Die unterschätzte Aufgabe: Website-Pflege nach dem Launch
Viele Vereine investieren Energie in den Aufbau ihrer Website und vernachlässigen danach die laufende Pflege. Das ist verständlich — der Launch fühlt sich wie ein Abschluss an, nicht wie ein Anfang. In der Realität ist eine Website aber kein statisches Dokument, sondern ein lebendiges System, das regelmäßige Aufmerksamkeit braucht.
Die häufigsten Folgen vernachlässigter Wartung:
- Veraltete Software mit bekannten Sicherheitslücken (der häufigste Einfallstor für Angriffe)
- Broken Links auf veraltete Seiten oder externe Quellen
- Veraltete Inhalte, die Besucher und Mitglieder verwirren
- Volle Festplatten durch unkontrollierte Log-Dateien
- Fehlende Backups, die bei einem Crash alles zunichtemachen
Dieser Leitfaden zeigt, wie Sie Wartung strukturieren, Zuständigkeiten klären und den Aufwand auf ein realistisches Minimum reduzieren.
Zuständigkeiten klären: Der erste Schritt
Die größte Gefahr für die Website-Wartung im Ehrenamt ist nicht technisches Versagen — es ist Zuständigkeitslosigkeit. Wenn niemand explizit verantwortlich ist, passiert nichts.
Einen Website-Verantwortlichen benennen
Benennen Sie eine konkrete Person — idealerweise ein Vorstandsmitglied oder eine delegierte Funktion — als “Website-Verantwortliche/r”. Diese Person:
- Erhält alle Zugangsdaten (Hosting-Panel, CMS-Admin, Domain-Registrar)
- Ist die erste Ansprechperson bei Problemen
- Koordiniert inhaltliche Updates mit den Inhaltspflegern
Dokumentieren Sie die Zugangsdaten sicher — nicht in einer einzelnen E-Mail, sondern in einem Passwortmanager oder einem verschlüsselten Dokument, auf das mindestens zwei Personen Zugriff haben.
Vertretungsregelung
Im Ehrenamt wechseln Zuständigkeiten. Der Website-Verantwortliche geht, und niemand weiß, wo die Zugangsdaten sind — dieses Szenario ist leider häufig. Richten Sie eine Vertretungsregelung ein: Mindestens eine zweite Person kennt alle Zugangsdaten und kann im Notfall einspringen.
WordPress-Updates: Was wann wie
WordPress ist das meistgenutzte CMS für Vereinswebsites. Es besteht aus drei Updatekategorien, die jeweils unterschiedliche Aufmerksamkeit erfordern.
1. WordPress-Kern-Updates
WordPress veröffentlicht regelmäßig Updates: Minor-Updates (z. B. 6.7.1 → 6.7.2) für Sicherheits- und Bugfixes und Major-Updates (z. B. 6.7 → 6.8) für neue Funktionen.
Minor-Updates sollten automatisch eingespielt werden. Sie können in der wp-config.php oder im WordPress-Dashboard aktiviert werden. Das Risiko ist minimal.
Major-Updates erfordern etwas mehr Sorgfalt: Backup machen, dann updaten, dann prüfen, ob alles noch funktioniert. In der Regel verlaufen Major-Updates problemlos, aber gelegentlich gibt es Plugin-Kompatibilitätsprobleme.
2. Plugin-Updates
Plugins sind die häufigste Quelle von Sicherheitslücken in WordPress. Veraltete Plugins werden von Angreifern systematisch gescannt. Plugins sollten mindestens wöchentlich aktualisiert werden.
Empfehlungen:
- Aktivieren Sie automatische Plugin-Updates für Plugins, denen Sie vertrauen
- Halten Sie die Anzahl der Plugins so gering wie möglich — jedes Plugin ist ein potenzielles Risiko
- Deinstallieren Sie Plugins vollständig, die Sie nicht mehr nutzen (Deaktivierung allein reicht nicht)
3. Theme-Updates
Themes — insbesondere das aktive Theme — sollten ebenfalls regelmäßig aktualisiert werden. Child-Themes bleiben von Theme-Updates unberührt und ermöglichen Anpassungen ohne Verlust bei Updates.
Backups: Die Lebensversicherung Ihrer Website
Ein Backup ist die einzige Maßnahme, die im Worst-Case-Szenario (Hackerangriff, versehentliches Löschen, Serverausfall) alles retten kann. Kein Backup zu haben ist eine der gefährlichsten Unterlassungen in der Website-Pflege.
Was ein vollständiges Backup umfasst
Ein vollständiges WordPress-Backup besteht aus zwei Komponenten:
- Datenbankdump: Alle Inhalte — Posts, Seiten, Kommentare, Einstellungen — liegen in der MySQL-Datenbank
- Datei-Backup: WordPress-Kern, Themes, Plugins und hochgeladene Medien (der
uploads-Ordner)
Nur wer beides sichert, kann die Website vollständig wiederherstellen.
Backup-Strategie für Vereine
Automatisch, täglich, extern: Das Backup muss automatisch laufen, täglich erstellt werden und an einem externen Speicherort liegen — also nicht nur auf demselben Server, denn ein Server-Crash löscht beides. Gute Hosting-Anbieter bieten tägliche automatische Backups an. Prüfen Sie, wo diese Backups gespeichert werden (idealerweise nicht nur auf dem primären Webserver) und wie lange sie aufbewahrt werden (mindestens 7 Tage).
Zusätzliches lokales Backup vor größeren Updates: Bevor Sie ein Major-Update einspielen, erstellen Sie ein manuelles Backup und laden Sie es auf Ihren lokalen Computer. Plugins wie UpdraftPlus (kostenlose Grundversion) ermöglichen das direkt aus dem WordPress-Dashboard.
Restore testen: Das Backup ist wertlos, wenn die Wiederherstellung nicht funktioniert. Testen Sie den Restore-Prozess einmal jährlich in einer Staging-Umgebung.
Sicherheitsmaßnahmen für kleine Vereinswebsites
Starke Passwörter und Zwei-Faktor-Authentifizierung
Das Admin-Passwort für WordPress und für das Hosting-Panel muss ein starkes, einzigartiges Passwort sein. Nutzen Sie einen Passwortmanager wie Bitwarden (kostenlos, Open Source) oder KeePass, um Passwörter sicher zu verwalten.
Aktivieren Sie Zwei-Faktor-Authentifizierung (2FA) für den WordPress-Admin und, wenn möglich, für das Hosting-Panel. Plugins wie “Two Factor Authentication” oder “Google Authenticator” ermöglichen das unkompliziert.
Standard-Admin-Username ändern
WordPress-Installationen mit dem Benutzernamen “admin” sind einem erhöhten Angriffsrisiko ausgesetzt, da Brute-Force-Angriffe systematisch diesen Namen probieren. Ändern Sie den Admin-Benutzernamen zu etwas Einzigartigem.
Login-Versuche begrenzen
Das Plugin “Limit Login Attempts Reloaded” (kostenlos) blockiert IP-Adressen nach einer konfigurierbaren Anzahl fehlgeschlagener Login-Versuche. Das ist eine einfache und effektive Maßnahme gegen Brute-Force-Angriffe.
HTTPS erzwingen
Stellen Sie sicher, dass Ihre Website ausschließlich über HTTPS erreichbar ist und HTTP-Aufrufe automatisch auf HTTPS weitergeleitet werden. Das ist sowohl für die Sicherheit als auch für das Google-Ranking wichtig. Die Weiterleitung können Sie in der .htaccess-Datei oder im Hosting-Panel einrichten.
Datei-Editor deaktivieren
WordPress ermöglicht es, Theme- und Plugin-Dateien direkt im Browser zu bearbeiten. Das ist praktisch, aber ein Sicherheitsrisiko. Deaktivieren Sie diese Funktion in der wp-config.php:
define( 'DISALLOW_FILE_EDIT', true );Inhaltspflege: Was regelmäßig aktualisiert werden muss
Neben der technischen Wartung braucht eine gute Vereinswebsite auch regelmäßige inhaltliche Pflege.
Mindest-Checkliste für inhaltliche Aktualität
- Kontaktdaten: Telefonnummer, E-Mail-Adresse, Adresse — diese ändern sich und müssen sofort aktualisiert werden
- Vorstandsdaten: Nach einer Hauptversammlung muss der Vorstand auf der Website aktuell sein
- Veranstaltungen: Vergangene Termine regelmäßig entfernen oder archivieren
- Impressum: Änderungen in der Vereinsstruktur (neuer Vorstand, neue Anschrift) im Impressum nachziehen
- Datenschutzerklärung: Bei Änderungen der eingesetzten Tools oder Dienste aktualisieren
Tote Links (Broken Links) prüfen
Links auf externe Websites veralten. Das Plugin “Broken Link Checker” (kostenlos) scannt automatisch alle Links auf der Website und meldet tote Links per E-Mail. Deaktivieren Sie das Plugin nach dem ersten Scan-Durchlauf, da es bei Dauerbetrieb Serverressourcen belastet.
Wartungsplan: Ein realistischer Zeitaufwand
Für eine kleine Vereinswebsite (WordPress, 10–20 Seiten, ohne Shop) ist folgender Zeitaufwand realistisch:
| Aufgabe | Häufigkeit | Zeitaufwand |
|---|---|---|
| Plugin-Updates | wöchentlich | 10 Minuten |
| WordPress-Kern-Update (Minor) | bei Verfügbarkeit | 5 Minuten |
| WordPress-Kern-Update (Major) | bei Verfügbarkeit | 30 Minuten (inkl. Backup + Test) |
| Broken-Links-Scan | vierteljährlich | 30 Minuten |
| Backup-Test | jährlich | 60 Minuten |
| Vollständige inhaltliche Überprüfung | jährlich | 2–4 Stunden |
Das sind insgesamt weniger als 2 Stunden pro Monat — ein überschaubarer Aufwand, der aber regelmäßig geleistet werden muss.
Was bei einer geerbten Website zu tun ist
Wenn Sie die Verantwortung für eine Website übernehmen, die jemand anderes aufgebaut hat, beginnen Sie mit einer Bestandsaufnahme:
- Welche WordPress-Version ist installiert? (Dashboard → Updates)
- Welche Plugins sind installiert, welche davon sind aktiv? Veraltete oder inaktive Plugins deinstallieren.
- Wo läuft das Hosting? Zugangsdaten beschaffen.
- Gibt es funktionierende Backups? Wenn nicht, sofort einrichten.
- Wann wurde das letzte Update eingespielt? Bei sehr veralteten Installationen zuerst Backup, dann schrittweise updaten.
- Ist HTTPS aktiv? Wenn nicht, SSL-Zertifikat einrichten.
Weitere Informationen zur DSGVO-konformen Website-Grundausstattung für Vereine finden Sie in unserem einführenden Artikel.
Pro-Bono-Anfrage stellen: Wender Media übernimmt für gemeinnützige Organisationen auch die technische Ersteinrichtung und Härtung bestehender Websites. Jetzt bewerben.