WordPress Wartung & Support in München

Laufende WordPress-Wartung und technischer Support für Unternehmen in München und im Großraum Oberbayern. Getestete Updates, tägliche Backups, Sicherheits- und Performance-Monitoring sowie ein dokumentiertes SLA, damit die Seite nach dem Launch nicht still verfällt.

#WordPress-Wartung und -Support in München

Eine WordPress-Installation ist nach dem Live-Schaltung kein abgeschlossener Bauauftrag, sondern ein Betriebsobjekt. Plugins erhalten Sicherheits-Releases, PHP-Versionen verlassen den Long-Term-Support, Schwachstellen werden im wpscan-Verzeichnis veröffentlicht und Ladezeiten schleichen sich nach oben, wenn niemand auf das Monitoring schaut. Wartung heißt, diese Bewegung kontrolliert zu halten: jede Änderung erst im Testumgebung gegen echte Inhalte prüfen, dann mit dokumentiertem Rückweg in Produktion überführen.

In München sitzen die Auftraggeber selten in klassischen Marketing-Abteilungen alleine. Konzernkommunikation der DAX-Häuser, Maklerportale aus dem Versicherungsumfeld, Landingpages der Tier-1-Zulieferer, Pressebereiche börsennotierter Industrieunternehmen, Spinoffs aus TUM und LMU sowie Mittelstand mit zwei- bis dreistelliger Mitarbeiterzahl. Diese Mischung prägt, was die Wartung priorisiert: Verfügbarkeit zu Geschäftszeiten in MEZ, nachvollziehbare Sicherheit für interne Audits, redaktionelle Kontrolle für Pressestellen und ein Betrieb, der ohne Vor-Ort-Termin remote läuft.

#Was die monatliche Wartung umfasst

• Getestete Updates von WordPress-Core, Plugins und Themes: erst im Testumgebung gegen die echten Inhalte und Integrationen geprüft, dann mit definiertem Rückweg in Produktion überführt
• Tägliche Backups mit 30 Tagen Aufbewahrung an einem vom Hosting getrennten Speicherort, ergänzt durch eine regelmäßig durchgespielte Wiederherstellung (ein Backup, das nie zurückgespielt wurde, ist kein Backup)
• Uptime- und PageSpeed-Monitoring mit Alarmierung über E-Mail und Slack, damit ein Ausfall nicht zuerst durch einen Anruf aus dem Vorstandsbüro auffällt
• Malware-Scanning und eine vorgelagerte Web Application Firewall, mit dokumentierter Reaktion bei einem bestätigten Vorfall
• Ein festes Kontingent kleiner Entwicklungsänderungen pro Monat (Textanpassungen, kleine Funktionskorrekturen, Bugfixes nach Designreview) ohne separaten Angebotsprozess
• Monatlicher Statusbericht mit Metriken, durchgeführten Updates, offenen Risiken und Empfehlungen für den nächsten Zyklus

Für Shops auf WooCommerce kommt eine weitere Ebene hinzu, weil hier jede Stunde Ausfall direkt Umsatz kostet und die rechtlichen Anforderungen im deutschen E-Commerce strenger sind als der WooCommerce-Standard ab Werk.

#Der Standort München und was er für die Wartung bedeutet

München ist Bayerns Landeshauptstadt und einer der dichtesten Versicherungs- und Industriestandorte Europas. Im Stadtgebiet und im direkten Umland sitzen Allianz, Munich Re, BMW Group, Siemens AG, Linde plc, Wacker Chemie, Knorr-Bremse, MTU Aero Engines und Infineon Technologies (mit Sitz in Neubiberg), Audi liegt knapp eine Stunde nördlich in Ingolstadt. Dazu kommen die Technische Universität München als eine der größten Exzellenzuniversitäten Deutschlands, die LMU, die Hochschule München und ein Ökosystem aus Werk1, UnternehmerTUM, BayStartUP und der Konferenz Bits & Pretzels. Veranstaltungen wie ISPO, IAA Mobility (seit 2021 in München statt Frankfurt) und das Oktoberfest erzeugen jährlich planbare Traffic-Spitzen, die in der Wartungsplanung berücksichtigt werden müssen.

Praktisch heißt das: Englisch- und deutschsprachige Karriereportale parallel pflegen, sauberes hreflang-Routing zwischen .com- und .de-Domains, Formulare, die ohne Reibung an Workday, SAP SuccessFactors oder lokale Bewerbermanagement-Systeme durchstellen, und für börsennotierte Auftraggeber ein Freigabe-Workflow, der Pressemitteilungen ad-hoc-pflichtkonform und revisionssicher veröffentlicht. Bei mehrsprachigen Installationen kommen typischerweise WPML oder Polylang zum Einsatz, und genau diese Übersetzungs-Plugins sind nach einem Core-Update am ehesten die Schwachstelle, weshalb sie im Testumgebung zuerst getestet werden.

Daneben steht der breite Münchner Mittelstand: Maschinenbau-Zulieferer in Garching, Aschheim oder Unterföhring, Medtech-Firmen rund um die Klinikkette der TU, Steuerkanzleien in der Innenstadt, Praxen, Anwaltskanzleien und der Tourismus rund um Marienplatz und Schloss Nymphenburg. Für diese Seiten zählt weniger Skalierung als Stabilität, eine korrekte Telefon- und Öffnungszeiten-Darstellung, lokale Sichtbarkeit im Google-Unternehmensprofil und ein rechtssicheres Impressum mit korrekter Rechtsformangabe. Beide Welten, Konzernkommunikation und Mittelstand, lassen sich mit demselben Wartungsrahmen bedienen, nur mit unterschiedlichen Schwerpunkten.

#Münchner Mietkosten und die Nearshore-Entscheidung

Die hohen Personal- und Mietkosten in München, mit Bürospitzenmieten am Maximilianhof und in der Maxvorstadt im oberen Bereich deutscher Innenstadtlagen, prägen auch die Vergabe technischer Dienstleistungen. Eine Senior-WordPress-Entwicklerstelle in einer Münchner Inhouse-IT konkurriert preislich mit der Versicherungs- und Automotive-Branche, und genau das macht das Nearshore-Modell mit einem polnischen Senior-Engineering-Partner für die laufende Wartung wirtschaftlich. Die Geschäftsleitung bekommt dokumentierte SLAs, getestete Updates und einen schriftlichen Kanal ohne den vollen Münchner Lohnkostenfaktor, der bei einer Festanstellung anfällt. Genau diese Rechnung führt regelmäßig zu Anfragen aus dem Schwabinger, Bogenhausener und Sendlinger Mittelstand sowie aus den Konzernkommunikationsabteilungen, die WordPress an die Beratungsschwelle eines IT-Strategieprojekts nicht herankommen lassen wollen.

#Deutsche Rechtslage als fester Teil der Wartung

Wartung in Deutschland ist nicht nur Technik, sondern auch laufende Konformität. Das gehört bei jedem Zyklus auf die Prüfliste:

• DSGVO, BDSG und TTDSG-Einwilligung: Ein Consent-Banner, das Tracking, Pixel und externe Skripte (Google Fonts lokal eingebunden, Maps, Analytics, LinkedIn Insight Tag) erst nach Zustimmung lädt. Nach Plugin-Updates wird geprüft, dass keine neuen Skripte ungefragt vor der Einwilligung feuern. In München mit seiner Konzernkundschaft kommt eine schriftliche Auftragsverarbeitungsvereinbarung mit dem Hoster und mit jedem externen Dienst dazu.
• Impressumspflicht und Datenschutzerklärung: Bei jeder größeren Änderung wird kontrolliert, dass Pflichtangaben (Handelsregisternummer beim Amtsgericht München HRB, Umsatzsteuer-Identifikationsnummer, Aufsichtsbehörde bei regulierten Branchen wie Versicherung und Vermögensverwaltung) erreichbar bleiben und die Datenschutzerklärung die tatsächlich eingesetzten Dienste abbildet.
• Widerrufsrecht und Pflichtangaben im Shop: WooCommerce ab Werk erfüllt die deutschen Vorgaben nicht. In der Regel kommt Germanized (Vendidero) oder German Market zum Einsatz, für Grundpreisangabe, Widerrufsbelehrung, korrekte Steuer- und Versandkostenausweisung und die Button-Lösung. Diese Plugins sind eng an Core und WooCommerce gekoppelt und brauchen besonders sorgfältige Update-Tests.
• Barrierefreiheit nach BFSG: Seit dem 28. Juni 2025 verlangt das Barrierefreiheitsstärkungsgesetz von vielen Onlineshops und vertragsschließenden Websites eine barrierefreie Gestaltung auf Basis von WCAG 2.1 AA und der EN 301 549. Bei betroffenen Seiten gehören Kontrast, Tastaturbedienbarkeit des Checkouts und Screenreader-Tauglichkeit in die laufende Prüfung, ergänzt um eine Barrierefreiheitserklärung mit Kontakt für Mängelmeldungen.
• NIS2 für wichtige und besonders wichtige Einrichtungen: Für Münchner Energieversorger wie Stadtwerke München, für Verkehrsunternehmen wie die MVG, für regulierte Gesundheitsdienstleister und für Unternehmen oberhalb der Größenschwellen entlang der NIS2-Richtlinie wandert die WordPress-Plattform in die Risikobetrachtung der IT-Sicherheit. Wartung heißt dann auch dokumentierte Patchzyklen, Asset-Inventar, Vorfalldokumentation und ein Eskalationsweg, der mit dem internen ISMS verzahnt ist.
• Zahlarten: Deutsche Kundschaft erwartet im Shop Kauf auf Rechnung, Klarna, PayPal, SEPA-Lastschrift, giropay sowie Apple Pay und Google Pay im mobilen Checkout. Nach Updates der Payment-Plugins wird ein Test-Checkout je aktiver Zahlart durchgespielt, damit kein Bezahlweg still ausfällt.

Wer Vertrauenssignale wie ein Trusted-Shops-Siegel, eKomi-Bewertungen oder Händlerbund-Rechtstexte einsetzt, bekommt diese in den Update-Test eingebunden, damit ein Theme- oder Plugin-Wechsel die Einbindung nicht beschädigt.

#Hosting-Wahl: Hetzner, IONOS, mittwald und die Folgen für die Wartung

Die meisten Münchner WordPress-Installationen liegen auf deutschem Hosting, häufig bei Hetzner (Nürnberg, Falkenstein), IONOS, mittwald oder bei Managed-WordPress-Anbietern wie Raidboxes. Diese Wahl ist nicht nur eine Kostenfrage, sondern auch DSGVO-Argument: Verarbeitung in einem EU-Rechenzentrum, deutschsprachiger Support, gelistete Subunternehmer im AV-Vertrag. Für die Wartung folgt daraus ein konkreter Werkzeugkasten: SSH- statt FTP-Zugang, dokumentierte PHP-Versionssprünge, das eingesetzte Caching (Varnish, LiteSpeed, Redis-Object-Cache) wird beim Onboarding aufgenommen, und Testumgebung wird über die anbietereigenen Klon-Funktionen statt über manuelle Datenbankdumps automatisiert. Bei Konzernkundschaft kommt zusätzlich eine private Cloud oder ein eigenes On-Premise-Setup ins Spiel, das eigene Spielregeln für Patchfenster, Change-Approval-Prozesse und Audit-Trails mitbringt.

#Onboarding einer bestehenden Seite

Eine bestehende Installation wird nicht blind in die Wartung übernommen. Den Anfang macht ein Audit: Plugin- und Theme-Inventar, Hosting- und PHP-Setup, Zustand der Backups, Sicherheitslage und eine Performance-Baseline per Lighthouse. Daraus entsteht eine priorisierte Befundliste, bevor die reguläre Kadenz beginnt.

Bei vernachlässigten Seiten ist der erste Monat oft mehr Sanierung als Wartung: PHP auf einer Version unterhalb des Long-Term-Supports, jahrelang nicht aktualisierte Plugins, Backups, die im Hosting-Panel als grün gemeldet wurden, aber nie zurückgespielt werden konnten, manchmal bereits vorhandene Schadsoftware in der wp-content/uploads/-Hierarchie. Diese Punkte werden zuerst abgearbeitet, damit die Seite überhaupt auf einen wartbaren Stand kommt.

#Update-Zyklus in der Praxis

Jeder Update-Zyklus läuft nach demselben Muster, damit Risiko und Nachvollziehbarkeit kontrolliert bleiben:

1. Testumgebung-Spiegel: Die Produktionsseite wird in eine identische Testumgebung gezogen, inklusive echter Inhalte und Konfiguration.
2. Update und Prüfung: Core, Plugins und Themes werden im Testumgebung aktualisiert und gezielt getestet, mit besonderem Augenmerk auf Checkout, Formulare, Übersetzungs-Plugins, Pressebereiche und Page-Builder, also genau die Stellen, die nach Updates erfahrungsgemäß brechen.
3. Überführung mit Rückweg: Erst nach bestandener Prüfung geht das Update in Produktion, mit dokumentiertem Wiederherstellungs-Pfad, falls in der Live-Umgebung doch etwas auffällt.
4. Protokoll: Jeder Zyklus wird im Monatsbericht festgehalten, was aktualisiert wurde, was geprüft wurde und welche Entscheidungen getroffen wurden.

Page-Builder wie Elementor und WPBakery sowie schwere Plugin-Stacks sind die häufigste Ursache für Regressionen nach Updates, gerade in gewachsenen Mittelstands-Installationen. Deshalb wird kein Update direkt in Produktion eingespielt.

Zwei typische Fälle aus der Praxis machen den Unterschied deutlich. Erstens ein WooCommerce-Shop eines Sportartikel-Händlers mit Anbindung an einen ISPO-Showroom, Germanized, einem Klarna-Plugin und über zwanzig weiteren Erweiterungen, bei dem ein scheinbar harmloses Plugin-Update das Steuerverhalten an der Kasse für österreichische Versandadressen verschiebt, sichtbar nur im Test-Checkout je Versandland, nicht im Backend. Zweitens eine über Jahre gewachsene Elementor-Karriereseite eines Münchner Mittelständlers, deren Layout nach einem Theme-Update bricht, weil ein deaktiviertes, aber nie entferntes A/B-Test-Plugin CSS überschrieb. Beide Fälle erkennt man im Testumgebung in Minuten, in Produktion dagegen erst, wenn Kundschaft, Personalmarketing oder Umsatz darunter leiden.

#Sicherheit und Vorfallreaktion

Die Sicherheits-Baseline umfasst HTTPS mit HSTS, abgesicherte Anmeldung mit Zwei-Faktor-Authentifizierung für Administratoren, regelmäßige Schwachstellen-Prüfung der eingesetzten Plugins gegen das wpscan-Verzeichnis, Malware-Scanning und eine vorgelagerte Web Application Firewall. Für Seiten, die personenbezogene Daten verarbeiten, kommt Privacy-by-Design hinzu: Datensparsamkeit, Auftragsverarbeitungsverträge mit Dienstleistern und ein dokumentiertes Löschkonzept.

Bei einem bestätigten Sicherheitsvorfall oder einem Produktionsausfall greift der SLA-Workflow: reagieren, eindämmen, Zeitachse und Ursache dokumentieren, bereinigen und, falls die Schadsoftware Suchergebnisse betroffen hat, eine erneute Überprüfung bei der Google Search Console beantragen. Bei meldepflichtigen DSGVO-Vorfällen ist die zuständige Behörde in Bayern das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) in Ansbach, an das innerhalb von 72 Stunden gemeldet werden muss. Das Vorfallprotokoll bleibt durch Tickethistorie und Monatsbericht auditierbar, was bei externen Prüfungen, Versicherungsfällen über die Cyberpolice und gegenüber Datenschutzbehörden zählt.

#Performance und Core Web Vitals

Ladezeit ist in München nicht nur SEO-Thema, sondern auch Conversion- und Reputationsthema. Bei Saison-Spitzen wie Oktoberfest, ISPO oder den Tagen rund um die IAA-Mobility-Pressetage kommen messbare Lastspitzen auf Münchner Tourismus-, Sportartikel- und Mobilitätsseiten, die ohne sauberes Caching am Server brechen. Die Wartung hält die Core Web Vitals im Blick: Largest Contentful Paint über vorgeladene Hero-Bilder in modernen Formaten (WebP/AVIF) und sauberes Caching, Interaction to Next Paint über schlanke JavaScript-Last und Cumulative Layout Shift über feste Bildabmessungen sowie abgestimmtes Schrift-Laden.

Bei Managed Hosting wird serverseitiges Caching (etwa Redis und ein Reverse-Proxy) konfiguriert, PHP wird mit Kompatibilitätstest aktuell gehalten und die Datenbank wird regelmäßig von Ballast befreit, der sich über die Jahre ansammelt (verwaiste Transients, Post-Revisionen, Logtabellen ausgemusterter Plugins). Performance-Regressionen werden im Monitoring sichtbar und fließen in den nächsten Zyklus ein, statt unbemerkt zu bleiben.

#Lokale Sichtbarkeit in München

Für Münchner Betriebe mit Laufkundschaft oder lokalem Einzugsgebiet gehört lokale Auffindbarkeit zur Pflege: konsistente NAP-Daten (Name, Adresse, Telefon) über Website und Verzeichnisse, korrektes LocalBusiness-Markup nach Schema.org, eingebundene Öffnungszeiten und eine Anbindung an das Google-Unternehmensprofil. Bei mehreren Standorten in Bayern, etwa Filialen in Augsburg, Ingolstadt, Rosenheim oder Erding, wird die Struktur so gehalten, dass jede Filiale sauber indexiert wird, statt mit den anderen zu konkurrieren. Für Kanzleien und Praxen in den teuren Lagen rund um Maximilianstraße, Sendlinger Tor und Ludwigvorstadt zählt sauberes Schema-Markup oft mehr als ein zusätzlicher Werbekanal, weil hier eine starke organische Sichtbarkeit den Cost-per-Lead niedrig hält.

#Häufige Fragen aus München

Läuft die Wartung remote? Ja. Kommunikation über einen schriftlichen Ticket-Kanal mit monatlichem Statusbericht. Telefonate nur, wenn sie eine Entscheidung beschleunigen oder ein Vorfall im Detail durchgesprochen werden muss. Ein Vor-Ort-Termin in München ist möglich, aber für laufende Wartung nicht nötig.

Können Sie einen vernachlässigten oder bereits gehackten Shop übernehmen? Ja. Das Onboarding-Audit identifiziert kritische Probleme, eine Bereinigung kommt vor die reguläre Kadenz. Bei einem aktiven Befall stehen Eindämmung und Wiederherstellung an erster Stelle, parallel die DSGVO-Meldung an das BayLDA, falls personenbezogene Daten betroffen sind.

Betreuen Sie auch Seiten außerhalb von München? Ja. Der Schwerpunkt liegt auf München und Oberbayern, die Wartung läuft remote aber für Kunden in ganz Deutschland und im deutschsprachigen Raum.

Was ist mit dem BFSG, wenn unser Shop oder unser B2C-Portal betroffen ist? Dann gehören Barrierefreiheits-Prüfungen (Kontrast, Tastaturbedienung, Screenreader-Test im Checkout) und die Pflege der Barrierefreiheitserklärung in den laufenden Zyklus, nicht als einmaliges Projekt, sondern als Teil jeder größeren Änderung.

Wir sind ein börsennotiertes Münchner Unternehmen mit Pressestelle. Lässt sich der Freigabe-Workflow abbilden? Ja. Mehrstufige Freigaben, Zeitsteuerung für ad-hoc-relevante Inhalte, Versionierung kritischer Seiten und ein Audit-Trail über Useractivity-Logs werden im Onboarding aufgenommen und sind Teil der laufenden Pflege.

#Zusammenarbeit starten

Der erste Schritt ist das Onboarding-Audit der bestehenden WordPress- oder WooCommerce-Installation. Daraus entstehen eine Befundliste, ein Vorschlag für die monatliche Kadenz und ein SLA mit dokumentierten Reaktionszeiten. Die Vergütung richtet sich nach Umfang und Risiko der Installation und wird individuell bestimmt.

WPPoland betreut WordPress-Seiten seit 2007, von einfachen Unternehmensauftritten bis zu WooCommerce-Shops unter deutschem Recht und Konzernportalen mit redaktioneller Mehrstufigkeit. Für Unternehmen in München bedeutet das einen technischen Partner, der den Code versteht, die deutsche Rechtslage von DSGVO bis BFSG mitdenkt und die Seite nach dem Launch dauerhaft betriebsfähig hält.