer Website sehr wahrscheinlich Plugins installiert. Sie erweitern die WordPress-Website um Funktionen wie z.B. Kontaktformulare, Slider, Galerien etc.

Auch diese Plugins können angreifbar sein und sollten aus Sicherheitsgründen regelmäßig aktualisiert werden. Um zeitnah über BEKANNTE Sicherheitslücken in Plugins, Themes oder WordPress selbst informiert zu werden, empfehle ich Dir, Dich auf der Seite WPScan Vulnerability Database für den kostenlosen E-Mail-Alarm (roter Button) anzumelden. Dann erhältst Du bei Bekanntwerden einer Sicherheitslücke eine E-Mail, die eine schnelle Reaktion auf die Bedrohung ermöglicht.

Frühzeitig über Sicherheitslücken in Plugins und Themes informiert werden.

In der Regel ist die Aktualisierung von Plugins einfach und mit einem Klick auf „Update“ erledigt. Bevor Du ein Update machst, solltest Du neben einem funktionierenden, aktuellen Backup aber auch eine Idee davon haben, was das Plugin macht und welche Konflikte oder Probleme ein Update ggf. auslösen kann. Nach dem Update solltest Du die Seite mindestens einer visuellen Prüfung unterziehen, ggf. auch einer Funktionsprüfung.

WENN es beim Update zu Problemen kommt ist es Gold wert, wenn Du ein Backup hast. Du kannst dann in der Regel aus dem Backup die vorherige Version des problematischen Plugins wieder herstellen. Dann solltest Du mit dem Plugin-Autor Kontakt aufnehmen und ihm das Problem beschreiben, damit er Ihnen bei der Lösung helfen kann und Du nicht gezwungen bist, auf einer veralteten Version „stehen“ zu bleiben.

Theme Updates

Auch das Theme (also das Design) Deiner WordPress-Website ist ein Stück Code und sollte daher immer aktuell und vor Angriffen geschützt sein. Du solltest nach dem Update des Themes (auch hier: Backup nicht vergessen) eine visuelle Prüfung der Seite vornehmen um sicher zu stellen, dass sich durch die Aktualisierung nichts verändert hat. Weiterhin solltest Du unnötige und nicht verwendete Themes löschen.

Sicherheitsscans

Diese sollten ggf. von Deiner Sicherheitssoftware (Firewall) und evtl. Deinem Hoster abgedeckt sein, aber Du kannst ab und an selber einen Sicherheitscheck machen um ganz sicher zu gehen. Das geht z.B. hier bei Sucuri Malware Scanner. Dort gibst Du einfach die Adresse Deiner Website ein und erhältst einen umfassenden Sicherheitsscan.

Monatliche Aufgaben

Die monatlichen Aufgaben legen weniger Focus auf die Sicherheit als auf Performance und Optimierung der Website, ein wenig wie ein „Hausputz“.

Analyse

Wenn Du eine Art von Besucheranalyse verwenden (z.B. Google Analytics oder Matomo), kannst Du Dir die Analysen ansehen und im Auge behalten ob die Besucherzahlen sich verändert haben bzw. ob es Optimierungsbedarf im Bereich Suchmaschinenoptimierung (SEO) gibt. Auch eine Verbindung mit der Google Search Console macht Sinn. Hier kannst Du erkennen, wie oft (und zu welchen Suchbegriffen – Keywords) Deine Seite in den Suchergebnissen angezeigt wurde und wie oft die Besucher auf diese Ergebnisse geklickt und Deine Website besucht haben.

Google Search Console
Verhältnis Anzeige / Klicks in den Suchergebnissen

Datenbankwartung

Im Laufe der Zeit füllt sich auch die Datenbank, in der Ihr WordPress installiert ist mit überflüssigen Daten, die regelmäßig bereinigt werden sollten. Auch hier gibt es hilfreiche Plugins, die diese Aufgabe erleichtern. EIN Beispiel ist das Caching-Plugin „Breeze“ das auch noch weitere Funktionen zur Optimierung der Website bereitstellt. Oder schau‘ im WordPress-Repository nach der Rubrik „database“.

Breeze Db Optimierung
Performance- und Ladezeitoptimierung ist Teil der Suchmaschinenoptimierung.

Ladezeiten prüfen

Auch wenn die Website direkt nach der Fertigstellung schnelle Ladezeiten hat und alles gut ist, kann es nach einiger Zeit, einigen Updates oder der Installation von Plugins dazu kommen, dass sich die Ladezeiten wieder verschlechtern.

Besucher von Webseiten haben nur wenige Sekunden Geduld, bis die Seite geladen ist. Dauert es länger, springen sie oft ab und suchen sich andere, schnellere Informationsquellen. Geschwindigkeit ist also ein nicht zu ignorierender Faktor für den Erfolg Deiner Website.

Du kannst  z.B. mit dem Online-Tool „GTMetrix“ die Ladezeiten und Optimierungsmöglichkeiten Deiner Website testen. Google selbst bietet auch eine Analyse an. Diese findest Du hier: Page Speed Insights.

Leider würde es den Rahmen dieses Artikels sprengen, mögliche Maßnahmen zur Geschwindigkeitsoptimierung von Websites hier zu beschreiben. Das Ziel sollte eine Ladezeit von nicht viel länger als 3 Sekunden sein.

Es kann immer mal wieder vorkommen, dass eine Seite, zu der Du verlinkt hast ihre URL ändert oder nicht mehr online ist. Oder Du selber veränderst eine Seitenadresse innerhalb der eigenen Website und vergisst, die verweisenden Links anzupassen. Das kann Kunden bzw. Besucher unzufrieden machen, weil die gewünschten Informationen nicht schnell und direkt erreichbar sind. Außerdem hasst Google kaputte Links. Wenn Du auf Deiner Seite zu viele defekte Links hast, läufst Du Gefahr, in den Suchmaschinenergebnissen nach hinten zu fallen.

Mit einem Tool wie dem „Dead Link Checker“ kannst Du alle Links Ihrer Website analysieren und so schnell fehlerhafte Links korrigieren.

Aufgaben nach Bedarf

PHP Version prüfen und ggf. aktualisieren

PHP ist die Software, die auf dem Server installiert ist und dafür sorgt, dass Deine Seite dynamisch ist und mehr Funktionen hat, als eine einfache HTML-Seite. Bei PHP hat jede Version einen Lebenszyklus, in dem sie aktualisiert wird und in dem damit auch aktiv Sicherheitslücken geschlossen und Fehler behoben werden.

Ist dieser Zyklus abgelaufen, wird die PHP-Version potenziell unsicher, weil neue Sicherheitslücken in der „abgelaufenen“ Version nicht mehr repariert werden. Hier gibt es Infos zum Lebenszyklus der aktuellen PHP-Versionen.

Bei den meisten Hosting-Anbietern kann man die PHP-Version im Backend selber (meist einfach per Dropdown) ändern. Nach der Aktualisierung der PHP-Version muss die Website danach auf Fehler und Probleme überprüft werden. Wenn dort veraltete Plugins verwendet werden, kann das z.B. zu Kompatibilitätsproblemen führen.

Achtung FALLE, z.B. bei STRATO

Strato (ein Hoster, den ich definitiv nicht empfehle) hat eine schöne Methode entwickelt, Geld zu verdienen, die den Kundinnen und Kunden häufig gar nicht auffällt. Wenn man es bei Strato versäumt, die PHP-Version auf eine der aktuell gepflegten Versionen zu aktualisieren, werden monatliche Kosten für den sog. „Extended Support“ berechnet. Strato sorgt dann selber dafür, dass auch die eigentlich veralteten Versionen mit den aktuellen Sicherheitsfixes versehen werden und lässt sich diesen Aufwand mit 5,33€ / Monat pro Version (Stand August 2022) bezahlen. Eine fast immer unnötige Ausgabe, die bei vielen Kundenkonten, in die ich mich zum ersten Mal einlogge aktiv ist, weil niemand daran gedacht hat, die PHP-Version zu aktualisieren.

Software Lizenzen

Manche der auf Deiner Seite verwendeten Plugins (und evtl. auch das Theme) laufen möglicherweise mit einer bezahlten Premium-Lizenz um regelmäßig Support und Updates zu erhalten. Im Regelfall müssen diese Lizenzen einmal jährlich verlängert werden.

Ich empfehle Dir, Dir eine Tabelle mit den Premium-Lizenzen zu führen, in der die Daten für die jährliche Erneuerung und die Kosten aufgeführt sind, damit Du rechtzeitig agieren können und nicht von den anfallenden Kosten überrascht wirst.

Kundinnen und Kunden, die sich für meine WordPress Wartungsvereinbarung entschieden haben, müssen sich um die Kosten für Premium-Lizenzen keine Sorgen machen. Die von mir erworbenen Agentur-Lizenzen darf ich kostenfrei an meine Wartungskunden weitergeben.

WordPress Core Updates

Noch mehr Updates? JA, auch WordPress selbst muss regelmäßig aktualisiert werden. Häufig werden Sicherheitslücken gestopft, die Benutzerfreundlichkeit verbessert oder neue Funktionen integriert.

Auch hier solltest Du vor dem Update dringend ein Backup erstellen und nach dem Update die Website optisch und funktional testen.

Aktualisieren der Inhalte

Auch den Inhalten Deiner Internetseite solltest Du ab und an etwas Aufmerksamkeit widmen. Hat sich die Adresse geändert? Gibt es neue Mitarbeiter, eine neue Telefonnummer oder sogar ein neues Produkt, das auf der Website beschrieben werden sollte? Achte darauf, dass die Informationen auf Deiner Website aktuell sind und Du nicht durch veraltete Informationen Deine Besucher verärgerst.

Lebenslanges Lernen

Technologie, auch Web-Technologie verändert sich schnell. Sehr schnell! Wenn die Verantwortung für Deine Website nicht zur Bürde werden soll, empfehle ich Dir, Dich immer auf dem aktuellen Stand der Technik zu halten. Das kannst Du z.B. tun, indem Du Podcasts zum Thema hörst, in passenden Facebook-Gruppen Informationen und Hilfe suchst oder Blogs zum Thema liest.

Hilfreiche Ressourcen zum Thema WordPress:

WordPress Germany Gruppe bei Facebook
Offizielles WordPress Support Forum

Schlussgedanken

Wow! Du hast es bis zum Schluss durchgehalten. Der Artikel ist länger geworden als ich dachte und ich hoffe, Du hast Dich nicht gelangweilt und verstehst, wie wichtig es ist, dass bestimmte Aufgaben regelmäßig erledigt werden.

Du hast wahrscheinlich viel Geld in die Erstellung Deiner Website investiert und es wäre eine Schande, diese Investition zu verlieren weil die Wartung vernachlässigt wurde. Stell‘ Dir vor, Du kaufst ein neues Auto und füllst nie Öl oder Sprit nach. Wie lange würde diese Investition halten?

Wenn Du die Arbeiten an Deiner Website selber machen möchtest, wird das am Anfang ca. 4-5 Stunden im Monat dauern, mit der Zeit wirst Du aber schneller werden, Übung macht auch hier den Meister.

Wenn Du aber der Meinung bist, dass Du Deine Zeit besser nutzen könntest, sprich‘ mich gerne an. Mit meiner WordPress Wartungsvereinbarung erledige ich die nötigen Aufgaben für Dich und Du kannst Dich entspannt zurücklehnen oder die Zeit investieren um in Deinem Unternehmen die Dinge zu bewegen.