Montagmorgen, 8:15 Uhr. Statt Ihrer Startseite zeigt Google: „Diese Website enthält schädliche Software.” Eine ungepatchte Plugin-Schwachstelle – fünf Stunden nach ihrer Veröffentlichung ausgenutzt. So schnell geht das.1
Die Bereinigung kostet sechs Stunden Entwicklerarbeit: 540 Euro. Der Ranking-Einbruch, der folgt, dauert Monate.
WordPress Wartung Kosten variieren stark – je nach Modell von scheinbar null bis über 2.000 Euro im Jahr. In diesem Artikel rechne ich durch, was DIY, Agentur auf Abruf und Managed-Wartungsvertrag wirklich kosten. Mit konkreten Zahlen, damit Sie entscheiden können.
Inhalt
- Was WordPress-Wartung wirklich umfasst
- WordPress Wartung Kosten: DIY, Agentur und Wartungsvertrag im Vergleich
- Das Hack-Risiko: Was ein Sicherheitsvorfall kostet
- Wann ist DIY sinnvoll – und wann nicht?
- Marktpreise: Was Wartungsvertraege in Deutschland kosten
Was WordPress-Wartung wirklich umfasst
WordPress-Wartung ist mehr als ein monatlicher Klick auf „Alles aktualisieren”. Core-Updates, Plugin-Updates, Backups, Sicherheits-Scans, Uptime-Monitoring – eine vollständige Aufgabenliste finden Sie im Artikel Website-Wartung und Updates für Unternehmen. Hier geht es um die Frage, die dort offenbleibt: Was kostet das konkret – und welches Modell rechnet sich?
91 % aller WordPress-Schwachstellen stecken in Plugins, nicht im Core.1 Eine durchschnittliche WordPress-Site läuft mit 12–15 Plugins2 – bis zu 15 potenzielle Einfallstore. Das erklärt, warum WordPress-Wartung mehr Zeit kostet, als die meisten KMU einplanen:
| Aufgabe | Zeitaufwand pro Monat |
|---|---|
| Core-Update inkl. Kompatibilitätsprüfung | 15–30 Min. |
| Plugin-Updates (12–15 Plugins, Test auf Staging) | 30–60 Min. |
| Theme-Update & Abhängigkeiten | 10 Min. |
| Backup-Prüfung (Vollständigkeit, Wiederherstellbarkeit) | 20 Min. |
| Sicherheits-Scan (Malware, Logfile-Analyse) | 15 Min. |
| Uptime-Monitoring-Auswertung | 5–10 Min. |
| Summe | 95–145 Min./Monat |
Dazu kommen Aufgaben, die nicht monatlich anfallen, aber regelmäßig erledigt werden müssen:
| Aufgabe | Turnus | Zeitaufwand |
|---|---|---|
| Datenbankoptimierung (Revisions bereinigen, Overhead entfernen) | 2× pro Jahr | 20–30 Min. |
| Broken-Link-Audit | Quartalsweise | 20–30 Min. |
| Performance-Review (Core Web Vitals, Ladezeiten) | Halbjährlich | 45–60 Min. |
| SSL-Zertifikat & Ablaufdaten prüfen | Jährlich | 10 Min. |
Zusammen rund 3–5 Stunden Zusatzaufwand pro Jahr. Aufgaben, die in automatisierten Einstiegspaketen systembedingt wegfallen – und die sich erst bei einem Problem bemerkbar machen.
In unserer Arbeit mit KMU-Websites – etwa für den Handwerksbetrieb GEBOtherm – sehen wir regelmäßig, dass genau dieser Zeitaufwand unterschätzt wird. Wer Updates ohne Staging-Umgebung einspielt, spart 30 Minuten – und riskiert, dass ein inkompatibles Plugin die gesamte Site offline schickt. Der entscheidende Unterschied zwischen oberflächlicher und professioneller Wartung liegt beim Testen: Updates auf einer Staging-Umgebung zu prüfen, bevor sie live gehen, ist der einzige verlässliche Schutz vor update-bedingten Ausfällen.
Professionelle Wartung unterscheidet sich von DIY durch zwei Faktoren: Staging-Tests und Dokumentation. Jeder Update-Zyklus wird protokolliert – für KMU ohne eigene IT oft der einzige verlässliche Überblick über den technischen Zustand ihrer Website. Dazu kommt DSGVO-Haftung: Eine Datenpanne durch ungepatchte Software ist nach Art. 33 DSGVO meldepflichtig. Mehr dazu unter Website-Sicherheit: SSL, HTTPS und Datenschutz.
WordPress Wartung Kosten: DIY, Agentur und Wartungsvertrag im Vergleich
Die Wahl zwischen den drei Optionen ist keine Frage des Komforts. Es ist eine Rechnung.
DIY: Die Zeitkosten zählen mit
DIY scheint kostenlos. Ist es nicht. Wer monatlich 2 Stunden für Updates, Backup-Kontrolle und Sicherheits-Scan aufwendet und einen Stundenwert von 80 Euro hat, zahlt 160 Euro pro Monat – 1.920 Euro im Jahr. In Arbeitszeit, die anderswo fehlt.
Dazu kommt das Fehlerrisiko: Ein inkompatibles Plugin-Update, das die Site offline schickt, kostet weitere Stunden Fehlersuche. Wer nicht täglich mit WordPress arbeitet, unterschätzt diese Komplexität regelmäßig.
Ein weiterer versteckter Kostenfaktor: Werkzeuge. Professionelle WordPress-Wartung erfordert ein zuverlässiges Backup-Plugin (ManageWP oder UpdraftPlus Pro: 50–100 €/Jahr), ein Sicherheits-Plugin (Wordfence Premium: ca. 120 €/Jahr) und idealerweise eine Staging-Umgebung. Allein diese Lizenzen summieren sich auf 170–220 Euro pro Jahr – bevor eine einzige Arbeitsstunde eingerechnet ist.
Agentur auf Abruf: Flexibel, aber planlos teuer
Viele KMU beauftragen ihre Webagentur nach Bedarf – wenn etwas auffällt oder ein Problem entsteht. Bei 90 Euro Stundensatz und zwei Stunden monatlich sind das 180 Euro pro Monat, 2.160 Euro pro Jahr.
Das zweite Problem: Ohne festes Intervall entstehen Lücken. Drei Monate keine Updates, dann ein hastiger Sammel-Update – das schafft Kompatibilitätsprobleme. Und das Angriffsrisiko wächst mit jeder Woche ohne Patch.
Managed Wartungsvertrag: Planbar und deutlich günstiger
Ein WordPress-Wartungsvertrag ab 34 €/Monat3 deckt Update-Monitoring, Backup und Sicherheits-Scans kontinuierlich ab. Das Jahresbudget: 408 Euro.
Im Vergleich zur Agentur-on-Demand-Lösung spart das 1.752 Euro pro Jahr – und schließt das Lücken-Problem strukturell aus.
| Option | Pro Monat | Pro Jahr |
|---|---|---|
| DIY (80 €/h × 2 h) | 160 € | 1.920 € |
| Agentur auf Abruf (90 €/h × 2 h) | 180 € | 2.160 € |
| Managed Wartungsvertrag (Einstieg) | 34 € | 408 € |
| Managed Wartungsvertrag (Standard) | 57 € | 684 € |
Das Hack-Risiko: Was ein Sicherheitsvorfall kostet
2025 wurden 11.334 neue Schwachstellen in WordPress-Plugins entdeckt – ein Plus von 42 % gegenüber 2024. 46 % davon waren zum Zeitpunkt der Veröffentlichung noch ungepatcht. Die mediane Zeit bis zum ersten automatisierten Angriff nach Bekanntwerden: 5 Stunden.1
Die Mindestkosten eines Vorfalls: 6 Stunden Bereinigung × 90 € = 540 Euro – dazu Ranking-Verlust, DSGVO-Meldepflicht und Reputationsschaden. Ein einziger Vorfall übersteigt die Jahreskosten eines Managed-Wartungsvertrags um ein Vielfaches. Welche Folgeschäden im Detail entstehen, beschreibt der Artikel Website-Wartung und Updates für Unternehmen.
Wann ist DIY sinnvoll – und wann nicht?
Diese Frage stellen andere Artikel zu diesem Thema selten. Hier die ehrliche Einschätzung:
DIY ist sinnvoll, wenn:
- Sie Entwickler sind oder täglich mit WordPress arbeiten
- Ihre Site kein aktives Geschäftswerkzeug ist und keine sensiblen Daten verarbeitet
- Sie die Wartung konsequent monatlich erledigen – terminiert, dokumentiert
DIY ist nicht sinnvoll, wenn:
- Ihre Website Anfragen, Bestellungen oder Kundendaten verarbeitet
- Ihr Stundenwert über 30–40 Euro liegt – ab da rechnet sich ein Wartungsvertrag sofort
- Updates als lästige Pflicht regelmäßig aufgeschoben werden
Das letzte Kriterium ist das entscheidende. Die meisten KMU-Inhaber schieben Updates nicht aus fehlendem Wissen, sondern weil das Tagesgeschäft vorgeht. Mit jedem Monat Verzögerung wächst die Angriffsfläche.
Marktpreise: Was Wartungsvertraege in Deutschland kosten
Der Markt ist überschaubar, die Spanne aber erheblich:
| Anbieter | Einstieg | Standard | Premium |
|---|---|---|---|
| jomox-media.de | 9,90 €/Monat | – | – |
| WeCareWP | 34 €/Monat | 57 €/Monat | 104 €/Monat |
| bytebizz.com | 49 €/Monat | 79 €/Monat | ab 129 €/Monat |
Die Preisdifferenz spiegelt den Leistungsumfang. Was die drei Segmente konkret bedeuten:
Einstieg (unter 15 €/Monat): Automatisierte Updates ohne manuelle Kontrolle. Das Tool spielt Updates durch – aber niemand prüft, ob die Site danach korrekt funktioniert. Kein fester Ansprechpartner, keine garantierten Reaktionszeiten. Für eine einfache Visitenkarten-Website akzeptabel, für ein aktives Geschäftswerkzeug nicht ausreichend.
Standard (34–60 €/Monat): Hier beginnt verlässliche Wartung. Typischer Leistungsumfang: manuelle Kontrolle nach jedem Update-Zyklus, verifizierte Backups mit definierten Wiederherstellungszeiten, Reaktion auf sicherheitsrelevante Ereignisse, direkter Ansprechpartner. MichelyWeb bietet in diesem Segment Wartungspakete, bei denen Updates auf einer Staging-Umgebung getestet werden – der Schritt, den günstige Anbieter konsequent weglassen.
Premium (ab 80 €/Monat): SLA mit garantierter Reaktionszeit (4–8 Stunden), inklusive Bereinigung bei Sicherheitsvorfällen, Performanz-Monitoring und monatliche Berichte. Sinnvoll für Shops oder Sites mit hohem Umsatzanteil pro Stunde Ausfallzeit.
Für die meisten KMU ist das Standard-Segment das richtige Verhältnis aus Leistung und Kosten: ein professioneller WordPress-Wartungsservice, der Updates prüft statt nur durchführt, Backups verifiziert und bei Problemen eingreift.
Vier Fragen, die Sie jedem Anbieter stellen sollten:
- Staging-Umgebung: Werden Updates vor dem Live-Einspielen auf einer Testinstanz geprüft? Anbieter, die diese Frage ausweichen, arbeiten ohne Staging.
- Backup-Verifikation: Wird die Wiederherstellbarkeit regelmäßig getestet und dokumentiert – oder gilt ein eingerichtetes Backup als erledigt?
- Reaktionszeit: Gibt es eine konkrete SLA für Sicherheitsvorfälle oder nur eine vage Aussage wie „so schnell wie möglich”?
- Transparenz: Erhalten Sie nach jedem Update-Zyklus eine Meldung, was durchgeführt wurde – oder läuft der Service unsichtbar im Hintergrund?
Günstige Pakete unter 15 €/Monat können diese Anforderungen systembedingt nicht erfüllen. Automatisierte Workflows liefern keine menschliche Kontrolle – und genau die ist der Unterschied zwischen einem Wartungsvertrag und einem Update-Skript.
WordPress-Wartung ist keine Kostenstelle. Sie ist Versicherungsprämie, Zeitschutz und DSGVO-Compliance in einem. Wer die Rechnung konsequent aufmacht, wählt fast immer den Wartungsvertrag.
Wir bei MichelyWeb übernehmen Updates auf einer Staging-Umgebung, verifizieren Backups und reagieren bei Sicherheitsvorfällen – ohne dass Sie sich darum kümmern müssen. WordPress-Wartung mit MichelyWeb – transparent, planbar, ab 34 €/Monat. Oder sprechen Sie uns direkt an.
Fußnoten
-
Patchstack: State of WordPress Security in 2026 ↩ ↩2 ↩3
-
Colorlib: WordPress Statistics März 2026 ↩