InspectWP Logo
Best Practice

Neue WordPress-Seite launchen — Was du prüfen solltest

8. Februar 2026

Eine neue WordPress-Seite ohne grundliche Vorab-Prufung live zu schalten, ist wie ein Geschaft zu eroffnen, ohne zu prufen, ob die Turen abschliessen und die Beleuchtung funktioniert. Viele Probleme, die sich nach dem Launch zeigen, von Sicherheitslucken bis zu SEO-Fehlkonfigurationen, sind deutlich schwieriger und unangenehmer zu beheben, wenn echte Besucher und Suchmaschinen bereits da sind. Diese Checkliste deckt alles ab, was du vor dem Go-Live uberprufen musst, organisiert nach Kategorien. Ein einzelner InspectWP-Scan kann die meisten dieser Punkte automatisch uberprufen.

Pre-Launch WordPress-Sicherheits-Checkliste

Sicherheitslucken beim Launch sind besonders problematisch, weil automatisierte Bots nach neuen WordPress-Installationen scannen und Standardkonfigurationen innerhalb von Stunden ausnutzen konnen.

  • SSL-Zertifikat installiert und verifiziert: Offne deine Seite im Browser und bestatige, dass das Schloss-Symbol erscheint. Klicke darauf, um zu uberprufen, dass das Zertifikat gultig ist, nicht abgelaufen und fur die korrekte Domain ausgestellt. Teste sowohl https://example.com als auch https://www.example.com (je nachdem, welche du verwendest).
  • HTTP-zu-HTTPS-Weiterleitung funktioniert: Gib manuell http://deinedomain.de im Browser ein und bestatige, dass es mit einem 301-Redirect (permanent) zur HTTPS-Version weiterleitet, nicht mit einem 302 (temporar). Teste sowohl mit als auch ohne www-Variante.
  • Security Headers konfiguriert: Uberprufe, dass folgende Header in deinen Server-Antworten vorhanden sind: HSTS (Strict-Transport-Security), X-Frame-Options, X-Content-Type-Options, Referrer-Policy und Permissions-Policy. Eine Content-Security-Policy ist beim Launch optional, sollte aber auf deiner Roadmap stehen. InspectWP pruft all diese automatisch.
  • WordPress Core, alle Plugins und alle Themes vollstandig aktualisiert: Auch wenn du alles erst vor einer Woche installiert hast, prufe auf Updates. WordPress und Plugin-Entwickler veroffentlichen haufig Sicherheitspatches. Gehe zu Dashboard > Aktualisierungen und stelle sicher, dass alles aktuell ist.
  • Standard-"admin"-Benutzername geandert: Wenn du das erste Benutzerkonto mit dem Benutzernamen "admin" erstellt hast, erstelle ein neues Administratorkonto mit einem anderen Benutzernamen, weise alle Inhalte neu zu und losche das alte "admin"-Konto. Angreifer probieren diesen Benutzernamen bei Brute-Force-Angriffen zuerst.
  • Starke, einzigartige Passworter fur alle Konten: Jedes Benutzerkonto sollte ein Passwort mit mindestens 16 Zeichen haben, zufallig generiert und nicht von einer anderen Seite wiederverwendet. Verwende einen Passwort-Manager. Aktiviere Zwei-Faktor-Authentifizierung (2FA) fur alle Administrator-Konten.
  • XML-RPC deaktiviert, wenn nicht benotigt: Sofern du nicht Jetpack oder die WordPress-Mobile-App verwendest, deaktiviere XML-RPC komplett. Es ist ein haufiges Ziel fur Brute-Force-Amplification-Angriffe. Blockiere es auf Server-Ebene oder mit einem Sicherheitsplugin.
  • REST-API-Benutzer-Endpunkt eingeschrankt: Teste, indem du deinedomain.de/wp-json/wp/v2/users im Browser aufrufst. Wenn eine Liste von Benutzernamen zuruckgegeben wird, musst du diesen Endpunkt auf authentifizierte Nutzer beschranken.
  • Dateibearbeitung im Admin deaktiviert: Fuge define('DISALLOW_FILE_EDIT', true); in deine wp-config.php ein. Das verhindert, dass jemand (einschliesslich Angreifer mit Admin-Zugang) Theme- oder Plugin-Dateien uber das WordPress-Dashboard bearbeiten kann.
  • debug.log nicht offentlich zuganglich: Navigiere zu deinedomain.de/wp-content/debug.log im Browser. Wenn du Log-Ausgaben siehst, losche die Datei oder blockiere den Zugriff uber deine Server-Konfiguration. Auf Produktivsystemen setze WP_DEBUG auf false und WP_DEBUG_LOG auf false in deiner wp-config.php.
  • Unnotige Standardinhalte entfernt: Losche den "Hallo Welt"-Beispielbeitrag, die Beispielseite und den Beispielkommentar. Entferne ungenutzte Themes (behalte nur dein aktives Theme und ein Standard-Theme als Fallback). Entferne alle Plugins, die du zum Testen installiert hast, aber in der Produktion nicht brauchst.
  • Backup-Losung konfiguriert und getestet: Richte automatische Backups vor dem Launch ein, nicht danach. Konfiguriere ein Plugin wie UpdraftPlus fur Backups an einen externen Speicherort (Amazon S3, Google Drive, Dropbox). Fuhre ein Test-Backup durch und verifiziere, dass du daraus wiederherstellen kannst.

Pre-Launch WordPress-SEO-Konfiguration

SEO-Fehlkonfigurationen beim Launch konnen langfristige Folgen haben. Wenn Suchmaschinen deine Seite in den ersten Wochen falsch indexieren, kann es Monate dauern, das zu korrigieren.

  • XML-Sitemap erstellt und eingereicht: Installiere ein SEO-Plugin (Yoast SEO, Rank Math oder SEOPress) und bestatige, dass es eine Sitemap generiert. Reiche die Sitemap-URL in der Google Search Console ein. Wenn deine Seite noch nicht in der Search Console ist, fuge sie jetzt hinzu und verifiziere die Inhaberschaft.
  • robots.txt uberpruft: Besuche deinedomain.de/robots.txt und verifiziere, dass sie keine wichtigen Inhalte blockiert. Ein haufiger Fehler ist, Staging-Umgebung-Regeln beizubehalten, die alles Crawlen blockieren. Deine robots.txt sollte einen Verweis auf deine Sitemap enthalten.
  • "Suchmaschinen davon abhalten" ist DEAKTIVIERT: Gehe zu Einstellungen > Lesen in deinem WordPress-Admin. Stelle sicher, dass "Suchmaschinen davon abhalten, diese Website zu indexieren" nicht aktiviert ist. Diese Checkbox wird haufig wahrend der Entwicklung aktiviert und beim Launch vergessen. Wenn aktiviert, fugt WordPress ein noindex-Meta-Tag zu allen Seiten hinzu und blockiert Suchmaschinen uber robots.txt.
  • Meta Descriptions fur alle wichtigen Seiten gesetzt: Schreibe mindestens fur deine Startseite, Uber-uns-Seite, Service-/Produktseiten und andere hochpriorisierte Seiten einzigartige Meta Descriptions. Das sind die Snippets, die in den Suchergebnissen erscheinen und direkt die Klickrate beeinflussen.
  • Ein H1-Tag pro Seite mit korrekter Uberschriften-Hierarchie: Prufe deine Startseite und alle Hauptseiten. Stelle sicher, dass jede Seite genau eine H1 hat (typischerweise der Seitentitel) und dass Uberschriften der korrekten Hierarchie folgen (H1 > H2 > H3, kein Uberspringen). Manche Themes und Page Builder erzeugen Uberschriften-Probleme, die im visuellen Editor nicht offensichtlich sind.
  • Canonical Tags auf allen Seiten vorhanden: Verifiziere, dass jede Seite ein <link rel="canonical">-Tag enthalt, das auf die eigene URL zeigt. Die meisten SEO-Plugins erledigen das automatisch, aber prufe ein paar Seiten zur Bestatigung. Falsche Canonical Tags konnen dazu fuhren, dass Suchmaschinen deine Seiten komplett ignorieren.
  • JSON-LD strukturierte Daten hinzugefugt: Fuge mindestens Organization-Schema (fur dein Unternehmen oder deine Marke) und Article-Schema (fur Blogbeitrage) hinzu. Breadcrumb-Schema ist ebenfalls wertvoll fur navigationsintensive Seiten. Teste deine strukturierten Daten mit Googles Rich Results Test Tool.
  • Open Graph und Twitter Card Tags konfiguriert: Teile einen Link zu deiner Seite auf Facebook und Twitter (X) und verifiziere, dass die Vorschau korrekt aussieht: richtiger Titel, Beschreibung und Beitragsbild. Verwende Facebooks Sharing Debugger und Twitters Card Validator zum Testen.
  • Permalinks auf SEO-freundliche Struktur gesetzt: Gehe zu Einstellungen > Permalinks und wahle "Beitragsname" (die /%postname%/-Struktur). Vermeide datumsbasierte oder numerische Strukturen. Wenn du diese Einstellung nach der Veroffentlichung von Inhalten anderst, richte 301-Weiterleitungen von den alten URLs zu den neuen ein.
  • Keine versehentlichen noindex-Tags: Prufe den HTML-Quelltext deiner wichtigen Seiten auf <meta name="robots" content="noindex">. Manche SEO-Plugins erlauben das Setzen von noindex auf einzelnen Seiten, und das wird manchmal versehentlich bei der Inhaltserstellung angewendet.

Pre-Launch WordPress-Performance-Optimierung

Der erste Eindruck zahlt. Wenn Besucher beim Launch auf eine langsame Seite stossen, werden sie die Seite verlassen und moglicherweise nicht zuruckkehren.

  • Caching-Plugin installiert und konfiguriert: Page-Caching ist die wirkungsvollste Performance-Optimierung. Installiere WP Rocket, LiteSpeed Cache oder WP Super Cache und verifiziere, dass es funktioniert, indem du die Antwort-Header oder den Seitenquelltext auf Cache-Indikatoren pruft. Detaillierte Setup-Anleitungen findest du im Performance-Guide (KB-58).
  • Gzip- oder Brotli-Komprimierung aktiviert: Prufe deine Antwort-Header auf Content-Encoding: gzip oder Content-Encoding: br. Die meisten Caching-Plugins aktivieren Komprimierung automatisch. Falls nicht, konfiguriere es auf Server-Ebene.
  • Bilder vor dem Launch optimiert: Fuhre alle hochgeladenen Bilder durch ein Optimierungs-Plugin (ShortPixel, Imagify, Smush). Konvertiere wo moglich ins WebP-Format. Aktiviere Lazy Loading fur Bilder unterhalb des sichtbaren Bereichs. Verifiziere, dass keine uberdimensionierten Bilder ausgeliefert werden, indem du die Bilddimensionen in den Browser-Entwicklertools pruft.
  • HTTP/2 aktiviert: Dies ist normalerweise automatisch, wenn HTTPS aktiv ist. Verifiziere es durch Prufung der Protokoll-Spalte im Netzwerk-Tab deines Browsers oder durch einen InspectWP-Scan. Wenn du noch auf HTTP/1.1 bist, kontaktiere deinen Hosting-Anbieter.
  • Keine unnotigen Plugins installiert: Prufe deine Plugin-Liste ein letztes Mal. Entferne alle Plugins, die fur Entwicklung, Tests oder Evaluierung installiert wurden. Jedes unnotige Plugin erhoht die Ladezeit, vergroessert die Angriffsflache und erzeugt Wartungsaufwand.
  • Core Web Vitals bestanden: Teste deine Hauptseiten mit Google PageSpeed Insights. Ziel: Largest Contentful Paint (LCP) unter 2,5 Sekunden, Interaction to Next Paint (INP) unter 200ms und Cumulative Layout Shift (CLS) unter 0,1. Behebe grosse Probleme vor dem Launch.
  • CSS und JavaScript minifiziert: Aktiviere Minifizierung in deinem Caching-Plugin und verifiziere, dass deine Seite weiterhin korrekt funktioniert. Teste Formulare, Slider, Akkordeons und alle interaktiven Elemente, um sicherzustellen, dass die Minifizierung keine JavaScript-Funktionalitat beschadigt hat.

Pre-Launch DSGVO- und Datenschutz-Konformitat

Datenschutz von Anfang an richtig zu haben, ist entscheidend. Nachtraeglich Korrekturen nach einer Beschwerde oder einem Bussgeld sind deutlich teurer und stressiger, als alles von Beginn an korrekt einzurichten.

  • Cookie-Consent-Banner installiert und korrekt konfiguriert: Installiere ein Consent-Management-Plugin (Complianz, Real Cookie Banner oder Cookiebot). Verifiziere, dass nicht-essenzielle Cookies und Skripte tatsachlich vor der Einwilligung blockiert werden. Teste, indem du deine Seite im Inkognito-Fenster offnest, alle Cookies ablehnst und den Netzwerk-Tab des Browsers auf Drittanbieter-Anfragen pruft.
  • Google Fonts lokal gehostet: Offne den Netzwerk-Tab deines Browsers und suche nach Anfragen an fonts.googleapis.com oder fonts.gstatic.com. Wenn welche erscheinen, wechsle zu lokal gehosteten Schriften. Plugins wie OMGF oder Local Google Fonts erledigen das automatisch.
  • Gravatar deaktiviert oder auf einwilligungsbasiertes Laden umgestellt: Prufe Einstellungen > Diskussion. Deaktiviere Gravatar entweder komplett oder verwende ein Plugin, das einen lokalen Platzhalter zeigt und Gravatar-Bilder nur nach Einwilligung ladt.
  • Datenschutzerklarung veroffentlicht und verlinkt: Erstelle eine umfassende Datenschutzerklarung, die alle Datenverarbeitungen auf deiner Seite abdeckt. Verlinke sie aus dem Footer jeder Seite und aus allen Formularen, die personenbezogene Daten erheben. Setze sie als Datenschutz-Seite unter Einstellungen > Datenschutz.
  • Impressum veroffentlicht (Deutschland/Osterreich): Wenn deine Seite auf deutsche oder osterreichische Besucher abzielt, musst du eine Impressum-Seite mit deinem vollstandigen rechtlichen Namen, Postadresse, E-Mail und Telefonnummer haben. Mache sie von jeder Seite aus uber einen Footer- oder Header-Link zuganglich.
  • Keine externen Ressourcen, die ohne Einwilligung laden: Prufe neben Google Fonts und Gravatar auch CDN-gehostetes jQuery, Font Awesome, Google Analytics, Google Maps, Facebook-Pixel, eingebettete YouTube-Videos und alle anderen externen Dienste. Jeder einzelne braucht entweder einen Einwilligungsmechanismus oder eine lokale Hosting-Alternative.
  • Kontaktformulare enthalten Datenschutzhinweise: Jedes Formular, das personenbezogene Daten erhebt, sollte eine nicht vorangekreuzte Checkbox mit einem Link zu deiner Datenschutzerklarung enthalten. Konfiguriere dein Formular-Plugin so, dass es ein Feld fur die Datenverarbeitungseinwilligung enthalt.

Pre-Launch Funktionalitats-Tests

Technische Perfektion bedeutet nichts, wenn grundlegende Funktionen fur deine Besucher nicht funktionieren.

  • Alle internen Links funktionieren: Klicke dich systematisch durch deine Seite oder verwende ein Tool wie Broken Link Checker, um 404-Fehler zu finden. Achte besonders auf Navigationsmenues, Footer-Links und In-Content-Links. Behebe oder leite defekte URLs weiter.
  • Kontaktformulare senden E-Mails korrekt: Sende Testeinreichungen uber jedes Formular auf deiner Seite. Prufe, dass Bestatigungs-E-Mails im vorgesehenen Postfach ankommen (nicht im Spam-Ordner). Teste mit mehreren E-Mail-Anbietern (Gmail, Outlook, Firmen-E-Mail). Wenn Formular-E-Mails nicht ankommen, installiere WP Mail SMTP, um E-Mails uber einen richtigen SMTP-Server statt PHP mail zu versenden.
  • Mobiles responsives Design auf echten Geraten verifiziert: Verlasse dich nicht ausschliesslich auf Browser-Entwicklertools fur mobile Tests. Teste auf echten Telefonen und Tablets, wenn moglich. Prufe, ob Text ohne Zoomen lesbar ist, Buttons gross genug zum Tippen sind und kein horizontales Scrollen auftritt. Teste sowohl Hoch- als auch Querformat.
  • Cross-Browser-Testing abgeschlossen: Teste deine Seite mindestens in Chrome, Firefox, Safari und Edge. Achte auf Schriften, Layout, Formulare und JavaScript-Funktionalitat. Wenn deine Zielgruppe Firmenkunden einschliesst, erwage das Testen alterer Browser-Versionen.
  • Backup-Losung konfiguriert und erstes Backup durchgefuhrt: Starte nicht ohne funktionierendes Backup. Konfiguriere automatische tagliche Backups an einen externen Speicherort. Fuhre das erste Backup manuell durch und verifiziere, dass die Backup-Datei vollstandig und herunterladbar ist. Teste die Wiederherstellung in einer Staging-Umgebung, wenn moglich.
  • Analytics konfiguriert mit korrekter Einwilligung: Richte Google Analytics, Matomo oder dein bevorzugtes Analytics-Tool hinter deinem Cookie-Consent-Mechanismus ein. Verifiziere, dass das Tracking erst nach Einwilligung des Besuchers aktiviert wird. Prufe, ob Seitenaufrufe korrekt erfasst werden, indem du deine Seite besuchst und das Echtzeit-Analytics-Dashboard pruft.
  • 404-Fehlerseite angepasst: Die Standard-WordPress-404-Seite ist generisch und wenig hilfreich. Erstelle eine eigene 404-Seite mit deiner Seitennavigation, einer Suchleiste und Links zu deinen wichtigsten Inhalten. Das hilft Besuchern, das Gesuchte zu finden, statt die Seite zu verlassen.
  • E-Mail-Benachrichtigungen konfiguriert: Verifiziere, dass die WordPress-Admin-E-Mail korrekt ist (Einstellungen > Allgemein). Teste, dass du Benachrichtigungen fur Formulareinreichungen, Benutzerregistrierungen, Update-Hinweise und Sicherheitsplugin-Warnungen erhaltst. Diese Benachrichtigungen sind dein Fruhwarnsystem fur Probleme.

Fuhre einen InspectWP-Scan vor dem Go-Live durch

Bevor du die Seite live schaltest, fuhre einen umfassenden InspectWP-Scan durch. Er pruft SSL-Konfiguration, HTTP-Sicherheitsheader, WordPress-Version und -Konfiguration, installierte Plugins, SEO-Meta-Tags und Uberschriftenstruktur, Performance-Metriken einschliesslich Komprimierung und HTTP-Version, DSGVO-relevante externe Ressourcen und vieles mehr. Alles in einem einzigen Scan, der weniger als eine Minute dauert. Das gibt dir eine vollstandige Gesundheitsprufung deiner Seite, bevor echte Besucher eintreffen, sodass du verbleibende Probleme beheben kannst, solange der Einsatz noch gering ist. Richte nach dem Launch automatische Scans ein, um deine Seite kontinuierlich zu uberwachen und Benachrichtigungen zu erhalten, wenn sich etwas andert.

Vorheriger Artikel

WordPress Performance-Optimierung

Verwandte Artikel

WordPress Performance-Optimierung

WordPress SEO-Checkliste

WordPress DSGVO-Konformitäts-Checkliste

Alle Artikel anzeigen

Prüfe jetzt deine WordPress-Seite

InspectWP analysiert deine WordPress-Seite auf Sicherheitslücken, SEO-Probleme, DSGVO-Konformität und Performance — kostenlos.

Seite kostenlos analysieren