Warum regelmäßige CMS-Updates kein Luxus sind

Veraltete CM-Systeme, unsichere Plugins und abgelaufene PHP-Versionen gefährden Ihre Website. Warum sind regelmäßige Updates für Sicherheit, Performance und DSGVO-Konformität unverzichtbar?

Eine Website ist kein Gemälde

Man kann sie nicht einmal erstellen und dann erwarten, dass sie jahrelang unverändert funktioniert. Sie basiert auf Software — und Software braucht Pflege. Content-Management-Systeme wie Contao oder WordPress, deren Erweiterungen, die eingesetzte PHP-Version und das Hosting-Umfeld entwickeln sich ständig weiter. Wer hier nicht am Ball bleibt, riskiert Sicherheitslücken, Funktionsausfälle und sinkende Sichtbarkeit in Suchmaschinen. Abgesehen davon erfordern neue Features bei veralteten Systemen oft unverhältnismäßig höheren Aufwand.

Dieser Artikel erklärt, warum regelmäßige Updates kein Luxus sind, sondern eine Grundvoraussetzung für den sicheren und erfolgreichen Betrieb einer Website.

Sicherheitsrisiken veralteter Systeme

Wer eine Website mit einem Content-Management-System betreibt, ist ein ständiges Ziel automatisierter Angriffe. Bots scannen das Internet rund um die Uhr nach bekannten Schwachstellen in verbreiteten CM-Systemen und deren Erweiterungen. Dabei geht es nicht um gezielte Attacken auf einzelne Unternehmen, sondern um massenhaftes Ausnutzen bekannter Lücken.

Laut dem Wordfence Annual Report 2024 wurden im vergangenen Jahr 48 Milliarden bösartige Anfragen gegen WordPress-Seiten blockiert. Die WPScan Vulnerability Database listet inzwischen über 62.000 bekannte Schwachstellen in WordPress-Core, Themes und Plugins — wobei rund 92 Prozent davon auf Plugins entfallen. Knapp 40 Prozent aller gehackten CMS-Installationen liefen zum Zeitpunkt des Angriffs mit veralteter Software.

Eine veraltete WordPress-Installation mit ungepatchten Plugins ist ein besonders leichtes Ziel: Mit rund 60.000 verfügbaren Plugins ist die Angriffsfläche enorm, und nicht alle Entwickler liefern zeitnah Sicherheitsupdates. Viele Plugins stammen von Einzelentwicklern oder kleinen Teams ohne eigene Sicherheitsabteilung — wird ein Plugin nicht mehr gepflegt, bleibt jede neu entdeckte Lücke dauerhaft offen.

Auch Contao bleibt nicht von Sicherheitslücken verschont — allerdings ist das Ökosystem deutlich kleiner und kontrollierter. Allein im Jahr 2025 wurden mehrere Schwachstellen in Contao entdeckt und behoben, darunter Probleme bei der Indexierung geschützter Inhalte, unzureichendes Rechtemanagement im Backend und eine Cross-Site-Scripting-Lücke durch SVG-Uploads. Alle diese Lücken wurden über Sicherheitsupdates geschlossen — aber nur wer diese Updates auch einspielt, ist geschützt.

Was kann passieren, wenn Updates ausbleiben?

Die Folgen einer vernachlässigten Website können gravierend sein:

  • Spam-Versand über den eigenen Server: Häufig wird ein Webserver unbemerkt für den massenhaften Versand von Spam- oder Phishing-Mails missbraucht. Das kann dazu führen, dass die eigene Domain oder IP-Adresse auf einer Blacklist landet — mit der Folge, dass auch reguläre E-Mails nicht mehr zugestellt werden.
  • Weiterleitungen auf schädliche Seiten: Besucher werden ohne ihr Wissen auf fremde Websites umgeleitet, die Schadsoftware verbreiten oder Zugangsdaten abgreifen. Für den Betreiber bleibt das häufig lange unbemerkt, da die Weiterleitung oft nur unter bestimmten Bedingungen ausgelöst wird — etwa nur bei Besuchern, die über eine Suchmaschine kommen.
  • Datenverlust oder Datendiebstahl: Angreifer können über Sicherheitslücken Zugriff auf sensible Daten erlangen — Kontaktformulare, Kundendaten oder Backend-Zugänge.
  • Reputationsschaden: Sobald Google eine kompromittierte Website erkennt, erscheint die rote Warnseite „Diese Website wurde möglicherweise gehackt“.
  • Höherer Aufwand bei Weiterentwicklungen: Neue Funktionen oder Anpassungen lassen sich auf veralteten Systemen nur mit unverhältnismäßig hohem Aufwand umsetzen. Inkompatible PHP-Versionen, veraltete Schnittstellen und nicht mehr gepflegte Erweiterungen machen jede Weiterentwicklung teurer und fehleranfälliger als nötig.
  • Rechtliche Konsequenzen: Wer personenbezogene Daten verarbeitet und keine angemessenen technischen Maßnahmen trifft, kann gegen die DSGVO verstoßen. Die NIS-2-Richtlinie verschärft zudem die Anforderungen an die Cybersicherheit, einschließlich persönlicher Haftung der Geschäftsführung.

PHP-Versionen

Die meisten CM-Systeme, darunter Contao und WordPress, basieren auf PHP. Diese serverseitige Programmiersprache wird kontinuierlich weiterentwickelt, und ältere Versionen verlieren nach einem festen Zeitplan ihren Support.

Konkret bedeutet das, dass für veraltete PHP-Versionen werden keine Sicherheitsupdates mehr bereitgestellt werden. Hosting-Provider schalten diese Versionen nach einer Übergangsfrist ab. Nutzt eine Website noch eine nicht mehr unterstützte PHP-Version, droht im besten Fall ein Ausfall der Seite — im schlimmsten Fall eine offene Sicherheitslücke, die niemand mehr schließt.

Aktuelle CMS-Versionen setzen moderne PHP-Versionen voraus. Contao 5.x erfordert beispielsweise mindestens PHP 8.1, WordPress empfiehlt ebenfalls PHP 8.x. Wer sein CMS nicht regelmäßig aktualisiert, gerät hier in einen Teufelskreis: Das veraltete CMS ist nicht mit der neuen PHP-Version kompatibel, die alte PHP-Version wird vom Provider abgeschaltet, und die Website steht still.

Plugins und Erweiterungen

Erweiterungen sind ein zentraler Bestandteil moderner Websites. Sie erweitern den Funktionsumfang eines CMS um Formulare, Bildergalerien, SEO-Werkzeuge, Mehrsprachigkeit und vieles mehr. Gleichzeitig sind sie eine der häufigsten Ursachen für Probleme.

Bei WordPress stammen viele der über 55.000 Plugins von Drittanbietern unterschiedlicher Qualität. Nicht jedes Plugin wird aktiv gepflegt, und nach einem WordPress-Core-Update kann es zu Inkompatibilitäten kommen. Plugins, die seit Monaten oder Jahren kein Update erhalten haben, stellen ein erhebliches Sicherheitsrisiko dar.

Contao verfolgt hier einen anderen Ansatz. Die Zahl der verfügbaren Erweiterungen ist deutlich geringer, dafür sind sie in der Regel besser auf das System abgestimmt. Dennoch gilt auch hier, dass Erweiterungen regelmäßig aktualisiert und auf Kompatibilität mit der eingesetzten Contao-Version geprüft werden müssen. Inkompatible oder verwaiste Erweiterungen sollten rechtzeitig durch Alternativen ersetzt werden.

Performance und SEO

Neben der Sicherheit gibt es einen weiteren wichtigen Grund für regelmäßige Wartung: die Ladegeschwindigkeit. Google bewertet die sogenannten Core Web Vitals — Kennzahlen wie Ladezeit, Interaktivität und visuelle Stabilität — als Ranking-Faktor. Langsame Websites werden in den Suchergebnissen abgestraft.

Veraltete Systeme und aufgeblähte Plugin-Installationen wirken sich direkt auf die Performance aus. Jedes zusätzliche Plugin lädt potenziell eigene CSS- und JavaScript-Dateien, die den Seitenaufbau verlangsamen. Nicht optimierte Bilder, fehlende Browser-Caches und veraltete Komprimierungsverfahren tun ihr Übriges.

Im Rahmen einer regelmäßigen Wartung lassen sich diese Probleme gezielt identifizieren und beheben:

  • Entfernen ungenutzter Plugins und Themes
  • Optimierung von Bildern und Mediendateien
  • Aktualisierung von Caching-Mechanismen
  • Überprüfung und Bereinigung der Datenbank

All das sind keine einmaligen Maßnahmen, sondern Aufgaben, die in regelmäßigen Abständen durchgeführt werden sollten.

Backups

Ein Aspekt, der bei der Wartung häufig vergessen wird, sind regelmäßige Backups. Eine Website besteht nicht nur aus den sichtbaren Inhalten, sondern auch aus Konfigurationsdateien, Datenbanken, Benutzerkonten und individuellen Anpassungen. All das kann durch einen Angriff, ein fehlgeschlagenes Update oder einen Serverfehler verloren gehen.

Ein professionelles Backup-Konzept umfasst sowohl die Dateien auf dem Webserver als auch die Datenbank. Die Sicherungen sollten automatisiert, regelmäßig und an einem separaten Ort gespeichert werden.

DSGVO und Compliance

Seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) sind Websitebetreiber verpflichtet, technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu treffen. Dazu gehört ausdrücklich, die eingesetzte Software auf dem aktuellen Stand zu halten.

Ein veraltetes Kontaktformular-Plugin, das Daten unverschlüsselt überträgt, oder ein CMS mit bekannten Sicherheitslücken können im Falle einer Datenpanne zu empfindlichen Bußgeldern führen. Mit der NIS-2-Richtlinie kommen 2025/2026 zusätzliche Anforderungen auf viele Unternehmen zu, die unter anderem ein systematisches Risikomanagement und dokumentierte Sicherheitsprozesse vorschreiben.

Regelmäßige Wartung ist somit nicht nur eine technische, sondern auch eine rechtliche Notwendigkeit.

Was umfasst eine professionelle Website-Wartung?

Eine professionelle Wartung geht über das bloße Einspielen von Updates hinaus. Sie umfasst typischerweise folgende Aufgaben:

  • CMS-Updates: Aktualisierung des Kernsystems auf die neueste stabile Version.
  • Plugin- und Erweiterungs-Updates: Prüfung auf Kompatibilität und Einspielen verfügbarer Aktualisierungen.
  • PHP-Version: Sicherstellung, dass die eingesetzte PHP-Version aktuell und vom CMS unterstützt wird.
  • Sicherheitsprüfung: Überprüfung auf bekannte Schwachstellen, verdächtige Dateien oder ungewöhnliche Aktivitäten.
  • Backup: Regelmäßige Sicherung aller Dateien und der Datenbank.
  • Performance-Check: Analyse der Ladezeiten und Identifikation von Optimierungspotenzial.
  • SSL-Zertifikat: Prüfung der Gültigkeit und korrekten Einbindung.
  • Monitoring: Überwachung der Erreichbarkeit und Funktionsfähigkeit der Website.

Je nach Umfang und Komplexität der Website empfiehlt es sich, diese Aufgaben monatlich oder quartalsweise durchzuführen — idealerweise durch einen erfahrenen Dienstleister, der die eingesetzte Technologie kennt und im Ernstfall schnell reagieren kann.

Fazit

Eine Website ist eine Investition in Ihr Unternehmen, Ihre Sichtbarkeit und Ihre Kommunikation mit Kunden. Wie jede Investition erfordert sie laufende Pflege, um ihren Wert zu erhalten. Regelmäßige Wartung schützt vor Sicherheitsrisiken, sorgt für stabile Performance, hält die Website rechtlich auf der sicheren Seite und verlängert die Lebensdauer des gesamten Systems.

Wer die Wartung seiner Website vernachlässigt, spart kurzfristig Zeit und Geld — riskiert aber langfristig deutlich höhere Kosten durch Ausfälle, Sicherheitsvorfälle oder einen kompletten Neuaufbau. Die Frage ist also nicht, ob sich regelmäßige Wartung lohnt, sondern ob man es sich leisten kann, darauf zu verzichten.

Zurück zur Newsübersicht