ideaDIGITAL — Header v17 (Pilot)
Wartung und Pflege einer Webseite — Ratgeber — ideaDIGITAL (Pilot v4)
Ratgeber · Was eine Webseite wirklich braucht

Wartung und Pflege einer Webseite.
Warum „einmal gebaut, für immer fertig" ein Mythos ist.

„Wozu zahle ich denn dafür eigentlich?" — die wahrscheinlich häufigste Frage, die uns zur monatlichen Webseiten-Pflege gestellt wird. Dieser Ratgeber beantwortet sie ehrlich: Was bei einer Webseite ständig im Hintergrund passiert, welche Bedrohungen es real gibt, was technisch gewartet werden muss und was passiert, wenn man es jahrelang nicht tut. Plus die unbequeme Wahrheit, warum wir keine bestehenden Webseiten von anderen Anbietern übernehmen.

13. Mai 2026 25 Minuten Lesezeit ideaDIGITAL Redaktion

1. „Wozu zahle ich denn dafür?" — die ehrliche Antwort

Sie haben Recht, dass die Frage berechtigt ist. Eine Webseite ist nicht greifbar wie ein Auto oder eine Maschine — man sieht der Pflege nicht an, dass sie passiert. Im Gegenteil: Wenn alles gut läuft, merkt der Inhaber von der Wartung gar nichts. Genau das ist das Problem dieser Sichtbar­keit. Wenn dann eine Rechnung kommt, fühlt sich das schnell wie „bezahltes Nichts" an.

Die ehrliche Antwort ist: Eine Webseite ist kein Plakat. Ein Plakat hängt man auf, und es bleibt für die nächsten Jahre genau so. Eine Webseite ist deutlich näher an einem Auto: Sie steht zwar still in der Garage, aber sie hat einen Motor, ein Getriebe, Bremsen, Elektronik. Und wer das Auto nie wartet, nie zum TÜV bringt, nie Ölwechsel macht — der hat irgendwann ein Auto, das nicht mehr fährt oder gefährlich wird. Genau dasselbe gilt für Webseiten, nur dass die Bedrohung dort weniger sichtbar ist.

In den folgenden Abschnitten erklären wir konkret, was im Hintergrund einer Webseite passiert, was gepflegt werden muss, was automatisch läuft, was händisch gemacht wird — und warum das Ganze keine erfundene Beschäftigungs-Therapie ist, sondern eine reale, sehr ernstgemeinte Notwendigkeit.

Eine Webseite ist kein Plakat. Sie ist näher am Auto. Beide stehen ruhig in der Garage — aber beide brauchen Wartung, damit sie funktions­fähig und sicher bleiben. Bei der Webseite merkt man das Versäumnis nur leider erst, wenn der Schaden schon da ist. aus der Beratung

2. Was eine Webseite wirklich ist

Um zu verstehen, was gewartet werden muss, müssen wir kurz zerlegen, woraus eine moderne Webseite tatsächlich besteht. Es ist nicht eine Sache, sondern eine Kette aus mindestens sieben Schichten, die alle zusammen­arbeiten müssen — und alle einzeln gepflegt werden wollen.

Server-Hardware
Die physische Maschine in einem Rechen­zentrum (bei webgo: Hamburg). Stromversorgung, Netzwerk, Festplatten, Klimatisierung — alles muss laufen, und das auch um drei Uhr früh am Sonntag.
Betriebssystem
Meist Linux, das den Server steuert. Bekommt regelmäßig Sicherheits-Updates vom Hersteller — Hoster wie webgo spielen die für alle Server ein.
Webserver-Software
Programme wie Apache oder Nginx, die die eigentlichen Webseiten-Aufrufe ausliefern. Auch hier ständig neue Versionen mit Sicherheits-Verbesserungen.
PHP-Laufzeit-Umgebung
Die Programmier­sprache, in der die meisten Webseiten (auch alle WordPress-Seiten) ablaufen. Hat regelmäßige Versions-Updates — und ältere Versionen werden irgendwann nicht mehr unterstützt.
Datenbank
Meist MySQL oder MariaDB — speichert alle Inhalte: Texte, Einstellungen, Kunden­daten, Bestell­informationen. Auch hier kommen regel­mäßig neue Versionen mit Sicherheits-Patches.
CMS (z.B. WordPress)
Das Content-Management-System, mit dem Inhalte verwaltet werden. WordPress, Joomla, TYPO3. Wird etwa vier- bis sechsmal pro Jahr mit neuen Versionen aktualisiert.
Plugins und Themes
Die Erweiterungen, die die Webseite das tun lassen, was sie soll: Kontakt-Formular, Schutz, Such-Funktion, Cookie-Banner, Design. Eine typische WordPress-Seite hat 15 bis 30 Plugins — jedes davon braucht eigene Updates.
Inhalte und Konfiguration
Was Sie selbst eingegeben haben: Texte, Bilder, Einstellungen, Benutzer­konten. Auch das wird regel­mäßig angepasst — neue Bilder, geänderte Preise, aktuelle Öffnungs­zeiten.

Diese sieben Schichten sind nicht statisch. Jede einzelne wird von ihren Entwicklern weiter­entwickelt, bekommt neue Versionen, Sicherheits-Patches, manchmal komplett neue Funktionen. Wer das alles drei Jahre liegen lässt, hat im Grunde sieben veraltete Softwarestücke, die nicht mehr richtig zusammen­passen — und in denen sich vermutlich längst Sicherheits­lücken angesammelt haben, die andere Webseiten schon vor zwei Jahren geschlossen haben.

3. Die Bedrohungslage 2025/2026 in Zahlen

Wir sprechen oft mit Mittel­ständlern, die sagen: „Wer sollte denn ausgerechnet meine Webseite angreifen? Ich bin doch kein Konzern." Das ist ein fundamentales Miss­verständnis. Moderne Angriffe sind nicht persönlich. Sie sind voll­automatisiert. Bots durchforsten das Internet rund um die Uhr nach Webseiten mit bekannten Sicherheits­lücken — egal wer dahinter steht.

13.000
WordPress-Seiten pro Tag werden welt­weit gehackt — das sind 4,7 Mio. pro Jahr. Die Dunkel­ziffer liegt höher[1]
90.000
Angriffe pro Minute auf WordPress-Installationen welt­weit. Im Schnitt wird jede WordPress-Seite alle 22 Minuten angegriffen[1]
11.334
neue WordPress-Schwachstellen wurden allein 2025 ent­deckt — das sind 42 % mehr als im Vorjahr. 91 % davon betreffen Plugins[2]
5 Stunden
mediane Zeit bis zur Massen-Ausnutzung einer neu ent­deckten Sicherheits­lücke. So lange haben Sie, um zu reagieren — sonst sind die Bots schneller[2]

Was die häufigsten Angriffs-Arten sind

Die Bedrohungen, denen Ihre Webseite täglich ausgesetzt ist, lassen sich grob in vier Kategorien einteilen:

  • Brute-Force-Angriffe. Bots probieren tausende Passwörter durch — meist auf der Standard-Login-Seite (/wp-login.php). Wordfence hat allein 2024 über 50 Milliarden Login-Angriffe auf WordPress-Seiten ab­gewehrt[3]. Bei einfachen Passwörtern und Standard-Benutzer­namen wie „admin" ist es nur eine Frage von Stunden, nicht Tagen.
  • Plugin- und Theme-Lücken. Über 97 % der WordPress-Sicherheits­lücken liegen nicht im Kern-System, sondern in installierten Erweiterungen[4]. Wer ein veraltetes Plugin laufen lässt — auch ein deaktiviertes — hat im Grunde eine Tür offen, an der ständig gerüttelt wird.
  • Cross-Site-Scripting (XSS). Etwa 50 % aller gemeldeten Plugin-Lücken 2024/2025[5]. Angreifer schleusen Schad­code in Kommentar-Felder, Kontakt­formulare oder Such-Eingaben ein, der bei anderen Besuchern dann im Browser ausgeführt wird.
  • Datei-Uploads und SQL-Injection. Wo Webseiten Datei-Uploads erlauben (z.B. Kontakt­formulare mit Anhang) oder Such-Eingaben nicht sauber filtern, schleusen Angreifer Dateien ein, die später als Hinter­tür dienen.

Bots scannen rund um die Uhr Millionen Webseiten. Sobald sie eine bekannte Sicher­heits­lücke finden — und das geht heute in Sekunden — wird voll­automatisch zugegriffen. Es ist kein Mensch, der „Ihre Webseite" anschaut. Es ist ein Skript, das eine Liste von 2 Millionen Webseiten abarbeitet und prüft, welche davon eine bestimmte Schwach­stelle haben.

39,3 %
der erfolgreich gehackten WordPress-Seiten hatten zum Zeit­punkt des Vor­falls nach­weislich ver­altete Software installiert[6]. Das ist der engste Zusammen­hang, den die Forschung kennt — und genau deshalb sind Updates die wichtigste einzelne Wartungs-Maßnahme.

4. Was technisch ständig passieren muss

Damit eine Webseite sicher und funktions­fähig bleibt, müssen folgende Arbeiten regel­mäßig — meist monatlich, manchmal wöchentlich, im Krisen­fall auch täglich — durch­geführt werden. Es ist eine längere Liste, weil eben jede der sieben Schichten ihre eigene Pflege braucht.

  • Server-Betriebssystem aktualisieren — Sicherheits-Patches einspielen, neue Kernel-Versionen testen. Beim Hoster (z.B. webgo) zentral, aber muss eingespielt werden, ohne dass Webseiten ausfallen.
  • PHP-Versionen aktuell halten — alle 1-2 Jahre kommt eine neue Haupt­version, alte Versionen werden mit einem klaren Stichtag „End-of-Life" gesetzt und bekommen keine Sicherheits-Updates mehr.
  • CMS-Kern aktualisieren — bei WordPress alle 2-3 Monate eine kleinere Aktualisierung, etwa zweimal pro Jahr ein größeres Release.
  • Plugins aktualisieren — bei einer typischen WordPress-Seite mit 20 Plugins erscheinen 2 bis 5 Updates pro Woche. Manche routinemäßig, manche dringend (Sicherheits­lücke).
  • Themes aktualisieren — seltener als Plugins, aber bei den großen Theme-Anbietern alle paar Monate.
  • Datenbank-Wartung — alte Revisionen, Spam-Kommentare, ungenutzte Daten auf­räumen. Bei großen Webseiten kann die Datenbank schnell unhandlich werden.
  • Backups erstellen und testen — täglich neue Sicherungen, monatlich prüfen, ob die Sicherungen wirklich funktionieren. Ein Backup, das man nie testet, ist im Krisen­fall manchmal wertlos.
  • SSL-Zertifikate erneuern — sorgen für die HTTPS-Verbindung und das Schloss-Symbol im Browser. Müssen meist alle 3 Monate erneuert werden (heute meist automatisch über Let's Encrypt).
  • Sicherheits-Scans — regelmäßig prüfen, ob Schadcode in den Dateien aufgetaucht ist (z.B. durch eine kompromittierte Plugin-Lücke).
  • Login-Schutz — Brute-Force-Versuche überwachen, IP-Blocking aktualisieren, Login-Versuche begrenzen.
  • Performance-Optimierung — Caching prüfen, Bilder komprimieren, langsame Datenbank-Abfragen identifizieren. Schnelligkeit ist ein direkter Google-Ranking-Faktor.
  • Inhalte aktualisieren — Texte anpassen, neue Bilder einsetzen, Preise korrigieren, Öffnungs­zeiten aktualisieren. Das ist der Teil, den auch der Webseiten-Inhaber selbst sieht.
  • Rechtstexte aktualisieren — Impressum, Datenschutz­erklärung, AGB. Müssen bei jeder Gesetzes­änderung angepasst werden — dazu unten mehr.

Diese Arbeiten gliedern sich in zwei Klassen: was beim Hoster automatisch im Hinter­grund läuft, und was händisch oder teil­auto­matisiert durch die Webseiten-Betreuung gemacht werden muss. Beide Klassen schauen wir uns einzeln an.

5. Was webgo automatisch im Hintergrund absichert

Wenn wir Ihre Webseite bei webgo hosten — was bei uns der Standard ist — laufen im Hinter­grund eine Reihe von Sicher­heits- und Wartungs-Mechanismen, von denen Sie als Webseiten-Inhaber meist gar nichts mitbekommen. Genau das ist auch der Sinn: Sie müssen nicht alles selbst verstehen oder kontrollieren, weil das technisch durch­laufen muss, ohne dass jemand drauf schaut.

Was webgo als Hoster eigen­ständig macht:

  • Server-Hardware-Pflege — physische Wartung, Ausfall-Schutz mit Backup-Servern, Lastausgleich, Stromversorgung. Wenn ein Server stirbt, muss die Webseite trotzdem laufen.
  • Linux-Sicherheits-Patches — werden regel­mäßig (oft mehrfach pro Woche) eingespielt, ohne dass Webseiten dabei aus­fallen.
  • Web Application Firewall (WAF) — auf Server-Ebene, filtert bekannte Angriffs-Muster heraus, bevor sie überhaupt bei Ihrer Webseite ankommen.
  • DDoS-Schutz — Abwehr von Massenangriffen, bei denen tausende Bots gleichzeitig Ihre Webseite überlasten wollen.
  • Mail-Server-Schutz — Spam-Filter, Virenfilter, SPF/DKIM/DMARC-Verifizierung. Mehr dazu in unserem E-Mail-Sicherheits-Ratgeber.
  • Tägliche Server-Backups — webgo erstellt eigen­ständig tägliche Sicherungen aller gehosteten Webseiten und hält sie 14 Tage vor.
  • Monitoring — Server-Auslastung, Speicher­platz, ungewöhnliche Aktivitäten werden 24/7 überwacht. Bei Anomalien schaltet sich der webgo-Support ein.
  • SSL-Zertifikate über Let's Encrypt — automatisch erneuert, niemand muss sich kümmern.
  • PHP-Versions-Management — webgo bietet aktuelle PHP-Versionen an und informiert recht­zeitig, wenn alte Versionen End-of-Life gehen.

Diese ganze Schicht ist im Hosting-Vertrag enthalten und Teil dessen, was Sie an webgo zahlen. Was webgo aber nicht macht — und auch nicht machen kann — ist die Pflege Ihrer konkreten Webseite, Ihrer Plugins, Ihrer Inhalte, Ihrer Rechtstexte. Das ist Aufgabe der Webseiten-Betreuung — also unsere.

webgo schützt den Server, auf dem Ihre Webseite läuft. Wir schützen die Webseite, die auf diesem Server läuft. Beides zusammen ergibt eine vollständige Absicherung. Eines ohne das andere lässt Lücken offen. aus der Beratung

6. Was händisch oder teilautomatisiert passieren muss

Hier liegt die eigentliche Webseiten-Wartung — und der Großteil dessen, wofür Sie uns monatlich bezahlen. Manches davon ist auto­matisierbar, vieles muss von menschlicher Hand begleitet werden, weil die Auto­matik gelegentlich Fehler macht.

Wöchentliche Routine

  • Plugin- und Theme-Updates prüfen — welche stehen an, welche sind Sicherheits-relevant, welche brauchen Test
  • Sicherheits-Logs durchsehen — auffällige Login-Versuche, blockierte IP-Adressen, ungewöhnliche Datei-Änderungen
  • Backup-Integrität prüfen — sind die letzten Backups da, lesbar, vollständig
  • Spam-Kommentare auf­räumen — wenn Kommentar-Funktion aktiv

Monatliche Pflege

  • Vollständiges Plugin-Update — nach Test in einer Staging-Umgebung, falls kritische Plugins betroffen
  • WordPress-Kern-Updates — wenn neue Hauptversion verfügbar
  • Datenbank-Optimierung — alte Revisionen, Trans­ient-Daten, ungenutzte Tabellen auf­räumen
  • Performance-Check — Page-Speed-Werte prüfen, Engpässe identifizieren
  • Broken-Links-Scan — kaputte interne und externe Links finden und reparieren
  • Inhalts-Aktualisierung — neue Bilder, geänderte Öffnungs­zeiten, aktualisierte Preise, neue Beiträge

Quartalsweise und anlass-bezogen

  • Rechtstexte prüfen — Datenschutz­erklärung, Impressum, AGB, Cookie-Banner. Bei Gesetzes­änderungen sofort anpassen
  • Theme- oder Builder-Updates — meist größere Eingriffe, brauchen mehr Test
  • Backup-Wiederherstellung testen — die wahrscheinlich wichtigste Übung, die niemand gerne macht
  • SEO-Stand prüfen — Google Search Console auf Fehler durch­sehen, Ranking-Verluste analysieren
  • PHP-Version­sprung testen und einspielen, wenn eine alte Version End-of-Life geht

Im Notfall — also wenn etwas schief geht

  • Schad­code-Bereinigung nach einem Hack: alle Dateien prüfen, Schad-Skripte entfernen, Hinter­türen finden
  • Backup-Wieder­herstellung aus einem Zeitpunkt vor dem Vorfall
  • Sicher­heits-Härtung: Passwörter ändern, 2FA aktivieren, neue Plugins evaluieren
  • Google-Wieder­einreichung: wenn Google die Webseite wegen Malware mit Warnung markiert hat
  • Forensik: Wie kam der Angreifer rein? Was hat er gemacht? Was muss zusätzlich geschützt werden?

Diese Notfall-Arbeiten sind das, was teuer wird, wenn Wartung versäumt wurde. Eine professionelle Hack-Bereinigung mit anschließender Härtung liegt schnell bei 1.500 bis 5.000 € — abhängig von der Schad­tiefe. Die monatliche Wartung verhindert genau diese Fälle.

7. Vergleich: Webseite vs. Handy- und PC-Updates

Wer das Konzept der Webseiten-Wartung verstehen will, hat den besten Vergleich vor der eigenen Nase: das Handy. Sie kennen es alle — auf Ihrem Smart­phone landet alle paar Wochen ein Update, das einge­spielt werden muss. Auf dem PC ähnlich. Bei vielen Apps sogar wöchentlich. Niemand fragt sich heute, ob sein iPhone ein Update braucht — es ist selbst­verständlich geworden.

Was Sie kennen

Handy- und PC-Updates

Betriebs­system und Apps werden ständig aktualisiert. Manchmal kleinere Versionen mit Sicherheits-Patches, manchmal größere mit neuen Funktionen. Wer nicht aktualisiert, läuft irgend­wann auf einer veralteten Version, die nicht mehr unterstützt wird. Apps funktionieren dann teilweise nicht mehr.

Was Sie übersehen

Webseiten-Updates

Funktioniert technisch identisch. WordPress-Kern, Plugins, Themes, PHP — alles wird ständig aktualisiert. Mit demselben Risiko bei Versäumnis: veraltete Versionen sind Einfallstor für Angreifer. Aber: kein Pop-up auf Ihrem Bild­schirm. Sie merken nichts.

Die Asymmetrie ist genau das Problem. Beim Handy sehen Sie, dass das Update aussteht — auf der Webseite sehen Sie es nicht. Aber das macht die Versäumnis nicht weniger gefährlich. Es macht sie nur weniger sichtbar.

Was das mit dem Wartungs-Vertrag zu tun hat

Beim Auto bezahlen Sie nicht für den Werk­statt-Besuch, sondern für das Wissen, dass das Auto morgen wieder fährt. Beim Handy bezahlen Sie nicht für jedes einzelne Update, sondern dafür, dass der Hersteller sich kümmert und Sie es nur akzeptieren müssen. Bei der Webseite bezahlen Sie nicht für jeden Plugin-Update-Klick, sondern dafür, dass jemand monatlich Hand anlegt — und dass die ganze Maschinerie weiter­läuft.

Genau das ist der Wert einer Wartungs­leistung: verlässliche Kontinuität in einem System, das sich permanent verändert. Wer das nicht macht oder machen lässt, hat keine „eingesparten Kosten" — er hat aufgeschobene Risiken.

8. Was passiert, wenn man jahrelang nichts tut?

Im Folgenden vier Szenarien, die in der Praxis tatsächlich so vorkommen — keine Theorie, sondern Fälle aus unserem Beratungs­alltag.

Szenario 1 · Nach 6 Monaten ohne Wartung

Die ersten Schwächen werden sichtbar

Die Webseite läuft noch, aber zwei Plugins sind veraltet. Eine Sicher­heits­lücke in einem davon ist seit drei Monaten öffentlich bekannt. Bots haben sie längst gefunden — meist klopfen 50 bis 200 verdächtige Anfragen pro Tag an. Noch ohne Schaden, aber die Stelle ist „markiert" und wird ge­testet. Manche Browser warnen unter Umständen bereits.

Szenario 2 · Nach 12 Monaten ohne Wartung

Der erste Vorfall

Mehrere Plugins sind nicht mehr kompatibel mit dem aktuellen PHP. Eines davon hat eine schwere Sicher­heits­lücke, die in einem Massen-Scan ent­deckt wurde. Die Webseite wird gehackt — meist nicht spektakulär, sondern still. Ein Angreifer richtet eine Hinter­tür ein, lädt unbemerkt versteckte Seiten hoch, die in Such­maschinen für Glücksspiel oder gefälschte Medikamente werben. Sie merken davon erst, wenn webgo das Konto wegen Spam-Verbreitung sperrt oder Google Sie als „möglicherweise gehackt" markiert. Dann ist es teuer und peinlich gleichzeitig.

Szenario 3 · Nach 2 Jahren ohne Wartung

Mehrere Probleme gleichzeitig

Die PHP-Version ist End-of-Life und wird vom Hoster auto­matisch hoch­gestuft. Mehrere Plugins, die mit der alten PHP-Version liefen, brechen zusammen — die Webseite zeigt eine weiße Seite oder Fehler­meldungen. Gleich­zeitig ist die Datenschutz­erklärung veraltet, das BFSG ist seit Juni 2025 in Kraft und die Webseite genügt nicht den neuen Anforderungen. Eine Wieder­herstellung erfordert mehrere Tage Arbeit. Manche Inhalte gehen verloren, weil die Backups älter als 30 Tage sind und der Hoster die ge­löscht hat.

Szenario 4 · Nach 3+ Jahren ohne Wartung

Wirtschaftlicher Total­verlust

Die Webseite ist nicht mehr zu retten — zu viele zusammen­hängende Probleme. WordPress läuft auf einer Version, die seit 18 Monaten keine Updates mehr bekommt. Hälfte der Plugins gibt es nicht mehr im Plugin-Verzeichnis. Das Theme wurde vom Hersteller eingestellt. Wir empfehlen in solchen Fällen ehrlich: besser komplett neu bauen. Eine Renovierung kommt teurer als ein Neubau — und ist trotzdem keine garantierte Lösung.

Fallbeispiel aus der Praxis

„Die Webseite läuft doch seit Jahren ohne Probleme"

Ein Hand­werks­betrieb aus dem Hamburger Umland ruft 2024 an. Die Webseite läuft seit 2018 ohne nennens­werte Wartung — und plötzlich ist sie weg. Genauer: webgo hat das Hosting-Konto gesperrt, weil von dem Server aus Spam-Mails verschickt wurden. Hintergrund: Ein gehacktes Plugin hatte vor sechs Monaten eine Hinter­tür geöffnet, ein Angreifer hatte den Server unbemerkt für Spam-Versand missbraucht.

Bereinigung dauerte fünf Tage. Kosten ca. 2.400 €. Während der Bereinigung war die Webseite offline — Kunden bekamen nur eine Fehler­meldung. Ein paar Anfragen sind in der Zeit zu Wett­bewerbern abgewandert. Hätte der Inhaber für 79 € pro Monat eine Wartung gehabt, wäre der Hack wahr­scheinlich nie passiert. Statt­dessen hat er drei Jahre lang 0 € „gespart" und einmal 2.400 € plus Image-Schaden gezahlt. Rechnung am Ende: Nicht-Wartung war teurer.

9. Recht ändert sich: Datenschutz, BFSG, Rechtstexte

Bislang haben wir nur über Technik gesprochen. Es gibt aber eine zweite, ebenso wichtige Wartungs-Ebene: die rechtliche. Webseiten müssen den geltenden Gesetzen ent­sprechen — und diese Gesetze ändern sich erstaunlich häufig. Wer seine Webseite nie anpasst, läuft Jahre­lang mit überholten Texten herum, die im Streit­fall nicht standhalten.

Was sich in den letzten Jahren konkret geändert hat

  • DSGVO (Mai 2018) — komplett neue Anforderungen an Datenschutz­erklärungen, Einwilligungen, Auftrags­verarbeitung. Praktisch jede deutsche Webseite musste angepasst werden.
  • Planet49-Urteil des EuGH (Oktober 2019) — vor­an­gekreuzte Häkchen in Cookie-Bannern sind unzulässig. Cookie-Banner mussten welt­weit angepasst werden.
  • TTDSG (Dezember 2021) — schärft die Cookie-Einwilligungs­pflicht. Cookie-Banner mussten erneut angepasst werden.
  • UWG-Änderung (Mai 2022) — § 3 Abs. 3 mit Anhang Nr. 23c — gekaufte Bewertungen werden explizit verboten.
  • Digital Services Act (DSA, 2024) — neue Pflichten für Online-Plattformen und Webseiten mit Nutzer-Inhalten.
  • TDDDG (Mai 2024) — Umbenennung des TTDSG. In allen Rechtstexten muss „TTDSG" durch „TDDDG" ersetzt werden.
  • EinwV / Einwilligungs­verwaltungs­verordnung (April 2025) — neue Regeln für Personal Information Management Services.
  • BFSG / Barriere­freiheits­stärkungs­gesetz (Juni 2025) — neue Pflicht zur Barriere­freiheit für viele Webseiten. Mehr dazu in unserem BFSG-Artikel.

Das sind acht relevante Rechts-Änderungen in sieben Jahren. Jede einzelne erfordert eine Anpassung der Rechtstexte, manchmal auch der technischen Konfiguration. Wer 2018 eine Datenschutz­erklärung schreiben ließ und sie nie wieder angefasst hat, hat heute praktisch garantiert einen veralteten Text — mit Verweis auf das alte TTDSG, ohne BFSG-Hinweise, mit überholten Cookie-Banner-Standards.

Bei jeder dieser Änderungen tauchen kurze Zeit später Abmahn­wellen auf. Spezialisierte Anwälte oder Wettbewerber durchsuchen Webseiten systematisch nach veralteten Texten. Eine Abmahnung kostet typischerweise 1.500 bis 4.000 € — eine pauschale Pflege der Rechtstexte liegt deutlich darunter.

10. Google ändert sich: regelmäßige Algorithm-Updates

Die dritte Ebene, auf der Webseiten sich permanent anpassen müssen, ist Google. Google ist nicht statisch — der Such-Algorithmus wird ständig weiter­entwickelt. Allein die offiziell ange­kündigten „Core Updates" gibt es 3 bis 4 Mal pro Jahr[7]. Plus zahlreiche kleinere Anpassungen, die nicht ange­kündigt werden.

8 bis 12
benannte Algorithm-Updates rollt Google pro Jahr aus. Plus tausende un­benannte kleinere Anpassungen. Jede einzelne kann das Ranking Ihrer Webseite verändern — manchmal nur leicht, manchmal dramatisch[8].

Was sich speziell 2025/2026 geändert hat

  • Core Web Vitals als verfestigter Ranking-Faktor — Seiten mit Lade­zeit über 3 Sekunden verlieren in Updates messbar Traffic[7]
  • E-E-A-T-Verschärfung — Experience, Expertise, Authoritativeness, Trust­worthiness. Inhalte ohne klare Kompetenz­signale werden ab­gestuft
  • Helpful Content-Bewertung — Texte ohne menschliche Tiefe (typische KI-Massen­produktion ohne Bearbeitung) werden er­kannt und ab­gestuft
  • Originalitäts-Filter (März 2026) — Seiten, die nur bestehende Inhalte um­formulieren, ohne eigene Information bei­zutragen, ranken deutlich schlechter
  • Lokale Justifications — Google zeigt Such-Snippets aus Bewertungen direkt in den Such­ergebnissen. Mehr dazu in unserem Bewertungs-Ratgeber

Konkret heißt das: Eine Webseite, die 2020 gebaut wurde und seit­dem in­halt­lich unverändert ist, hat in den heutigen Suchergebnissen einen strukturellen Nachteil — egal wie gut sie damals war. Sie konkurriert mit Seiten, die seit­dem aktualisiert wurden, Core Web Vitals optimiert haben, ihre Inhalte aufgefrischt haben.

Wir reden hier nicht von SEO-Tricks oder Trends. Wir reden von einer laufenden Anpassung an einen sich verändernden Algorithmus. Wer die Anpassung nicht macht, fällt langsam zurück — meist erst kaum merklich, dann immer schneller.

11. Warum wir keine bestehenden Webseiten übernehmen

Jetzt zur unbequemen Wahrheit, die uns regel­mäßig gestellte Anfragen ein­trägt: Wir nehmen keine bestehenden Webseiten in unsere Wartung auf, die wir nicht selbst gebaut haben. Das ist keine Geschäfts­politik, sondern eine Berufs­ehrlichkeit. Hier die Gründe.

Grund 1: Wir wissen nicht, was wir übernehmen

Eine bestehende Webseite ist eine Black Box. Wir sehen das Front-End — die Seite, die Besucher zu Gesicht bekommen. Aber im Hinter­grund läuft potenziell vieles, was wir nicht kennen. Welche Plugins sind installiert? Sind die alle aktuell oder schon gehackt? Gibt es Hinter­türen vom Vor­gänger, die wir nicht ent­decken? Welche Daten­banken liegen daneben? Welche Software wurde nicht offiziell installiert? Liegt vielleicht schon ein Schad­code auf dem Server, der nur darauf wartet, ausgelöst zu werden?

Wir können das in einer Voll­analyse heraus­finden — aber das dauert Tage und kostet Geld, das niemand für etwas zahlt, was am Ende sein Vertrauen voraus­setzt.

Grund 2: Wir kennen die Server-Umgebung nicht

Webseiten, die bei anderen Hostern laufen — und das ist meist der Fall bei Übernahme­anfragen — bringen ihre eigene Server-Konfiguration mit. PHP-Version, Cache-Mechanismen, Datenbank-Setup, Backup-Strategie. All das müssen wir erst verstehen, bevor wir verantwortlich war­ten können. Manchmal sind die Konfigurationen so verschachtelt, dass wir Stunden brauchen, um über­haupt eine Standard-Maßnahme durch­zu­führen.

Bei Webseiten, die wir selbst auf webgo aufsetzen, kennen wir jeden Hand­griff. Wir wissen, wo welche Datei liegt, welche Plugins eingerichtet sind, welche Backups wo gespeichert werden. Das ist die Voraus­setzung für effiziente und verantwortungs­volle Wartung.

Grund 3: Verantwortung ohne Kontrolle

Das ist der ent­scheidende Punkt. Wenn wir die Wartung einer Webseite übernehmen, übernehmen wir damit auch die Verantwortung für deren Funktion und Sicherheit. Aber wir haben nicht die volle Kontrolle über Faktoren, die wir nicht selbst geschaffen haben. Wenn ein versteckter Schad­code aus den Zeiten vor unserer Übernahme aktiv wird, sind wir es, die ihn finden und beheben sollen — obwohl wir ihn nicht ver­ursacht haben. Das ist nicht fair für niemanden: nicht für Sie als Kunde, nicht für uns als Dienst­leister, nicht für die Vertrauens-Basis.

Grund 4: Grundlegende Fehler von Anfang an

Viele bestehende Webseiten haben Probleme, die nicht durch Wartung lösbar sind, weil sie schon in der Grund­konstruktion liegen: ein un­günstig gewähltes Theme, schlecht strukturierte Inhalte, ungeeignete Plugin-Kombinationen, fehlende Mobile-Optimierung. Solche Webseiten zu warten ist wie ein Auto mit verbogenem Rahmen monatlich zur Werk­statt zu fahren. Es fährt vielleicht — aber gerade ist es nie wieder. Wir wollen Sie nicht jahre­lang gegen solche grund­legenden Probleme an­wirtschaften — wir wollen Ihnen lieber gleich ehrlich sagen: Hier wäre ein Neubau die ehrlichere Lösung.

Unser Versprechen

Wenn wir eine Webseite war­ten, dann vollständig und mit Garantie. Wenn wir sie nicht selbst gebaut haben, können wir das nicht garantieren — und dann wollen wir es auch nicht versuchen. Das mag manchmal nach Geschäfts-Verzicht klingen — ist aber tatsächlich die Form von Ehrlichkeit, die unsere Kunden bei uns schätzen.

Was wir statt­dessen anbieten

Wer mit einer bestehenden Webseite zu uns kommt, bekommt eine ehrliche Beratung: Wir schauen uns die Seite an, sagen, was wir sehen, geben unsere Einschätzung. Dann gibt es drei Wege:

  • Wir empfehlen den Verbleib beim bisherigen Anbieter — wenn der seine Sache gut macht. Wir sind nicht hier, um Kunden ab­zu­werben, die woanders gut betreut sind.
  • Wir empfehlen einen kompletten Neu­bau bei uns — wenn die bestehende Seite grund­legende Schwächen hat. Das ist meist überraschend günstig, weil wir auf erprobten Vorlagen aufbauen.
  • Wir vermitteln einen anderen seriösen Dienst­leister, der auf Bestands-Webseiten spezialisiert ist — falls Sie unbedingt bei der vor­handenen Seite bleiben möchten.

Das mag nicht der typische Vertriebs-Pitch sein. Aber wir glauben, dass dieser Stil zu uns passt und langfristig auch besser für Kunden ist.

12. Was wir bei ideaDIGITAL für Sie tun

Wenn wir Ihre Webseite gebaut haben und für Sie betreuen, läuft die Wartung als Teil unseres Komplett­pakets — ohne dass Sie sich täglich darum kümmern müssen. Konkret:

  • Monatliche Wartungs-Routine — Plugin-Updates, WordPress-Kern-Updates, Sicher­heits-Logs, Backup-Prüfung
  • Quartalsweise Tiefen-Pflege — Datenbank-Optimierung, Performance-Audit, SEO-Check, Rechtstext-Aktualisierung wenn nötig
  • Notfall-Reaktion — bei kritischen Sicher­heits­lücken (mediane Reaktions­zeit 5 Stunden) sofortige Updates, ohne dass Sie es anstoßen müssen
  • Rechts­text-Pflege — wenn sich Gesetze ändern (TDDDG, BFSG, etc.), passen wir die betroffenen Texte automatisch an
  • Inhaltliche Anpassungen — bei Bedarf neue Texte, geänderte Preise, aktualisierte Bilder. Im monatlichen Volumen abgedeckt
  • Google-Anpassungen — nach jedem Core Update prüfen wir Ihre Sicht­barkeit und passen Inhalte an, wo es nötig ist
  • Backups in mehreren Stufen — webgo-Tagesbackups, plus unsere eigene unabhängige Sicherung
  • Hosting bei webgo (Hamburg) — deutscher Anbieter, DSGVO-konform, mit eigenem Spam- und Viren­schutz

Die monatliche Pauschale ist bewusst überschaubar — bei einer normalen Mittel­stands-Webseite zwischen 79 und 207 € pro Monat, je nach Umfang. Im Gegenzug haben Sie die Sicherheit, dass alles oben Beschriebene tatsächlich passiert — und nicht eine Webseite, die irgend­wo auf einem Server vor sich hin vergisst, bis sie eines Tages still abgeschaltet wird.

Wir machen die Wartung nicht aus Marketing-Gründen, sondern weil wir es als Teil unseres Berufs verstehen. Eine Webseite, die wir bauen, soll funktionieren — nicht nur am Tag der Übergabe, sondern auch in fünf Jahren noch. Das ist die ehrliche Antwort auf „Wozu zahle ich denn dafür?".

Häufige Fragen

Wir nutzen Wix oder Jimdo — brauchen wir trotzdem Wartung?
Bei reinen Baukasten-Systemen liegt die technische Wartung beim Anbieter — der kümmert sich um Server, Sicher­heit, Updates. Dafür ist auch die Pauschale dort höher. Aber: Inhalts-Pflege, Rechts­text-Aktualisierung, SEO-Anpassung an Google-Updates müssen Sie trotz­dem machen oder machen lassen. Diese Schicht ist bei keinem Anbieter inkludiert. Und je nach Anbieter haben Sie weniger Daten­schutz-Kontrolle, weniger Anpassungs­möglich­keiten, weniger Such­maschinen-Optimierung.
Können wir Updates nicht einfach selbst machen?
Theoretisch ja. Praktisch landet das in 90 % der Fälle so: Anfangs werden Updates ge­klickt, dann seltener, dann gar nicht mehr. Sobald ein Update eine Webseite kaputt­macht — was bei 1 von 20 Updates passiert — fehlt das technische Wissen für die Reparatur. Hinzu kommt die Frage von Backups, Sicher­heits-Konfiguration, Rechts­text-Aktualisierung, SEO-Anpassung. Das ist nicht „einen Knopf drücken", sondern eine Routine. Bei einem Auto würden Sie auch nicht selbst Ölwechsel und Brems­belag­wechsel machen, nur weil Sie selbst Auto fahren können.
Wie schnell muss ein Sicherheits-Update einge­spielt werden?
Bei kritischen Sicher­heits­lücken: möglichst innerhalb von 24 Stunden. Die mediane Zeit, bis eine veröffentlichte Sicher­heits­lücke massen­haft aus­gen­utzt wird, liegt 2026 bei nur fünf Stunden[2]. Das ist der Grund, warum wir eine Notfall-Reaktion haben — nicht nur einen monatlichen Wartungs-Termin.
Was, wenn meine Webseite gar nicht WordPress ist?
Die gleichen Prinzipien gelten für jedes CMS — Joomla, TYPO3, Drupal, Shopware oder andere Systeme haben alle ihre eigenen Update-Zyklen, Sicher­heits­lücken, Wartungs-Routinen. Bei statischen HTML-Seiten ohne CMS gibt es weniger Plugin-Pflege, aber dafür auch keine Möglich­keit zur einfachen Inhalts-Aktualisierung — und Sicher­heits-Patches für Server, PHP und SSL bleiben sowieso.
Was, wenn wir nur eine kleine Webseite haben, die kaum verwendet wird?
Genau die ist statistisch am häufigsten gehackt. Klein und wenig genutzt heißt für die Bot-Welt nur „weniger gepflegt" — also leichteres Ziel. Eine kaum verwendete Webseite zu pflegen ist nicht weniger wichtig als eine viel besuchte, aber meist deutlich günstiger, weil weniger Inhalts-Anpassungen anfallen.
Wir haben kaum Budget. Was ist das absolute Minimum?
Das absolute Minimum ist: ein vertrauens­würdiger Hoster (z.B. webgo) mit modernem PHP, ein einfaches CMS-System ohne viele Plugins, mindestens jährliche Rechts­text-Aktualisierung, mindestens monatliche Plugin-Updates und ein verlässliches Backup-System. Wer das macht, fährt zwar nicht erste Klasse — aber ist deutlich besser geschützt als der Durch­schnitt. Wir helfen auch bei kleineren Budgets gerne, eine sinnvolle Lösung zu finden.
Übernehmt ihr wirklich keine bestehenden Webseiten?
Korrekt — keine bestehenden Webseiten von anderen Anbietern zur reinen Wartung. Sehr wohl aber: Neubau-Aufträge, bei denen wir eine bestehende Webseite ersetzen oder modernisieren. Wenn Sie Ihre aktuelle Webseite nicht mehr mögen oder sie Probleme macht, sprechen Sie uns an — wir schauen ehrlich drauf und sagen, ob ein Neubau realistisch und sinnvoll ist.

Quellen und weiter­führende Informationen

Die Liste umfasst Patchstack (State of WordPress Security), Wordfence Threat Reports, Sucuri SiteCheck-Statistiken, Google Search Central, BSI-Lage­berichte, sowie die Original-Dokumentation von webgo. Stand der Recherche: 13. Mai 2026.

  1. Hostinger, WordPress Security Report 2026. 13.000 gehackte WordPress-Seiten täglich, 90.000 Angriffe pro Minute, alle 22 Minuten wird eine WordPress-Seite an­gegriffen. hostinger.com
  2. Patchstack, State of WordPress Security 2026. 11.334 neue WordPress-Schwachstellen 2025 (+42 % gegenüber 2024), 91 % davon in Plugins, mediane Zeit bis Massen-Ausnutzung: 5 Stunden. patchstack.com
  3. Wordfence, 2024 Annual WordPress Security Report. Über 48 Mrd. blockierte böswillige Anfragen, über 50 Mrd. ab­gewehrte Login-Angriffe im Berichts­jahr. Größter Daten­satz seiner Art in der WordPress-Welt. wordfence.com
  4. WP Munich, WordPress Sicherheit 2025. Verarbeitete Patchstack-Daten: rund 97 Prozent aller bekannten Sicherheits­lücken stammen aus Plugins und Themes, nicht aus dem WordPress-Kern selbst. wp-munich.de
  5. MOLOTOW Web Development, WordPress-Sicherheit 2025 — Angriffsvektoren. Etwa 50 % aller Plugin-Schwachstellen waren 2024/2025 Cross-Site-Scripting (XSS). Brute-Force-Angriffe als volumen­stärkstes Angriffs­szenario. molotow-web.com
  6. Sucuri SiteCheck Mid-Year 2024 Report. 39,3 % der gehackten WordPress-Seiten hatten zum Zeit­punkt des Vor­falls nach­weislich veraltete Software in­stalliert — die wichtigste statistische Korrelation in der Web­sicher­heits­forschung. blog.sucuri.net
  7. Google Search Central, Core Updates Documentation. Offizielle Google-Doku zu Core Updates: Sie passieren mehrfach pro Jahr und sind System­weite Re-Evaluierung der Inhalts­qualität. developers.google.com
  8. Connectica, Google Algorithm Update Tracker 2026. Live-Über­sicht aller Google-Updates seit 2021. Google rollt im Schnitt 8 bis 12 benannte Updates pro Jahr aus, plus tausende un­benannte kleinere Anpassungen. connecticallc.com
  9. BSI, Die Lage der IT-Sicherheit in Deutschland 2025 (Lagebericht). Jähr­licher Bericht zur Bedrohungs­lage. 80 % der gemeldeten Angriffe richten sich gegen KMU. Unique-IP-Index zeigt explosionsartige Zunahme von Bot-Netz-Aktivität. bsi.bund.de
  10. webgo, Sicherheits-Features im Webhosting. Übersicht der webgo-internen Schutz-Mechanismen: WAF, Mail-Server-Schutz, automatische Backups, SSL-Zertifikate über Let's Encrypt, Server-Monitoring. webgo.de
  11. Kinsta, WordPress Market Share Statistics. WordPress hat aktuell 43,4 % Markt­anteil bei allen Webseiten welt­weit. Das macht es zum häufigsten Angriffs-Ziel — relativ ist die Plattform aber nicht unsicherer als andere CMS. kinsta.com
  12. BSI & ProPK, Cybersicherheitsmonitor 2026. 11 % der deutschen Internet-Nutzer wurden 2025 Opfer von Cyber­kriminalität, 88 % der Betroffenen erlitten Schaden. bsi.bund.de
  13. PHP.net, Supported Versions. Offizielle Liste der unter­stützten PHP-Versionen mit End-of-Life-Zeitpunkten. Ältere Versionen wie PHP 7.2 und 7.3 erhalten seit 2020/2021 keine Sicher­heits-Updates mehr. php.net
  14. e-Recht24, Rechtsänderungen für Webseiten 2018-2026. Übersicht der für Webseiten-Betreiber relevanten Gesetzes­änderungen: DSGVO, TTDSG/TDDDG, EinwV, BFSG, DSA. e-recht24.de
  15. EuGH, Urteil vom 1. Oktober 2019 („Planet49"), C-673/17. Grund­legendes Urteil zur Einwilligungs­pflicht bei Cookies: Vor-angekreuzte Häkchen sind nicht zulässig. Führte zur welt­weiten Über­arbeitung aller Cookie-Banner. curia.europa.eu
  16. Search Engine Land, Google Algorithm Updates Library. Konsolidierte chronologische Sammlung aller Google-Updates: März 2025 Core, Juni/Juli 2025 Core, Dezember 2025 Core, Februar 2026 Discover Update, März 2026 Spam Update, März/April 2026 Core Update. searchengineland.com
Wartung & Pflege

Webseite gebaut, jetzt unsicher, ob sie wirklich gepflegt wird?

Wir schauen uns Ihre Situation an: Wer hostet, welches System läuft, was wird aktuell gemacht — und was nicht. Sie bekommen eine ehrliche Einschätzung und konkrete Empfehlungen. Ohne Verpflichtung. Falls eine Über­arbeitung sinnvoll wäre, sagen wir das genauso ehrlich wie wenn nicht.

Webseiten-Check anfragen Mehr Ratgeber: E-Mail-Sicherheit →