WordPress-Plugin-Friedhof: Was passiert
Etwa die Hälfte meiner Erstgespräche beginnt so: „Wir haben eine WordPress-Site, irgendwer hat die mal aufgesetzt, seit drei Jahren hat sich keiner mehr darum gekümmert, jetzt geht etwas nicht und der Hoster sagt, da läuft Schadcode drauf." Das ist kein Einzelfall, das ist Wochenstandard.
WordPress ist nicht das Problem. Wartung ohne Plan ist das Problem.
Was so eine Site nach zwei Jahren ohne Pflege aussieht
Ich logge mich rein und sehe: WordPress-Core auf Version 6.2, aktuell wäre 6.8. Theme letztes Update 2022. 27 aktive Plugins, davon zwölf seit über einem Jahr nicht aktualisiert, drei nicht mehr im Plugin-Verzeichnis verfügbar, weil sie der Entwickler eingestellt hat. Dazu ein Backup-Plugin, das laut Log seit acht Monaten keinen erfolgreichen Lauf hatte.
In dem Zustand sind drei Dinge fast immer wahr: Im Hintergrund läuft Schadcode. Die Datenbank enthält fremde Admin-Konten. Die Suchmaschinen haben begonnen, die Site als unsicher zu markieren.
Warum das bei KMU so oft passiert
Die Site wurde von einer kleinen Agentur, einem freien Entwickler oder dem Sohn der Inhaberin gebaut. Ein günstiges Hosting-Paket, ein paar Plugins zusammengesteckt, fertig. Niemand hat klar gesagt: „WordPress muss monatlich gewartet werden, sonst ist es nach 18 Monaten ein Risiko." Wer den Satz im Erstgespräch nicht hört, plant ihn nicht ein.
Dazu kommt: Plugin-Updates können brechen. Wer einfach „alle aktualisieren" klickt, hat in drei von zehn Fällen danach eine Site, die nicht mehr richtig läuft. Deshalb braucht jede Aktualisierung ein Backup vorher und einen Funktions-Test nachher. Das ist Aufwand. Den hat ein freier Entwickler oft nicht eingeplant.
Was eine ordentliche WordPress-Wartung enthält
- Monatlicher Update-Zyklus. Core, Theme, Plugins. Mit Backup vorher, Funktions-Test nachher. Bei kritischen Sicherheits-Updates auch außer der Reihe.
- Backup-Strategie. Tägliche Backups, mindestens 14 Tage Aufbewahrung, mindestens ein Backup an einem Ort außerhalb des Hosters. Restore mindestens einmal pro Quartal real getestet, nicht nur theoretisch.
- Security-Monitoring. Failed-Login-Attempts werden geloggt und ab Schwellwert geblockt. WordPress-Login mit Zwei-Faktor. XML-RPC deaktiviert wenn nicht gebraucht.
- Verfügbarkeits-Check. Ein Dienst pingt die Site alle paar Minuten. Wenn sie down ist, kommt eine Mail oder SMS, nicht erst der Kundenanruf zwei Stunden später.
- Performance-Pflege. Cache, Bild-Optimierung, Datenbank-Bereinigung. Eine WordPress-Site, die nie geputzt wird, wird über Jahre messbar langsamer.
- Reporting. Einmal im Monat ein kurzer Bericht: was wurde aktualisiert, gab es Auffälligkeiten, was steht an.
Bei mir kostet das 80 bis 150 € im Monat als Pauschale, je nach Größe und Plugin-Anzahl. Bei sehr großen oder shop-lastigen Sites mehr. Festpreis monatlich, planbar, keine Stundenabrechnung.
Was die Alternative ist
Wenn die Site keine WordPress-spezifischen Funktionen braucht (kein Multi-User-Backend, kein Shop, kein Live-Forum), lohnt sich oft die Umstellung auf Hugo. Statisches HTML, kein PHP, keine Datenbank, kein Plugin-Friedhof. Wartung sinkt auf 50 bis 80 €, manchmal weniger. Sicherheitsrisiko geht auf praktisch null.
Mehr dazu im Beitrag Warum Hugo für KMU.
Was Sie jetzt tun können
Wenn Sie nicht sicher sind, wann Ihre WordPress-Site zuletzt aktualisiert wurde: rufen Sie an, 0699 1203 8521, oder schreiben Sie an office@projekt-entwicklung.at. Ich schaue mir die Site im Erstgespräch live an, 30 Minuten, kostet nichts. Sie wissen danach, ob das Risiko akut ist und was es kostet, es zu beseitigen.
Eine Nummer. Eine Person. Eine Rechnung.