Wie Sie eine Agentur für Website-Pflege richtig auswählen

Eine Website ist kein Produkt, das man einmal kauft und dann wegstellt. Sie ist ein laufendes System, das Updates, Inhalte und Sicherheits-Patches braucht, oder sie verliert messbar an Sichtbarkeit, Geschwindigkeit und Vertrauen. Allein 2024 wurden im WordPress-Ökosystem rund 7.966 neue Schwachstellen gemeldet, 96 % davon in Plugins. Dieser Beitrag zeigt, was Website-Pflege konkret umfasst, wie oft sie nötig ist, welche Webdesign-Leistungen dazugehören und wie Sie die passende Agentur dafür auswählen.

Wer den Begriff "Website-Pflege" hört, denkt zuerst an Texte und Bilder. Tatsächlich ist die inhaltliche Arbeit nur die sichtbare Spitze einer ganzen Routine aus Sicherheits-Patches, Performance-Tuning, Datenschutz-Anpassungen und CMS-Updates. Wer diese Routine bündelt, vermeidet das größte Risiko der digitalen Präsenz: die schleichende Erosion, die niemand bemerkt, bis ein Vorfall sie sichtbar macht.

Was bedeutet Website-Pflege wirklich?

Website-Pflege beschreibt die laufende technische, inhaltliche und sicherheitsbezogene Betreuung einer Live-Site. Sie umfasst CMS- und Plugin-Updates, Backups, Performance-Checks, Content-Aktualisierungen und rechtliche Anpassungen, etwa an Cookie-Banner oder Datenschutzhinweise. Ohne diese Routine veraltet eine Website schneller, als die meisten Inhaber wahrnehmen.

Viele Unternehmen verwechseln Pflege mit gelegentlichem Texte-Tauschen. Tatsächlich gehören Logfile-Überwachung, Lighthouse-Audits, Schema-Reparaturen und SSL-Verlängerungen genauso dazu. Wenn ich eine Bestands-Website analysiere, finde ich fast immer drei wiederkehrende Lücken: keine automatischen Backups, abgelaufene Plugins, kein Monitoring der Core Web Vitals.

Hinzu kommen Aufgaben, die unsichtbar bleiben, solange nichts passiert. Dazu zählen Image-Refreshs des Hosting-Stacks, Aktualisierung der Node- oder PHP-Version, Pflege der DNS-Records und Erneuerung von API-Tokens für Drittanbieter wie Newsletter-Tools, CRM oder Zahlungsanbieter. Erst wenn diese Routinen fehlen, fällt der Schaden auf, meist mit deutlicher Verzögerung und entsprechend teurer Behebung.

Das hat Folgen. Für die meisten B2B-Mittelständler ist die eigene Website der erste belastbare Eindruck, den ein Interessent vom Unternehmen bekommt, noch vor jedem persönlichen Gespräch. Wird dieser Kanal unzuverlässig, verlieren Sie Vertrauen ausgerechnet dort, wo Sie es aufbauen wollten. Eine ungepflegte Seite signalisiert auch, dass das Unternehmen seine digitalen Prozesse generell nicht im Griff hat, ein Signal, das im B2B-Vertrieb selten verziehen wird.

Wie oft sollte eine Website gewartet werden?

Sicherheits-Updates gehören sofort installiert, alles andere folgt einem festen Rhythmus aus wöchentlichen, monatlichen und quartalsweisen Aufgaben. Mit rund 7.966 neuen WordPress-Schwachstellen im Jahr 2024 entstehen statistisch rund 22 neue Risiken pro Tag. Das macht klar, warum monatliche Wartungsfenster zu langsam sind.

Wöchentlich: Sicherheit und Monitoring

Wöchentlich sollten Plugin- und Core-Updates eingespielt, Backups verifiziert und Uptime-Reports geprüft werden. Bei WordPress, das laut W3Techs aktuell auf rund 41,9 % aller Websites im Einsatz ist, diktiert die Update-Frequenz der Plugin-Ökonomie dieses Tempo.

Monatlich: Performance und Inhalte

Monatlich folgen Performance-Tests, Broken-Link-Checks, SEO-Snapshots und kleinere Content-Refreshs. Hier zeigt sich oft, dass neue Bilder zu groß hochgeladen wurden oder ein Tracking-Skript den First Contentful Paint verzögert. Auch interne Verlinkung gehört in diesen Takt: Neue Beiträge wollen aus älteren verlinkt werden, sonst bleiben sie Inseln im Sitemap und ranken nie zuverlässig.

Quartalsweise: Strategie und Audit

Quartalsweise gehört eine Strategie-Sitzung dazu: Welche Seiten konvertieren, welche nicht? Welche Themen verlieren Rankings? Wo lohnt sich ein Inhaltsausbau? In Projekten mit B2B-KMU sehe ich, dass dieser Takt den Unterschied zwischen "Website läuft" und "Website wächst" ausmacht. Zusätzlich gehört in dieses Intervall ein technischer Tiefen-Audit mit Crawl-Diagnose, Indexabdeckung, strukturierter Daten-Prüfung und Bild-Lighthouse-Score über die wichtigsten Templates hinweg.

Jährlich: Architektur und Stack

Einmal pro Jahr lohnt ein Architektur-Review: Passt der Stack noch zum Geschäftsmodell? Sind neue CMS-Versionen sinnvoll? Sind Komponenten überfällig, die ausgetauscht werden sollten? Dieser Blick verhindert teure Großmigrationen, die immer dann anstehen, wenn Pflege zu lange aufgeschoben wurde. Bei dieser Gelegenheit sollte auch das Datenmodell geprüft werden, weil neue Inhaltsformate, Sprachen oder Integrationen sonst irgendwann nur noch mit Workarounds umgesetzt werden können.

Welche Risiken birgt vernachlässigte Wartung?

Vernachlässigte Wartung führt zu drei messbaren Schäden: Sicherheitsvorfällen, SEO-Verlust und Conversion-Einbußen. Das BSI registrierte im Lagebericht 2024 rund 309.000 neue Schadprogramm-Varianten pro Tag, und veraltete Websites sind eines der häufigsten Einfallstore.

Auf der finanziellen Seite ist die Größenordnung erheblich. Laut IBM-Report 2024 lag der weltweite Durchschnittsschaden eines Datenlecks bei 4,88 Mio. USD, rund 10 % über dem Vorjahr. Selbst für ein KMU sind sechsstellige Folgekosten realistisch, wenn Kundendaten kompromittiert werden.

Aus über sechzig Projekten bei Evelan kenne ich noch einen vierten Effekt, der seltener besprochen wird: den Vertrauensverlust durch sichtbare Schludrigkeit. Abgelaufene SSL-Warnungen, kaputte Bilder oder ein 404-Footer wirken stärker als jede schlechte Bewertung. Schon 50 Millisekunden reichen Nutzern für ein visuelles Qualitätsurteil, wie Lindgaard et al. bereits 2006 zeigten. Dieser erste Eindruck wird durch Pflege erhalten oder zerstört.

Versteckte Kostenkette

Hinter jedem Sicherheitsvorfall steht eine Kettenreaktion: forensische Analyse, rechtliche Beratung, Kommunikation mit betroffenen Kunden, Meldung an die Aufsichtsbehörde, technische Sanierung, oft auch ein verlorener Auftrag, der gerade in der Pipeline war. Selbst wenn keine Daten abfließen, kostet eine Woche Downtime im Vertrieb messbar Pipeline.

Schleichender SEO-Verlust

Anders als Sicherheitsvorfälle macht ein SEO-Verlust selten Lärm. Rankings rutschen über Wochen ab, Klicks bleiben aus, irgendwann fragt die Geschäftsführung, warum die Anfragen weniger werden. Die Ursache ist dann meist Monate alt: verzögerte Indexierung neuer Seiten, gestiegene Ladezeiten nach einem Theme-Update, defekte strukturierte Daten nach einem CMS-Patch. Pflege verhindert diese leisen Verluste, weil sie früh sichtbar werden.

Was zeichnet ein wartungsfreundliches CMS aus?

Ein wartungsfreundliches CMS reduziert die Pflege-Last drastisch, weil es Sicherheits-, Inhalts- und Strukturarbeit voneinander trennt. Headless-Systeme wie Sanity, Storyblok oder Strapi haben hier strukturelle Vorteile gegenüber klassischen WordPress-Stacks: kein Plugin-Wildwuchs, automatisierte Patches im Hosted-Backend, klare Schemata für Redakteur*innen.

Stabile Architektur statt fragiler Plugins

Headless-CMS liefern Inhalte über eine stabile API an das Frontend. Damit entfällt die Plugin-Abhängigkeit, die laut Patchstack 96 % der WordPress-Schwachstellen verursacht. Updates des CMS-Backends laufen meist managed beim Anbieter, nicht in Ihrer Verantwortung. Dazu kommt ein modulares Designsystem mit Blöcken statt Themes: Sie tauschen Komponenten aus, ohne Templates zu brechen, und sparen bei jedem Relaunch fünfstellige Beträge, weil Inhalte und Design getrennt evolvieren.

Redaktion ohne Drama

Eine intuitive Oberfläche entscheidet, ob Pflege tatsächlich stattfindet. Felder, Validierung, Rollen und Vorschau müssen so klar sein, dass Redaktion ohne IT-Ticket gelingt. Daran scheitern WordPress-Installationen mit zehn aktivierten Buildern in der Praxis. Ein wartungsfreundliches CMS unterscheidet außerdem sauber zwischen Redaktion, Lektorat, Freigabe und Veröffentlichung. Jede Rolle sieht nur, was sie braucht, und kann nichts versehentlich kaputtmachen. In der Praxis verhindert das genau die Vorfälle, die später als Pflege-Drama erzählt werden: gelöschte Seiten, überschriebene Templates, Sprach-Mismatches in mehrsprachigen Setups.

Wie wählen Sie die richtige Agentur für Website-Pflege?

Die richtige Agentur erkennen Sie an fünf Kriterien: definierte SLA, eigenes Monitoring, dokumentierte Prozesse, transparente Preise und nachweisbare Referenzen. Laut Bitkom-Wirtschaftsschutzstudie 2024 waren 81 % der deutschen Unternehmen in den vergangenen zwölf Monaten von Angriffen betroffen. Eine Agentur ohne Sicherheitsroutine ist damit ein Risikofaktor, kein Schutz.

SLA, Monitoring und Reporting

Fragen Sie nach Reaktionszeiten bei kritischen Sicherheitslücken und nach Wiederherstellungszeiten bei Ausfällen. Vier-Stunden-Reaktion bei kritischen CVEs ist Standard, 24 Stunden ist zu spät. Eine seriöse Agentur betreibt Uptime-, Performance- und Security-Monitoring selbst und liefert monatliche Reports, in denen Sie Trends sehen, nicht nur Vorfälle. Da Google Core Web Vitals als Page-Experience-Ranking-Signal führt, bleibt Performance-Optimierung ohne kontinuierliche Messung Glücksache.

Preise, Branche und Übergabe

Pauschalpreise pro Monat mit klar definiertem Leistungsumfang sind besser als open-ended Stundenkontingente. Sie machen Pflege budgetierbar und vergleichbar. Lassen Sie sich konkrete Webapp-Referenzen und ein Sample-Reporting zeigen. Eine Agentur, die Ihre Branche kennt, versteht Spitzenlasten, saisonale Inhalte und regulatorische Pflichten schneller. Erreichbarkeit auf Deutsch und in Ihrer Zeitzone klingt selbstverständlich, ist es im EU-Markt aber nicht immer. Klären Sie Eskalationswege vor Vertragsabschluss und genauso wichtig, schriftlich, was bei Vertragsende übergeben wird: dokumentierter Stack, Zugang zu Repositories, beschriebene Deploy-Pipelines, lesbare Datenmodelle. Pflege-Verträge ohne Exit-Klausel werden im Wechselfall teuer.

Welche Wartungsaufgaben übernimmt eine gute Agentur?

Eine gute Agentur übernimmt fünf Aufgabenfelder gebündelt: Sicherheit, Performance, Inhalte, SEO und rechtliche Pflege. Das ersetzt die typische Konstellation aus Hoster, Freelancer und Inhouse-Marketing, in der niemand am Ende verantwortlich ist. Schon 0,1 Sekunden kürzere Mobil-Ladezeit hoben die Retail-Conversion um 8,4 % und Travel um 10,1 %. Diese Effekte fallen einer einzelnen Disziplin allein nicht in den Schoß.

Sicherheit und Updates

Patch-Management, Vulnerability-Scans, WAF-Regeln, SSL-Erneuerung. Dazu Penetration-Tests in größeren Abständen für regulierte Branchen. Konkrete Tipps zur Risikominderung haben wir in diesem Beitrag zu Sicherheitslücken auf Unternehmens-Websites zusammengetragen.

Performance und Verfügbarkeit

Bild- und Asset-Optimierung, Cache-Konfiguration, CDN-Pflege, Core-Web-Vitals-Tuning, Uptime-Monitoring mit Alarmen. Da Google Page-Experience-Signale wie Core Web Vitals zum Ranking zählt, verliert eine träge Site messbar an Sichtbarkeit und Conversion. Performance-Pflege ist also direkte Lead-Sicherung.

Inhalte und SEO

Content-Updates, interne Verlinkung, Metadaten, strukturierte Daten, Sitemap-Hygiene. Laut HubSpot-Daten erzielen Unternehmen mit 16+ Blog-Posts pro Monat fast 3,5× mehr organischen Traffic als solche mit 0–4 Posts. Pflege ist hier Wachstumshebel, nicht Kostenstelle.

Rechtliche Pflege

Cookie-Banner aktualisieren, Datenschutzhinweise an neue Tools anpassen, Impressums-Daten pflegen, A11Y-Richtlinien einarbeiten. Gerade Cookie-Banner sind 2025/2026 wieder Compliance-Thema geworden, was wir im Beitrag zu rechtssicheren Cookie-Bannern ausführen. Auch das Barrierefreiheits-Stärkungs-Gesetz (BFSG) erzwingt seit Mitte 2025 neue Pflichten für viele Geschäfts-Websites, die nur mit laufender Pflege sauber umsetzbar sind und nicht in einer einmaligen Anpassung erledigt sind.

Markenkonsistenz und Designsystem

Eine gepflegte Website hält nicht nur Patches, sondern auch die Marke aktuell. Eine gute Agentur arbeitet auf Basis eines dokumentierten Designsystems mit fixen Farben, Typografie, Komponenten und Tonalitäts-Regeln, damit jede neue Landingpage, jeder Blogartikel und jedes Formular wie aus einem Guss wirken. Dazu gehört auch die Pflege der Markensprache: einheitliche Terminologie, konsistente Ansprache und ein Style-Guide für Texte, der bei jeder Content-Aktualisierung als Referenz dient. Besonders bei KI-gestützter Content-Produktion ist diese Disziplin entscheidend: Texte entstehen schneller als je zuvor, aber nur ein gepflegtes Designsystem stellt sicher, dass dabei Marke und Botschaft konsistent bleiben. Ohne diese Routine driftet das Markenbild innerhalb weniger Monate auseinander, und die ursprüngliche Brand-Investition verliert messbar an Wirkung.

Was kostet professionelle Website-Pflege?

Professionelle Website-Pflege liegt für KMU-Sites zwischen 250 und 1.500 Euro pro Monat, je nach Umfang, Stack und SLA. Headless-Sites am unteren Ende, klassische WordPress-Multisite-Setups am oberen. Wer einmalige Wartungsfenster kauft statt eines Vertrags, zahlt im Schadensfall meist deutlich drauf.

Realistisch gerechnet sind 500 bis 900 Euro pro Monat für eine deutschsprachige B2B-Website mit moderatem Traffic eine gut investierte Größenordnung. Dafür bekommen Sie laufendes Monitoring, Patch-Management, Content-Support für kleinere Änderungen und einen festen Ansprechpartner, der Ihre Site kennt. Das ist deutlich günstiger als die häufig unterschätzten internen Kosten, wenn jede Änderung intern koordiniert, abgenommen und freigegeben werden muss.

Wer Pflege rein über interne Ressourcen abdecken will, unterschätzt fast immer den verdeckten Zeitaufwand: Recherche, Tests, Kontextwechsel, Abstimmung mit Marketing und IT. Ein typischer Marketing-Manager im Mittelstand verliert dadurch pro Monat schnell einen halben Arbeitstag, ohne dass das in einer Kostenrechnung landet. Eine Pflege-Pauschale verlagert diese Reibung zum Spezialisten und macht den Aufwand erstmals planbar.

Was den Preis treibt

Preis-Treiber sind Anzahl der Plugins, Sprachen, Integrations-Tiefe (CRM, ERP, Marketing-Automation), regulatorische Pflichten und Reaktionszeiten. Eine zweisprachige Site mit drei Drittsystemen braucht mehr Aufmerksamkeit als eine reine Visitenkarte.

Was im Paket enthalten sein sollte

Im Pflege-Paket gehören standardmäßig: monatliche Reports, garantierte Backups, Plugin-Updates, Security-Patches, kleines Content-Kontingent, Performance-Audit pro Quartal. Alles darüber, etwa Re-Design oder neue Features, läuft als Projekt. Saubere Pakete benennen außerdem die Reaktionszeiten in Stufen: kritische CVE, normale Bug-Reports, Wunsch-Änderungen. Diese drei Eskalationsstufen sollten unterschiedlich getaktet und entsprechend bepreist sein, sonst entsteht Diskussionsbedarf bei jedem Vorfall. Lassen Sie sich auch zeigen, wie ein typisches Monats-Reporting aussieht: ein einseitiges PDF mit Uptime, eingespielten Updates, behobenen Issues und nächsten geplanten Wartungsfenstern reicht völlig.

Was eine Einsparung kostet

Laut Bitkom verursachen Angriffe auf deutsche Unternehmen jährlich 266,6 Mrd. Euro Schaden, davon 178,6 Mrd. allein durch Cyberangriffe. Die rechnerische Ersparnis aus weggelassener Pflege löst sich beim ersten Vorfall in Luft auf. Ein durchschnittlicher Datenschutz-Vorfall kostet Unternehmen laut IBM weltweit 4,88 Mio. USD, in DACH liegen die Zahlen niedriger, aber selten unter einem sechsstelligen Bereich.

Verwandte Evelan-Artikel

• Sicherheitslücken auf Unternehmens-Websites vermeiden
• Trust-Elemente, die Websites glaubwürdig machen
• Warum eine Unternehmens-Website unverzichtbar ist
• Cookie-Banner rechtssicher umsetzen

Quellen

• Bitkom: Wirtschaftsschutz in Deutschland (2024)
• BSI: Pressemitteilung zum Lagebericht IT-Sicherheit (2024)
• Google Search Central: Page Experience (2024)
• HubSpot Blog: How Often Should You Blog Data (2024)
• IBM Newsroom: Cost of a Data Breach Report (2024)
• Lindgaard et al.: Attention web designers, You have 50 milliseconds (2006, Behaviour & Information Technology)
• Patchstack: State of WordPress Security (2024)
• W3Techs: Usage statistics of content management systems (2026)
• web.dev: Milliseconds make millions (2020, Google x Deloitte)