#1 – Backups: UpdraftPlus

Stell dir vor, deine Website verschwindet plötzlich – all die Arbeit, all die Inhalte einfach weg. Genau für diesen Fall macht es Sinn, ein Backup zu haben.

Deshalb ist UpdraftPlus das erste Plugin, was ich für gewöhnlich auf einer neuen WordPress-Website installiere. Damit kannst du manuell und regelmäßig Sicherungen deiner Website erstellen.

Von allen WordPress-Backup-Plugins, die ich bisher probiert habe, mag ich dieses mit Abstand am liebsten. Warum?

• Einfache Einrichtung: Nach der Installation kannst du mit einem Klick ein Backup deiner Website erstellen. Mit zwei weiteren Klicks kannst du automatische Backups einrichten.
• Flexible Speicheroptionen: UpdraftPlus gibt dir die Möglichkeit, deine Backups automatisch auf einen Cloud-Speicher zu übertragen (in der kostenlosten Variante Google Drive oder Dropbox). Dadurch entlastest du deine Website (kein unnötiger Speicherverbrauch) und stellst sicher, dass du auch dann noch auf deine Backups zugreifen kannst, wenn du keinen Zugang mehr zu deiner Website hast.
• Einfache (und kostenfreie) Wiederherstellung: Auch die Wiederherstellung deiner Daten im Fall der Fälle ist mit einem Klick möglich. Anders als bei anderen Backup-Plugins auf dem Markt brauchst du hierfür nicht die Premium-Version.
• Zeitplan-Funktionen: Du kannst selbst entscheiden, wie oft Backups erstellt werden sollen und wie viele Backups du aufbewahren möchtest.

Im Normalfall sollte die kostenlose Version des Plugins ausreichen. Falls du erweiterte Funktionen benötigst (z. B. automatische Backups vor Updates, andere Speicherorte, Website-Migration, …), gibt es auch eine Premium-Version*, mit der ich bisher ebenfalls ausschließlich positive Erfahrungen gemacht habe.

#2 & 3 – Sicherheit & Antispam: All-in-One Security & WP Armour

Über 855 Millionen Websites (und damit ca. 43,3% aller Websites im Internet) verwenden WordPress. Das ist auf der einen Seite super, denn deshalb gibt es so viele Themes, Plugins, Anleitungen etc. online.

Auf der anderen Seite macht es WordPress-Websites damit aber auch unheimlich attraktiv für Angreifer:innen, denn wer einmal ein Schlupfloch findet, kann sich damit Zugang zu unzähligen Websites verschaffen. Dazu kommt, dass WordPress standardmäßig über keinen besonders guten Angriffsschutz verfügt.

Deshalb solltest du dich unbedingt als nächstes um die Sicherheit deiner Website kümmern, um sie möglichst unattraktiv für Angriffe und Spam-Attacken zu machen.

Das klingt erstmal kompliziert (rein technisch betrachtet ist es das auch), aber zum Glück gibt es auch dafür Plugins, die es dir ermöglichen, deine Website mit wenigen Klicks vor Angriffen und Spam-Überflutungen zu schützen:

1. All-In-One Security (AIOS)

AIOS kannst du dir vorstellen wie eine:n digitale:n Türsteher:in für deine Website. Es bietet umfassenden Schutz gegen die häufigsten Bedrohungen:

• Login-Schutz: Du kannst fehlgeschlagene Login-Versuche begrenzen (das macht WordPress nicht automatisch!) und dafür sorgen, dass Angreifer:innen für eine gewisse Zeit geblockt werden.
• 2-Faktor-Authentifizierung: Damit sicherst du deinen Login zusätzlich ab, indem du nochmal einen Sicherheitscode eingeben musst, der dir per App oder E-Mail bereitgestellt wird.
• Firewall-Funktionen: Du kannst mit zwei Klicks eine Firewall aktivieren, die deine Website vor bekannten Angriffstechniken schützt. Sollte die Firewall dir irgendwann Probleme machen (ja, das kann vorkommen), kannst du die genauso leicht wieder deaktivieren.

Das Schöne an AIOS ist, dass es dir anhand eines Punktestands zeigt, wie gut deine Seite geschützt ist, und dir konkrete Verbesserungsvorschläge macht, wie du die Website besser schützen kannst.

Funktionen, die möglicherweise zu Problemen führen können (wie z. B. das Umbenennen der Login-Seite) sind außerdem entsprechend gekennzeichnet, so dass du diese Einstellungen überspringen kannst, wenn du es dir nicht zutraust.

2. WP Armour

Wenn du eine (ungeschützte) WordPress-Website hast, gehören Spam-Kommentare und Spam-Nachrichten für dich vermutlich zum Alltag. Und während es für die Kommentare diverse Plugins und Lösungen gibt, bleibt das Problem mit den Spam-Einträgen im Kontaktformular für gewöhnlich bestehen.

Dafür gibt es WP Armour. Ein kleines, aber mächtiges Plugin, das speziell für die Bekämpfung von Formular-Spam entwickelt wurde.

Was mich an WP Armour so begeistert:

• Es ist einfach einzurichten: Nach der Aktivierung wirkt das Plugin sofort und du kannst dich zurücklehnen, während es still und leise Spambots von deiner Website fernhält.

• Es funktioniert: Und zwar nicht nur für Kommentare, sondern auch mit beliebten Formular-Plugins wie Contact Form 7, Gravity Forms und vielen anderen.
• Keine lästigen CAPTCHAs: Deine Besucher müssen keine störenden Tests durchlaufen und du sparst dir die Überlegung, ob CAPTCHAs jetzt datenschutzkonform sind oder nicht.

Für WordPress-Anfänger ist WP Armour aus meiner Sicht eine ideale Lösung, da es ohne komplizierte Konfiguration auskommt und trotzdem zuverlässigen Schutz bietet

#4 – SEO: RankMath

Suchmaschinenoptimierung ist ja so ein Thema für sich. Ich würde dir jetzt gerne sagen, dass es reicht, ein SEO-Plugin auf deiner Website zu empfehlen, damit diese auch bei Google und Co. gefunden wird – aber ganz so einfach ist es leider nicht.

Trotzdem macht ein SEO-Plugin auf lange Sicht absolut Sinn. Meine Empfehlung an dieser Stelle ist das Plugin Rank Math.

Warum Rank Math?

• Umfangreiche Features in der kostenlosen Version: Anders als bei manchen Konkurrenten, sind hier bereits in der Basis-Variante die wichtigsten SEO-Funktionen enthalten:
• Es wird automatisch eine Sitemap erstellt.
• Du kannst Metadaten festlegen.
• Du kannst Beiträge als No-Index kennzeichnen.
• Du kannst Weiterleitungen einrichten.
• Du kannst mehr als ein Fokus-Keyword festlegen (auch wenn ich grundsätzlich kein großer Fan der Ampel-Wertung bin).
• Es werden automatisch strukturierte Daten erstellt (die kannst du bei Bedarf anpassen oder das Schma ändern).
• Einfach zu bedienen: Dafür, dass es so viele Funktionen hat, ist RankMath relativ intuitiv zu bedienen und kümmert sich um viele wichtige SEO-Einstellungen im Hintergrund automatisch.

Wie gesagt, ohne entsprechendes SEO-Vorwissen werden dir RankMath oder vergleichbare Plugins nicht viel bringen (auch nicht, wenn die Ampel grün ist). Sofern du dich aber bereits mit dem Thema auseinandergesetzt hast und weißt, worauf es ankommt, kommst du an RankMath und Co. kaum vorbei.

#5-7 – Performance: Autoptimize, WP Optimze und EWW Image Optimizer

Warum es wichtig ist, dass deine Website schnell lädt, habe ich bereits in diesem Artikel erklärt. Und damit du nicht manuell deinen Code oder deine Datenbank optimieren musst, macht es auch hier Sinn, entsprechende Plugins zu verwenden.

Wenn du es dir leicht machen willst, kannst du hier WP Rocket verwenden (siehe Bonustipp). Das ist aus meiner Sicht das mit Abstand beste Plugin, um deine Ladezeit zu verbessern – allerdings gibt es hier keine kostenfreie Variante.

Daher lass uns zunächst anschauen, welche kostenlosen Plugins ich dir alternativ empfehlen kann.

1. Autoptimize

Dieses Plugin konzentriert sich hauptsächlich auf die Optimierung deiner Skripte und Stylesheets. Es kann:

• CSS und JavaScript komprimieren und zusammenfassen
• HTML optimieren
• Schriften optimieren
• Bilder verzögert laden

2. WP Optimize

• Caching
• Deine Datenbank bereinigen und optimieren
• Bilder komprimiert
• Dateien minimieren

3. EWWW Image Optimizer

Bilder sind oft die größten Dateien auf deiner Website und damit die häufigste Ursache für langsame Ladezeiten. Zum Glück gibt es auch hier ein paar Tricks, wie du deine Bilder möglichst „klein“ bekommst. Hier kommt der EWW Image Optimizer ins Spiel.

Das Plugin:

• Komprimiert Bilder beim Upload automatisch.
• Kann bereits hochgeladene Bilder nachträglich optimieren (auch gesammelt als so genannte Bulk-Komprimierung).
• Bietet die Option, Bilder in das moderne WebP-Format zu konvertieren.

Ich persönlich habe tatsächlich die besten Ergebnisse damit erzielt, diese drei Plugins zu kombinieren. Da sich die Plugins in den Funktionen teilweise überschneiden, pass bitte auf, dass du pro Funktion nur ein Plugin nutzt (z. B. Autoptimize für die Dateioptimierung und Lazy Loading, WP Optimize für die Datenbankoptimierung und Caching, EWWW für die Bildkomprimierung).

Das Gute ist, dass du gar nicht unbedingt im Detail wissen musst, was das alles genau ist. Probiere einfach in den Einstellungen ein bisschen herum (Backup vorher nicht vergessen!) und schau, wie sich das auf die Ladegeschwindigkeit auswirkt. Prüfe bitte auch immer, ob auf deiner Website noch alles aussieht und funktioniert, wie es soll.

Bonustipp #1 – Performance: WP Rocket

Wenn dir das zu kompliziert ist oder die Ergebnisse nicht zufriedenstellen sind, würde ich dir hier tatsächlich empfehlen, ein bisschen Geld in die Hand zu nehmen (ca. 55€ pro Jahr) und in WP Rocket* zu investieren.

Im Endeffekt deckt WP Rocket die gleichen Funktionen ab wie Autoptimize und WP Optimize kombiniert (sogar noch ein bisschen mehr). Dabei erzielt es erfahrungsgemäß aber die deutlich besseren Ergebnisse, ist einfacher zu konfigurieren und du brauchst keine Angst zu haben, dass sich die Plugins gegenseitig in die Quere kommen.

Plus: Wenn etwas nicht funktioniert oder es Probleme auf der Seite gibt, kannst du dich an den Support wenden, mit dem ich bisher ebenfalls ausschließlich positive Erfahrungen gemacht habe.

#8  & 9 – Cookie & DSGVO: Real Cookie Banner und OMGF

Vermutlich weißt du schon, dass es beim Betrieb einer Website auch rechtlich so einiges zu beachten gibt.

Vorab: Wenn du auf der sicheren Seite sein willst, führt hier kein Weg daran vorbei, dich anwaltlich beraten zu lassen, was genau du beachten solltest und wie du das am besten umsetzt.

Wenn du dir das nicht leisten kannst oder willst, gibt es hier zumindest einige Plugins, die dir helfen, die „bekanntesten“ Stolpersteine zu umgehen.

1. OMGF (Host Google Fonts Locally)

Die Sache mit den Google Fonts wird seit Jahren heiß diskutiert und es hat auch schon diverse Abmahnungen deswegen gegeben. Im Moment scheint sich die Lage hier wieder etwas entspannt zu haben – aber das ist natürlich keine Garantie, dass das so bleibt.

Wenn du auf deiner Website Google Fonts verwendet (wie z. B. OpenSans, Raleway, Literata oder unzählige andere), bist du auf jeden Fall auf der sichereren Seite, wenn du diese lokal einbindest, statt sie direkt von Google zu laden. Und um das möglichst einfach zu machen, gibt es OMGF.

Das Plugin übernimmt folgende Aufgaben:

• Automatische Erkennung: Findet (fast) alle Google Fonts, die dein Theme und deine Plugins verwenden.
• Lokales Hosting: Lädt die Schriftarten herunter und hostet sie direkt auf deinem Server (Fun Fact: Das führt unter anderem dazu, dass deine Website weniger externe Ressourcen laden muss und sich oft die Ladezeit verbessert).
• DSGVO-Konformität: Eliminiert die Verbindung zu Google (der Grund für die Abmahnungen etc.).

Das Schöne hier ist, dass das Plugin in den meisten Fällen direkt nach der Installation funktioniert. Du musst nur einmal deine Seite auf Google Fonts scannen lassen und der Rest passiert dann automatisch.

Sind auf deiner Website Google Fonts eingebunden, die sich nicht über den „Standard-Weg“ ersetzen lassen, weißt dich OMGF darauf hin und verrät dir meistens auch gleich mit, wie du das Problem lösen kannst.

2. Real Cookie Banner

Das nächste wichtige DSGVO-Thema ist die Einbindung von Cookies und externen Diensten. Auch das wird immer wieder heiß diskutiert, aber grundsätzlich gilt: Deine Website sollte keine Daten der Besucher:innen an externe Dienste weitergeben, ohne dass vorher eine entsprechende Zustimmung erfolgt ist.

Auch das klingt (und ist) super kompliziert. Dafür gibt es die sogenannten Cookie-Consent-Plugins. Die kümmern sich – einfach gespeochen – darum, dass standardmäßig alle externen Aufrufe geblockt und erst nach Zustimmung aktiviert werden.

Grundsätzlich ist das auch wieder ein Punkt, wo ich dir empfehle, ein bisschen Geld in die Hand zu nehmen (siehe Bonustipp). Aber lass uns erstmal die kostenlose Alternative Real Cookie Banner anschauen.

Das kann Real Cookie Banner:

• Cookie-Scanner: Erkennt automatisch Cookies und externen Services auf deiner Website).
• Basis-Consent-Management: Es wird ein Cookie-Banner angezeigt, in dem Besucher:innen auswählen können, welchen Services bzw. Service-Gruppen sie zustimmen.
• Vorgefertigte Vorlagen: Du kannst rechtlich geprüfte Vorlagen für dein Cookie-Banner verwenden (falls nötig kannst du die Texte aber auch anpassen).
• Anpassbares Design: Farben und Layout können an dein Brand-Design angepasst werden.
• Service-Templates: Für häufig genutzte Services gibt es Vorlagen, die du mit wenigen Klicks aktivieren kannst. Die sind in der kostenlosen Variante allerdings stark eingeschränkt.

Solange du auf deiner Website nur Dienste nutzt, für die es kostenlose Vorlagen gibt (oder du dir zutraust, andere Services wie z. B. Google Analytics manuell anzulegen), kannst du Real Cookie Banner super nutzen.

Bonustipp #2 – DSGVO: Borlabs Cookie

Wenn dir die kostenlosen Funktionen von Real Cookie Banner nicht ausreichen, kannst du entweder davon die kostenpflichtige Version kaufen oder du entscheidest dich für Borlabs Cookie*.

Dieses Plugin hat sich in den letzten Jahren besonders unter kleineren Unternehmen und Selbstständigen im deutschsprachigen Raum als eine der führenden Cookie-Management-Lösungen für WordPress etabliert.

Die Funktionen sind im Grunde die gleichen wie bei Real Cookie Banner beschrieben (nur ohne die kostenlosen Einschränkungen). Ich persönlich mag Borlabs an dieser Stelle einfach ein bisschen lieber – das kann aber auch daran liegen, dass ich seit Jahren hauptsächlich damit arbeite und mich damit einfach besser auskenne.

Das Plugin ist zwar wie gesagt kostenpflichtig (ab 49€ pro Jahr), das ist es für mich aber auch Wert, schon allein durch die regelmäßigen Updates, die neue rechtliche Anforderungen berücksichtigen.

#10 – (Datenschutzfreundliche) Analyse: Koko Analytics

Wenn du wissen möchtest, wie viele Besucher:innen deine Website hat, wo diese herkommen und welche Inhalte besonders beliebt sind, kommst du auf lange Sicht nicht an einem Analyse-Tool vorbei.

Da gibt es auf der einen Seite Tools wie Google Analytics oder Matomo, die deine Besucher:innen bis ins letzte Detail analysieren (bzw. es zumindest versuchen). An sich spricht da nichts dagegen und insbesondere, wenn deine Website für dich einer der Haupt-Marketing-Kanäle ist, macht das durchaus Sinn. Allerdings gibt es hier wieder datenschutzrechtlich einiges zu beachten.

Wenn dir für den Start ein paar Basis-Analysen ausreichen, empfehle ich dir das Plugin Koko Analytics.

Das macht Koko aus:

• Echtzeit-Statistiken: Du siehst in Echtzeit, wie viele Besucher gerade auf deiner Seite sind.
• Seitenaufrufe und Referrer-Tracking: Verfolge, welche Seiten und Beiträge am häufigsten besucht werden und woher deine Besucher kommen.
• „Privacy First“-Ansatz: Das Plugin kommt ohne externe Dienste und Cookies aus.

• Einfache Installation: Nach der Aktivierung läuft alles automatisch und schon nach ein paar Tagen siehst du erste Statistiken.

Mit Koko Analytics bekommst du einen guten Überblick über deine Besucherzahlen und Seitenaufrufe, ohne dich in komplexe Analysetools einarbeiten zu müssen. Ich persönlich nutze Koko sogar ergänzend zu Google Analytics, da dort auch Seitenaufrufe von Besucher:innen erfasst werden, die dem ausführlichen Tracking widersprochen haben.

#11 & 12 – Sonstige nützliche Plugins: WP Mail SMTP und Enable Media Replace

Langsam nähern wir uns dem Ende der Aufzählung meiner Lieblingsplugins. Es gibt aber noch zwei Plugins, die ich dir nicht vorenthalten möchte.

1. WP Mail SMTP: Zuverlässiger E-Mail-Versand

Ein häufiges Problem bei WordPress-Websites ist, dass E-Mails, die über deine Website gesendet werden (z. B. Kontaktformulare, System-Benachrichtigungen, aber auch Bestellbestätigungen bei Shops oder die Passwort-zurücksetzen-Mail) nicht zuverlässig ankommen.

Die technischen Hintergründe erspare ich dir an dieser Stelle mal, aber im Grunde liegt das daran, dass WordPress eben in erster Linie ein Website-Tool und kein E-Mail-Tool ist (shocking, I know).

Dieses Problem lässt sich am einfachsten lösen, indem du den E-Mail-Versand eben nicht über WordPress direkt laufen lässt, sondern über ein E-Mail-Tool. Und dafür gibt es WP Mail SMTP.

Das sind die Vorteile:

• Verschiedene Mailer-Optionen: Du kannst z. B. den SMTP-Server deines Hosters verbinden. Alternativ funktioniert aber auch der Versand über Gmail, Outlook (das habe ich bisher allerdings nur in der kostenpflichtigen Variante zum Funktionieren bekommen) oder andere Tools.
• E-Mail-Test-Tool: Prüfe, ob deine E-Mails korrekt versendet werden.
• Fehlerprotokoll: Falls doch mal was schief läuft, siehst du, welche E-Mail nicht versendet worden konnte und was das Problem war.

Die kostenlose Version ist für die meisten Websites völlig ausreichend. Sie stellt sicher, dass deine WordPress-E-Mails zuverlässig versendet werden und nicht im Spam-Ordner landen.

2. Enable Media Replace: Mediendateien aktualisieren

Zugegeben, von allen Plugins, die ich hier vorstelle, ist das hier wohl das, was am wenigsten wichtig ist. Nichtsdestotrotz handelt es sich bei Enable Media Replace um ein einfaches, aber sehr nützliches Plugin, das dir eine Funktion gibt, die in WordPress standardmäßig fehlt: Die Möglichkeit, bestehende Mediendateien direkt zu ersetzen.

Das kann es:

• Direktes Ersetzen: Tausche Bilder oder Dateien aus, ohne Links oder Einbettungen zu ändern.
• Zeitstempel-Optionen: Wähle, ob der ursprüngliche Zeitstempel beibehalten werden soll oder nicht.
• Dateiname & Speicherort: Wähle, ob du den ursprünglichen Dateinamen (und Speicherort) behalten möchtest oder nicht – je nachdem, was du hier wählst, wird die Ursprungsdatei einfach ersetzt oder das Plugin legt automatisch eine Weiterleitung an, so dass alle Links etc. weiterhin funktionieren.

Besonders praktisch ist das Plugin zum Beispiel dann, wenn du ein Bild auf mehreren verschiedenen Seiten eingebunden hast (die müsstest du sonst nämlich überall einzeln austauschen) oder auch wenn du auf Medien (z. B. eine PDF-Datei) aus E-Mails heraus verlinkt hast und möchtest, dass diese Links auch weiterhin funktionieren.