Neue WordPress-Seite launchen — Was du prüfen solltest

Eine neue WordPress-Seite ohne gründliche Vorab-Prüfung live zu schalten, ist wie ein Geschäft zu eröffnen, ohne zu prüfen, ob die Türen abschließen und die Beleuchtung funktioniert. Viele Probleme, die sich nach dem Launch zeigen, von Sicherheitslücken bis zu SEO-Fehlkonfigurationen, sind deutlich schwieriger und unangenehmer zu beheben, wenn echte Besucher und Suchmaschinen bereits da sind. Diese Checkliste deckt alles ab, was du vor dem Go-Live überprüfen musst, organisiert nach Kategorien. Ein einzelner InspectWP-Scan kann die meisten dieser Punkte automatisch überprüfen.

Pre-Launch WordPress-Sicherheits-Checkliste

Sicherheitslücken beim Launch sind besonders problematisch, weil automatisierte Bots nach neuen WordPress-Installationen scannen und Standardkonfigurationen innerhalb von Stunden ausnutzen können.

• SSL-Zertifikat installiert und verifiziert: Öffne deine Seite im Browser und bestätige, dass das Schloss-Symbol erscheint. Klicke darauf, um zu überprüfen, dass das Zertifikat gültig ist, nicht abgelaufen und für die korrekte Domain ausgestellt. Teste sowohl https://example.com als auch https://www.example.com (je nachdem, welche du verwendest).
• HTTP-zu-HTTPS-Weiterleitung funktioniert: Gib manuell http://deinedomain.de im Browser ein und bestätige, dass es mit einem 301-Redirect (permanent) zur HTTPS-Version weiterleitet, nicht mit einem 302 (temporär). Teste sowohl mit als auch ohne www-Variante.
• Security Headers konfiguriert: Überprüfe, dass folgende Header in deinen Server-Antworten vorhanden sind: HSTS (Strict-Transport-Security), X-Frame-Options, X-Content-Type-Options, Referrer-Policy und Permissions-Policy. Eine Content-Security-Policy ist beim Launch optional, sollte aber auf deiner Roadmap stehen. InspectWP prüft all diese automatisch.
• WordPress Core, alle Plugins und alle Themes vollständig aktualisiert: Auch wenn du alles erst vor einer Woche installiert hast, prüfe auf Updates. WordPress und Plugin-Entwickler veröffentlichen häufig Sicherheitspatches. Gehe zu Dashboard > Aktualisierungen und stelle sicher, dass alles aktuell ist.
• Standard-„admin"-Benutzername geändert: Wenn du das erste Benutzerkonto mit dem Benutzernamen „admin" erstellt hast, erstelle ein neues Administratorkonto mit einem anderen Benutzernamen, weise alle Inhalte neu zu und lösche das alte „admin"-Konto. Angreifer probieren diesen Benutzernamen bei Brute-Force-Angriffen zuerst.
• Starke, einzigartige Passwörter für alle Konten: Jedes Benutzerkonto sollte ein Passwort mit mindestens 16 Zeichen haben, zufällig generiert und nicht von einer anderen Seite wiederverwendet. Verwende einen Passwort-Manager. Aktiviere Zwei-Faktor-Authentifizierung (2FA) für alle Administrator-Konten.
• XML-RPC deaktiviert, wenn nicht benötigt: Sofern du nicht Jetpack oder die WordPress-Mobile-App verwendest, deaktiviere XML-RPC komplett. Es ist ein häufiges Ziel für Brute-Force-Amplification-Angriffe. Blockiere es auf Server-Ebene oder mit einem Sicherheitsplugin.
• REST-API-Benutzer-Endpunkt eingeschränkt: Teste, indem du deinedomain.de/wp-json/wp/v2/users im Browser aufrufst. Wenn eine Liste von Benutzernamen zurückgegeben wird, musst du diesen Endpunkt auf authentifizierte Nutzer beschränken.
• Dateibearbeitung im Admin deaktiviert: Füge define('DISALLOW_FILE_EDIT', true); in deine wp-config.php ein. Das verhindert, dass jemand (einschließlich Angreifer mit Admin-Zugang) Theme- oder Plugin-Dateien über das WordPress-Dashboard bearbeiten kann.
• debug.log nicht öffentlich zugänglich: Navigiere zu deinedomain.de/wp-content/debug.log im Browser. Wenn du Log-Ausgaben siehst, lösche die Datei oder blockiere den Zugriff über deine Server-Konfiguration. Auf Produktivsystemen setze WP_DEBUG auf false und WP_DEBUG_LOG auf false in deiner wp-config.php.
• Unnötige Standardinhalte entfernt: Lösche den „Hallo Welt"-Beispielbeitrag, die Beispielseite und den Beispielkommentar. Entferne ungenutzte Themes (behalte nur dein aktives Theme und ein Standard-Theme als Fallback). Entferne alle Plugins, die du zum Testen installiert hast, aber in der Produktion nicht brauchst.
• Backup-Lösung konfiguriert und getestet: Richte automatische Backups vor dem Launch ein, nicht danach. Konfiguriere ein Plugin wie UpdraftPlus für Backups an einen externen Speicherort (Amazon S3, Google Drive, Dropbox). Führe ein Test-Backup durch und verifiziere, dass du daraus wiederherstellen kannst.

Pre-Launch WordPress-SEO-Konfiguration

SEO-Fehlkonfigurationen beim Launch können langfristige Folgen haben. Wenn Suchmaschinen deine Seite in den ersten Wochen falsch indexieren, kann es Monate dauern, das zu korrigieren.

• XML-Sitemap erstellt und eingereicht: Installiere ein SEO-Plugin (Yoast SEO, Rank Math oder SEOPress) und bestätige, dass es eine Sitemap generiert. Reiche die Sitemap-URL in der Google Search Console ein. Wenn deine Seite noch nicht in der Search Console ist, füge sie jetzt hinzu und verifiziere die Inhaberschaft.
• robots.txt überprüft: Besuche deinedomain.de/robots.txt und verifiziere, dass sie keine wichtigen Inhalte blockiert. Ein häufiger Fehler ist, Staging-Umgebung-Regeln beizubehalten, die alles Crawlen blockieren. Deine robots.txt sollte einen Verweis auf deine Sitemap enthalten.
• „Suchmaschinen davon abhalten" ist DEAKTIVIERT: Gehe zu Einstellungen > Lesen in deinem WordPress-Admin. Stelle sicher, dass „Suchmaschinen davon abhalten, diese Website zu indexieren" nicht aktiviert ist. Diese Checkbox wird häufig während der Entwicklung aktiviert und beim Launch vergessen. Wenn aktiviert, fügt WordPress ein noindex-Meta-Tag zu allen Seiten hinzu und blockiert Suchmaschinen über robots.txt.
• Meta Descriptions für alle wichtigen Seiten gesetzt: Schreibe mindestens für deine Startseite, Über-uns-Seite, Service-/Produktseiten und andere hochpriorisierte Seiten einzigartige Meta Descriptions. Das sind die Snippets, die in den Suchergebnissen erscheinen und direkt die Klickrate beeinflussen.
• Ein H1-Tag pro Seite mit korrekter Überschriften-Hierarchie: Prüfe deine Startseite und alle Hauptseiten. Stelle sicher, dass jede Seite genau eine H1 hat (typischerweise der Seitentitel) und dass Überschriften der korrekten Hierarchie folgen (H1 > H2 > H3, kein Überspringen). Manche Themes und Page Builder erzeugen Überschriften-Probleme, die im visuellen Editor nicht offensichtlich sind.
• Canonical Tags auf allen Seiten vorhanden: Verifiziere, dass jede Seite ein <link rel="canonical">-Tag enthält, das auf die eigene URL zeigt. Die meisten SEO-Plugins erledigen das automatisch, aber prüfe ein paar Seiten zur Bestätigung. Falsche Canonical Tags können dazu führen, dass Suchmaschinen deine Seiten komplett ignorieren.
• JSON-LD strukturierte Daten hinzugefügt: Füge mindestens Organization-Schema (für dein Unternehmen oder deine Marke) und Article-Schema (für Blogbeiträge) hinzu. Breadcrumb-Schema ist ebenfalls wertvoll für navigationsintensive Seiten. Teste deine strukturierten Daten mit Googles Rich Results Test Tool.
• Open Graph und Twitter Card Tags konfiguriert: Teile einen Link zu deiner Seite auf Facebook und Twitter (X) und verifiziere, dass die Vorschau korrekt aussieht: richtiger Titel, Beschreibung und Beitragsbild. Verwende Facebooks Sharing Debugger und Twitters Card Validator zum Testen.
• Permalinks auf SEO-freundliche Struktur gesetzt: Gehe zu Einstellungen > Permalinks und wähle „Beitragsname" (die /%postname%/-Struktur). Vermeide datumsbasierte oder numerische Strukturen. Wenn du diese Einstellung nach der Veröffentlichung von Inhalten änderst, richte 301-Weiterleitungen von den alten URLs zu den neuen ein.
• Keine versehentlichen noindex-Tags: Prüfe den HTML-Quelltext deiner wichtigen Seiten auf <meta name="robots" content="noindex">. Manche SEO-Plugins erlauben das Setzen von noindex auf einzelnen Seiten, und das wird manchmal versehentlich bei der Inhaltserstellung angewendet.

Pre-Launch WordPress-Performance-Optimierung

Der erste Eindruck zählt. Wenn Besucher beim Launch auf eine langsame Seite stoßen, werden sie die Seite verlassen und möglicherweise nicht zurückkehren.

• Caching-Plugin installiert und konfiguriert: Page-Caching ist die wirkungsvollste Performance-Optimierung. Installiere WP Rocket, LiteSpeed Cache oder WP Super Cache und verifiziere, dass es funktioniert, indem du die Antwort-Header oder den Seitenquelltext auf Cache-Indikatoren prüfst. Detaillierte Setup-Anleitungen findest du im Performance-Guide (KB-58).
• Gzip- oder Brotli-Komprimierung aktiviert: Prüfe deine Antwort-Header auf Content-Encoding: gzip oder Content-Encoding: br. Die meisten Caching-Plugins aktivieren Komprimierung automatisch. Falls nicht, konfiguriere es auf Server-Ebene.
• Bilder vor dem Launch optimiert: Führe alle hochgeladenen Bilder durch ein Optimierungs-Plugin (ShortPixel, Imagify, Smush). Konvertiere wo möglich ins WebP-Format. Aktiviere Lazy Loading für Bilder unterhalb des sichtbaren Bereichs. Verifiziere, dass keine überdimensionierten Bilder ausgeliefert werden, indem du die Bilddimensionen in den Browser-Entwicklertools prüfst.
• HTTP/2 aktiviert: Dies ist normalerweise automatisch, wenn HTTPS aktiv ist. Verifiziere es durch Prüfung der Protokoll-Spalte im Netzwerk-Tab deines Browsers oder durch einen InspectWP-Scan. Wenn du noch auf HTTP/1.1 bist, kontaktiere deinen Hosting-Anbieter.
• Keine unnötigen Plugins installiert: Prüfe deine Plugin-Liste ein letztes Mal. Entferne alle Plugins, die für Entwicklung, Tests oder Evaluierung installiert wurden. Jedes unnötige Plugin erhöht die Ladezeit, vergrößert die Angriffsfläche und erzeugt Wartungsaufwand.
• Core Web Vitals bestanden: Teste deine Hauptseiten mit Google PageSpeed Insights. Ziel: Largest Contentful Paint (LCP) unter 2,5 Sekunden, Interaction to Next Paint (INP) unter 200 ms und Cumulative Layout Shift (CLS) unter 0,1. Behebe große Probleme vor dem Launch.
• CSS und JavaScript minifiziert: Aktiviere Minifizierung in deinem Caching-Plugin und verifiziere, dass deine Seite weiterhin korrekt funktioniert. Teste Formulare, Slider, Akkordeons und alle interaktiven Elemente, um sicherzustellen, dass die Minifizierung keine JavaScript-Funktionalität beschädigt hat.

Pre-Launch DSGVO- und Datenschutz-Konformität

Datenschutz von Anfang an richtig zu haben, ist entscheidend. Nachträgliche Korrekturen nach einer Beschwerde oder einem Bußgeld sind deutlich teurer und stressiger, als alles von Beginn an korrekt einzurichten.

• Cookie-Consent-Banner installiert und korrekt konfiguriert: Installiere ein Consent-Management-Plugin (Complianz, Real Cookie Banner oder Cookiebot). Verifiziere, dass nicht-essenzielle Cookies und Skripte tatsächlich vor der Einwilligung blockiert werden. Teste, indem du deine Seite im Inkognito-Fenster öffnest, alle Cookies ablehnst und den Netzwerk-Tab des Browsers auf Drittanbieter-Anfragen prüfst.
• Google Fonts lokal gehostet: Öffne den Netzwerk-Tab deines Browsers und suche nach Anfragen an fonts.googleapis.com oder fonts.gstatic.com. Wenn welche erscheinen, wechsle zu lokal gehosteten Schriften. Plugins wie OMGF oder Local Google Fonts erledigen das automatisch.
• Gravatar deaktiviert oder auf einwilligungsbasiertes Laden umgestellt: Prüfe Einstellungen > Diskussion. Deaktiviere Gravatar entweder komplett oder verwende ein Plugin, das einen lokalen Platzhalter zeigt und Gravatar-Bilder nur nach Einwilligung lädt.
• Datenschutzerklärung veröffentlicht und verlinkt: Erstelle eine umfassende Datenschutzerklärung, die alle Datenverarbeitungen auf deiner Seite abdeckt. Verlinke sie aus dem Footer jeder Seite und aus allen Formularen, die personenbezogene Daten erheben. Setze sie als Datenschutz-Seite unter Einstellungen > Datenschutz.
• Impressum veröffentlicht (Deutschland/Österreich): Wenn deine Seite auf deutsche oder österreichische Besucher abzielt, musst du eine Impressum-Seite mit deinem vollständigen rechtlichen Namen, Postadresse, E-Mail und Telefonnummer haben. Mache sie von jeder Seite aus über einen Footer- oder Header-Link zugänglich.
• Keine externen Ressourcen, die ohne Einwilligung laden: Prüfe neben Google Fonts und Gravatar auch CDN-gehostetes jQuery, Font Awesome, Google Analytics, Google Maps, Facebook-Pixel, eingebettete YouTube-Videos und alle anderen externen Dienste. Jeder einzelne braucht entweder einen Einwilligungsmechanismus oder eine lokale Hosting-Alternative.
• Kontaktformulare enthalten Datenschutzhinweise: Jedes Formular, das personenbezogene Daten erhebt, sollte eine nicht vorangekreuzte Checkbox mit einem Link zu deiner Datenschutzerklärung enthalten. Konfiguriere dein Formular-Plugin so, dass es ein Feld für die Datenverarbeitungseinwilligung enthält.

Pre-Launch Funktionalitäts-Tests

Technische Perfektion bedeutet nichts, wenn grundlegende Funktionen für deine Besucher nicht funktionieren.

• Alle internen Links funktionieren: Klicke dich systematisch durch deine Seite oder verwende ein Tool wie Broken Link Checker, um 404-Fehler zu finden. Achte besonders auf Navigationsmenüs, Footer-Links und In-Content-Links. Behebe oder leite defekte URLs weiter.
• Kontaktformulare senden E-Mails korrekt: Sende Testeinreichungen über jedes Formular auf deiner Seite. Prüfe, dass Bestätigungs-E-Mails im vorgesehenen Postfach ankommen (nicht im Spam-Ordner). Teste mit mehreren E-Mail-Anbietern (Gmail, Outlook, Firmen-E-Mail). Wenn Formular-E-Mails nicht ankommen, installiere WP Mail SMTP, um E-Mails über einen richtigen SMTP-Server statt PHP mail zu versenden.
• Mobiles responsives Design auf echten Geräten verifiziert: Verlasse dich nicht ausschließlich auf Browser-Entwicklertools für mobile Tests. Teste auf echten Telefonen und Tablets, wenn möglich. Prüfe, ob Text ohne Zoomen lesbar ist, Buttons groß genug zum Tippen sind und kein horizontales Scrollen auftritt. Teste sowohl Hoch- als auch Querformat.
• Cross-Browser-Testing abgeschlossen: Teste deine Seite mindestens in Chrome, Firefox, Safari und Edge. Achte auf Schriften, Layout, Formulare und JavaScript-Funktionalität. Wenn deine Zielgruppe Firmenkunden einschließt, erwäge das Testen älterer Browser-Versionen.
• Backup-Lösung konfiguriert und erstes Backup durchgeführt: Starte nicht ohne funktionierendes Backup. Konfiguriere automatische tägliche Backups an einen externen Speicherort. Führe das erste Backup manuell durch und verifiziere, dass die Backup-Datei vollständig und herunterladbar ist. Teste die Wiederherstellung in einer Staging-Umgebung, wenn möglich.
• Analytics konfiguriert mit korrekter Einwilligung: Richte Google Analytics, Matomo oder dein bevorzugtes Analytics-Tool hinter deinem Cookie-Consent-Mechanismus ein. Verifiziere, dass das Tracking erst nach Einwilligung des Besuchers aktiviert wird. Prüfe, ob Seitenaufrufe korrekt erfasst werden, indem du deine Seite besuchst und das Echtzeit-Analytics-Dashboard prüfst.
• 404-Fehlerseite angepasst: Die Standard-WordPress-404-Seite ist generisch und wenig hilfreich. Erstelle eine eigene 404-Seite mit deiner Seitennavigation, einer Suchleiste und Links zu deinen wichtigsten Inhalten. Das hilft Besuchern, das Gesuchte zu finden, statt die Seite zu verlassen.
• E-Mail-Benachrichtigungen konfiguriert: Verifiziere, dass die WordPress-Admin-E-Mail korrekt ist (Einstellungen > Allgemein). Teste, dass du Benachrichtigungen für Formulareinreichungen, Benutzerregistrierungen, Update-Hinweise und Sicherheitsplugin-Warnungen erhältst. Diese Benachrichtigungen sind dein Frühwarnsystem für Probleme.

Führe einen InspectWP-Scan vor dem Go-Live durch

Bevor du die Seite live schaltest, führe einen umfassenden InspectWP-Scan durch. Er prüft SSL-Konfiguration, HTTP-Sicherheitsheader, WordPress-Version und -Konfiguration, installierte Plugins, SEO-Meta-Tags und Überschriftenstruktur, Performance-Metriken einschließlich Komprimierung und HTTP-Version, DSGVO-relevante externe Ressourcen und vieles mehr. Alles in einem einzigen Scan, der weniger als eine Minute dauert. Das gibt dir eine vollständige Gesundheitsprüfung deiner Seite, bevor echte Besucher eintreffen, sodass du verbleibende Probleme beheben kannst, solange der Einsatz noch gering ist. Richte nach dem Launch automatische Scans ein, um deine Seite kontinuierlich zu überwachen und Benachrichtigungen zu erhalten, wenn sich etwas ändert.