CMS-Sicherheit: Updates & Backups richtig machen
Deine Website läuft seit Monaten stabil – also ist alles gut, oder? Nicht unbedingt. Genau in diesem Moment scannen automatisierte Bots das Netz nach veralteten CMS-Versionen, ungepatchten Plugins und schwachen Passwörtern. CMS-Sicherheit ist kein einmaliges Setup, sondern ein laufender Prozess – und wer ihn ignoriert, zahlt früher oder später einen hohen Preis.
Was passiert wenn du Updates ignorierst
Das beliebteste CMS weltweit ist WordPress. Über 40 Prozent aller Websites laufen damit – und genau deshalb ist es auch das meistangegriffene. Aktuelle Zahlen aus 2026 zeigen: Rund 90 Prozent aller gehackten WordPress-Seiten waren zum Zeitpunkt des Angriffs mit veralteten Plugins, Themes oder Core-Versionen bestückt.
Was bedeutet das konkret? Ein Plugin-Entwickler veröffentlicht ein Update, das eine Sicherheitslücke schließt. Gleichzeitig wird diese Lücke öffentlich dokumentiert – im sogenannten Changelog. Hacker lesen diese Changelogs genauso wie du. Innerhalb von Stunden starten automatisierte Angriffe auf alle Seiten, die noch die alte Version haben. Wenn du dein Plugin also nicht innerhalb weniger Tage aktualisierst, bist du ein einfaches Ziel.
Das klingt dramatisch, aber es ist Alltag. Ein Handwerksbetrieb aus Herford zum Beispiel: Website läuft seit Jahren, niemand schaut drauf. Dann eines Morgens ist die Startseite durch eine Phishing-Seite ersetzt. Besucher werden auf eine gefälschte Bank-Website umgeleitet. Google markiert die Domain als gefährlich. Das Vertrauen ist weg – oft dauerhaft.
Die Kosten für die Bereinigung, das Wiederherstellen und das Reputations-Management liegen schnell bei mehreren tausend Euro. Dazu kommen potenzielle DSGVO-Konsequenzen, wenn Kundendaten betroffen sind.
Was ein gutes Backup-Konzept wirklich bedeutet
Viele Unternehmer denken: "Ich hab einen Hoster, der macht das schon." Stimmt – manchmal. Aber "manchmal" ist kein Backup-Konzept.
Ein professionelles Backup-Konzept für eine Unternehmenswebsite besteht aus drei Ebenen:
1. Automatische tägliche Backups: Deine komplette Website – Datenbank und Dateien – wird einmal täglich gesichert. Automatisch, ohne dass du daran denken musst. Die meisten Hoster bieten das an, aber oft nur mit 7 oder 14 Tagen Aufbewahrungsdauer. Das reicht in vielen Fällen nicht.
2. Externe Speicherung: Das Backup darf nicht nur auf demselben Server liegen wie deine Website. Wenn der Server kompromittiert wird, sind beide weg. Backups gehören auf einen externen Speicherort – zum Beispiel in die Cloud oder auf einen separaten Server.
3. Regelmäßige Wiederherstellungs-Tests: Ein Backup das du nie getestet hast, ist kein Backup. Mindestens vierteljährlich solltest du prüfen, ob sich deine Seite aus dem Backup tatsächlich wiederherstellen lässt – und wie lange das dauert.
Für einen Online-Shop mit täglich eingehenden Bestellungen ist sogar ein stündliches Backup sinnvoll. Was ist ein Datenverlust von 24 Stunden wert, wenn an einem guten Tag 50 Bestellungen eingehen?
Die unterschätzten Risikofaktoren: Plugins, User-Rollen und Passwörter
Updates und Backups sind das Fundament – aber es gibt weitere Stellschrauben, die in der Praxis häufig vernachlässigt werden.
Zu viele Plugins: Jedes Plugin ist eine potenzielle Angriffsfläche. Viele WordPress-Seiten laufen mit 30, 40 oder mehr Plugins – von denen vielleicht die Hälfte aktiv genutzt wird. Deaktivierte aber installierte Plugins werden oft nicht geupdated und bleiben als Einfallstor bestehen. Faustegel: Nur installieren was du wirklich brauchst. Den Rest löschen.
Falsch gesetzte User-Rollen: Wenn drei externe Dienstleister, zwei ehemalige Mitarbeiter und der Neffe des Geschäftsführers alle Administrator-Zugang haben, ist das ein Problem. In der Praxis findet man auf Unternehmenswebsites regelmäßig Accounts von Personen, die seit Jahren nicht mehr für das Unternehmen tätig sind. Jeder unnötige Admin-Account ist ein offenes Fenster.
Schwache Passwörter und fehlendes 2FA: "WordPress2026!" ist kein sicheres Passwort. Brute-Force-Angriffe probieren tausende Kombinationen pro Minute. Zwei-Faktor-Authentifizierung für alle Admin-Accounts ist 2026 kein Nice-to-have mehr, sondern Pflicht.
SSL-Zertifikat und Sicherheits-Header: Deine Website sollte über HTTPS laufen – das ist mittlerweile Standard. Aber richtig konfigurierte HTTP-Sicherheits-Header (Content-Security-Policy, X-Frame-Options etc.) sind noch auf vielen Unternehmensseiten Fehlanzeige. Browser und Suchmaschinen bewerten das.
So geht Monitoring: Nicht erst reagieren wenn es brennt
Gute CMS-Sicherheit ist proaktiv. Das bedeutet: Du willst wissen was auf deiner Website passiert, bevor dir jemand anderes davon erzählt.
Praktische Monitoring-Maßnahmen für KMU:
-
Uptime-Monitoring: Tools wie UptimeRobot oder Uptime Kuma prüfen jede Minute ob deine Seite erreichbar ist und schicken dir eine Benachrichtigung wenn sie down geht. Kostenlos und in 10 Minuten eingerichtet.
-
Malware-Scanning: Dienste wie Sucuri oder Wordfence (für WordPress) scannen deine Seite regelmäßig auf Schadsoftware, veränderte Dateien und bekannte Angriffsmuster.
-
Update-Benachrichtigungen: Du solltest wissen wenn ein Update für dein CMS oder deine Plugins verfügbar ist – nicht erst wenn du zufällig einloggst.
-
Zugriffsprotokoll: Wer hat sich wann eingeloggt? Ungewöhnliche Login-Versuche aus Russland oder China sollten Alarm auslösen.
Das klingt aufwändig. Und ja, wenn du das alles selbst machen willst, kostet es Zeit. Aber vieles davon lässt sich automatisieren oder in einen Wartungsvertrag auslagern – dazu gleich mehr.
Wie createrr.studio deine Website dauerhaft absichert
Du hast eine Website, weißt aber nicht genau wann das letzte Update war? Oder du bist dir nicht sicher ob deine Backups wirklich funktionieren? Genau dafür gibt es den Hosting & Wartungs-Service von createrr.studio.
Ab 100 Euro pro Monat übernehme ich für dich:
- Regelmäßige CMS- und Plugin-Updates, getestet bevor sie live gehen
- Tägliche automatische Backups mit externer Speicherung
- Uptime-Monitoring und schnelle Reaktion bei Problemen
- Sicherheits-Scans und Bereinigung bei Bedarf
- Direkte Erreichbarkeit – du schreibst mir, nicht einem Support-Ticket-System
Kein Agentur-Overhead, kein Weiterleiten an Unterauftragnehmer. Du hast einen Ansprechpartner, der deine Website kennt und sich kümmert.
Wenn du ein neues CMS oder eine neue Website brauchst, starte ich Projekte ab 3.000 Euro mit vollständigem Sicherheits-Setup von Anfang an – inklusive Sicherheits-Header, 2FA, Backup-Konzept und Monitoring. Die Umsetzung dauert in der Regel 2-4 Wochen.
Gerade für Unternehmen in OWL – ob in Bielefeld, Herford, Hiddenhausen oder Umgebung – ist ein lokaler Ansprechpartner ein echter Vorteil. Kurze Wege, persönlicher Kontakt, keine anonyme Agentur.
Fazit: Sicherheit ist kein einmaliges Projekt
CMS-Sicherheit ist kein Thema das du einmal abarbeitest und dann abhakst. Updates erscheinen laufend, neue Sicherheitslücken werden entdeckt, dein Team wächst und verändert sich. Wer seine Website als kritisches Geschäftswerkzeug versteht – und das sollte sie sein – muss sie auch entsprechend behandeln.
Die gute Nachricht: Mit den richtigen Prozessen und dem richtigen Partner ist der Aufwand überschaubar. Was nicht überschaubar ist, sind die Kosten wenn eine gehackte Website deinen Ruf oder deine Kundendaten gefährdet.
Du willst CMS-Sicherheit, Updates und Backups für dein Unternehmen professionell umsetzen? Lass uns sprechen.
Du willst das umsetzen?
Lass uns über dein Projekt sprechen.