WordPress-Plugins gibt es wie Sand am Meer. Doch welche davon brauchst du wirklich? Welche bringen dir Sicherheit, Geschwindigkeit und rechtliche Absicherung – ohne deine Website unnötig aufzublähen oder sogar zu gefährden?
In diesem Artikel stelle ich dir mein persönliches Standard-Set an Plugins vor, die ich auf wirklich jeder Website installiere. Du erfährst:
- was jedes Plugin macht,
- warum ich genau dieses nutze,
- worauf du bei der Anwendung achten solltest,
- und in welchen Fällen manchmal eine Alternative Sinn machen kann.
Sicherheit und Spam-Schutz
All-in-One Security (AIOS)
Sobald deine Website online ist, ist sie theoretisch für die ganze Welt erreichbar – leider auch für Menschen mit schlechten Absichten. Deshalb ist es wichtig, grundlegende Sicherheitsvorkehrungen zu treffen. Genau hier kommt das Plugin All-in-One Security (AIOS) ins Spiel. Es bietet dir viele Möglichkeiten, deine Website vor Angriffen zu schützen.
Sicherheitsvorkehrungen, die ich mit AIOS immer treffe, sind zum Beispiel diese hier:
Login-Seite umbenennen: So schützt du dich vor Bots
WordPress hat standardmäßig immer die gleiche Login-URL: deinewebsite.de/wp-login.php. Das wissen auch Bots, die automatisiert versuchen, sich über diese Seite einzuloggen.
Mit AIOS kannst du diese Adresse ändern – zum Beispiel in deinewebsite.de/mein-zugang. Das schützt dich nicht direkt vor echten Hackern, aber es verhindert, dass automatisierte Angriffe überhaupt die Login-Seite finden. Tipp: Wähle keine Adresse wie /login oder /admin, sondern etwas Unauffälliges – z. B. /zugang-xy23.
Brute-Force-Angriffe abblocken
Brute-Force heißt: Ein Angreifer (bzw. ein Bot) versucht, dein Passwort zu erraten – oft tausende Male hintereinander.
AIOS schützt dich davor, indem es z. B. nach einer von dir festgelegten Anzahl von fehlgeschlagenen Login-Versuchen (z.B. 3x) die IP-Adresse sperrt. So kann ein Bot deine Website nicht einfach so „durchprobieren“, bis er ins Backend kommt.
Datenbank-Präfix ändern: Eine kleine Änderung mit großer Wirkung
Jede WordPress-Website speichert ihre Inhalte in einer Datenbank. Standardmäßig verwendet WordPress dafür das Präfix wp_ – also etwa wp_users, wp_posts usw. Das ist bekannt – und genau deshalb ein Angriffspunkt.
Mit AIOS kannst du das Präfix ganz einfach in etwas Individuelles ändern, z. B. x7a9_. Dadurch erschwerst du es Angreifern, automatisierte Attacken auf deine Datenbank durchzuführen.
Tipp: Mache unbedingt ein Backup von deiner Datenbank (z.B. mit UpdraftPlus →LINK), bevor du das Präfix änderst. Falls etwas schief läuft, lässt sich die Datenbank schnell wieder herstellen.
Zwei-Faktor-Authentifizierung
Mit AIOS kannst du eine Zwei-Faktor-Authentifizierung (2FA) für deine Website einrichten, d.h. du musst deinen Login über einen Code an deinem Handy bestätigen. Wirkt erstmal wie ein nerviger Zwischenschritt, ist aber super sinnvoll und wichtig, um deine Website vor unbefugten Zugriffen zu schützen.
Benutzername ≠ Anzeigename
Wenn dein Benutzername identisch ist mit dem Namen, der öffentlich als Autor angezeigt wird, erleichterst du Angreifern das Leben. Denn dann müssen sie nur noch dein Passwort erraten – den Benutzernamen kennen sie ja schon.
Mit AIOS kannst du einfach prüfen, ob das der Fall ist, und bekommst eine Warnung, falls Benutzer- und Anzeigename gleich sind.
Stell unbedingt sicher, dass dein Benutzername nicht öffentlich sichtbar ist. Ändere den Anzeigenamen in deinem Profil z. B. auf deinen Vornamen oder ein Pseudonym.
Vorher-Nachher-Vergleich
Im Dashboard von AIOS wird dir die Sicherheitsstärke deiner Website angezeigt. Hier vor der Konfiguration von AIOS:
Und hier hinterher:
Fazit zum Plugin
All-in-One Security ist kein Hochsicherheits-Tool für Großunternehmen, aber ein sehr guter Schutz für kleine Websites. Es bietet schon in der kostenlosen Version viele Funktionen für umfangreichen Schutz und deckt viele typische Sicherheitslücken ab.
WP Armour – Honeypot Anti Spam
Kontaktformulare sind ein beliebtes Ziel von Spam-Bots. Ohne Schutz kommt über Formulare häufig ganz viel Müll ins E-Mail-Postfach geflattert. WP Armour war ein echter Game Changer für mich, um meine Websites und die meiner Kunden vor dieser Spam-Flut zu schützen.
Was mir besonders gut gefällt: Es ist kostenlos, es ist super einfach zu konfigurieren und es funktioniert nicht mit Captchas, sondern mit Honeypots. “Hä, Captcha… was? Und was für ein Honigtopf?” Lass es mich dir kurz erklären:
Du kennst sie sicher: diese kleinen Prüfaufgaben wie „Klicken Sie alle Bilder mit Ampeln an“ oder „Ich bin kein Roboter“-Checkboxen. Sie heißen CAPTCHAs – ein Akronym für „Completely Automated Public Turing test to tell Computers and Humans Apart“.
Sie sollen verhindern, dass Bots Formulare absenden. Die Idee: Nur ein echter Mensch kann die Aufgabe lösen.
Das Problem: Viele dieser Captcha-Lösungen stammen von Drittanbietern wie Google (reCAPTCHA) und laden externe Dienste nach. Dabei werden personenbezogene Daten (z. B. IP-Adresse) an Google übermittelt. Das ist aus Datenschutzsicht problematisch und erfordert in der Regel eine Einwilligung über deinen Cookie-Banner.
Was ist ein Honeypot – und wie funktioniert WP Armour?
Ein Honeypot ist ein Formularfeld, das für deine Website-Besucher:innen gar nicht sichtbar ist – nur für Bots. Die Idee: Ein echter Mensch sieht das Feld nicht und lässt es leer. Ein Spam-Bot füllt es aus, weil er alle Felder im Formular bearbeitet.
Sobald dieses Feld ausgefüllt ist, erkennt WP Armour: „Aha, das war kein Mensch, sondern ein Bot.“ → Die Nachricht wird nicht abgesendet.
Der Vorteil: Kein Captcha notwendig, kein Datenschutzproblem, kein zusätzlicher Klick für den Besucher. Und das Beste: Es funktioniert absolut zuverlässig. Seit ich WP Armour auf all meinen Kunden-Websites installiert habe, wird niemand mehr mit Spam-Einsendungen zugemüllt und erhält nur noch echte Anfragen von echten Interessent:innen.
Performance & Ladezeitoptimierung
Autoptimize
Die Ladezeit deiner Website hat großen Einfluss darauf, ob Besucher bleiben oder frustriert wieder abspringen. Du kennst es selbst: Wenn eine Website ewig braucht, um sich zu öffnen, reißt schnell der Geduldsfaden – und man geht woanders hin.
Deshalb nutze ich auf jeder Website ein Performance-Plugin, um die Schnelligkeit der Website zu verbessern. Performance Plugins minimieren CSS- und JavaScript-Dateien, cachen Seiten oder bereinigen die Datenbank.
Bevor du nur Bahnhof verstehst, hier eine kurze Erklärung, was es damit auf sich hat:
Was bedeutet eigentlich „Caching“?
Wenn jemand deine Website besucht, werden viele kleine Dateien vom Server geladen: Texte, Bilder, Code. Das dauert – vor allem, wenn alles bei jedem Seitenaufruf neu geladen werden muss. Genau hier setzt Caching an: Es speichert eine fertige Version deiner Website zwischen – quasi wie ein „Screenshot“, der dem Besucher beim nächsten Besuch gezeigt wird. Das spart Zeit, weil nicht alles neu berechnet und geladen werden muss.
Was heißt „Datenbank bereinigen“?
Jede WordPress-Website speichert Daten in einer Datenbank: Beiträge, Seiten, Kommentare, Einstellungen – alles landet dort. Mit der Zeit sammelt sich aber auch Datenmüll an: alte Revisionen, zwischengespeicherte Entwürfe, nicht mehr genutzte Einträge. Autoptimize kann zwar keine vollständige Datenbankpflege übernehmen, aber Performance Plugins übernehmen zum Teil die Entmüllung deiner Datenbank, ohne dass du manuell aufräumen musst..
Je sauberer und kompakter die Datenbank, desto schneller findet WordPress die richtigen Inhalte – und desto schneller wird die Seite geladen.
Was bedeutet „Minimierung von CSS & JavaScript“?
Websites bestehen nicht nur aus Text und Bildern, sondern auch aus sogenannten CSS- und JavaScript-Dateien. Diese Dateien sagen dem Browser z. B., wie ein Button aussehen soll (CSS) oder sorgen für Animationen und Interaktionen (JavaScript).
Das Problem: Diese Dateien sind oft größer, als sie sein müssten. Sie enthalten Leerzeichen, Kommentare oder unnötigen Code. Autoptimize minimiert sie – das heißt, es entfernt alles Überflüssige und „quetscht“ die Dateien zusammen.
Das macht sie kleiner, was wiederum bedeutet: schnellerer Seitenaufbau für deine Besucher:innen.
Mein Lieblings-Performance-Plugin für kleine Websites: Autoptimize.
Warum ich Autoptimize nutze
Autoptimize ist einfach zu konfigurieren und das, was die kostenlose Version kann, reicht für einfache Websites mit wenigen Unterseiten absolut aus, um die Performance zu optimieren. Außerdem funktioniert es zuverlässig in Kombination mit Elementor. Früher habe ich auch mit WP Optimize gearbeitet, doch das hat auf einigen Websites die Darstellung zerschossen. Deshalb bin ich inzwischen auf Autoptimize umgestiegen und habe damit nie Probleme auf Elementor-Websites.
Tipp für dich:
Teste nach der Aktivierung des Plugins, ob deine Website weiterhin korrekt angezeigt wird. Performance-Plugins greifen tief in die Struktur deiner Website ein – kleine Darstellungsfehler können auftreten, lassen sich aber meist schnell beheben.
Alternative: WP Rocket
Für größere Websites (z.B. mit integriertem Shop oder Kursbereich) nutze ich gern WP Rocket. Das ist ein sehr leistungsfähiges Plugin, das viel kann – allerdings ist es kostenpflichtig und die Konfiguration etwas komplizierter.
EWWW Image Optimizer
Bilder sind oft die größten „Brocken“ auf einer Website. Vor allem, wenn sie in Originalgröße hochgeladen werden (wovon ich dir sowieso dringend abraten würde!). Und je größer ein Bild ist, desto länger braucht deine Seite, bis sie geladen ist. Wenn deine Website-Besucher:innen so einen kurzen Geduldsfaden haben wie ich, dann sind sie wahrscheinlich schon zur Konkurrenz abgewandert, bevor deine Website überhaupt fertig geladen ist. 😉
Mit EWWW Image Optimizer kannst du das Problem lösen. Du solltest zwar trotzdem auf eine angemessene Bilddateigröße beim Upload achten, aber dieses Plugin komprimiert deine Bilder noch einmal zusätzlich. Es verringert die Dateigröße automatisch, ohne dass die Bildqualität maßgeblich darunter leidet.
Das ist besonders wichtig bei Websites, die viele Bilder enthalten: z. B. Portfolios, Kursbereiche oder Blogs. Denn hier summieren sich Bildgrößen schnell – und wirken sich direkt auf die Ladegeschwindigkeit aus und frisst deinen Speicherplatz auf.
Für einfache Business-Seiten reicht die kostenlose Version völlig aus.
SEO & Inhaltspflege
Rank Math SEO
Eine Website kann noch so schön sein – wenn sie niemand findet, bringt sie keine neuen Kunden. Damit deine Website bei Google überhaupt eine Chance hat, gefunden zu werden, solltest zumindest ein paar SEO-Grundeinstellungen vorgenommen werden.
Dafür nutze ich das Plugin Rank Math SEO. Es ist übersichtlich und intuitiv zu bedienen und bietet auch in der kostenlosen Version viele Funktionen, für die man bei anderen Tools (z. B. Yoast) erst bezahlen muss.
Du kannst damit z. B.:
- Seitentitel und Meta-Beschreibungen festlegen
- Fokus-Keywords definieren
- SEO-Tipps direkt beim Schreiben deiner Seiten und Blogartikel erhalten
- eine XML-Sitemap automatisch erstellen lassen
- deine Website bei der Google Search Console einreichen
- und vieles mehr.
Tipp: Wenn du das Plugin zum ersten Mal installierst, wirst du durch einen Setup-Assistenten geführt. Und den solltest du auch unbedingt nutzen! Er hilft dir dabei, eine sinnvolle Grundkonfiguration zu erstellen, ohne dass du dich durch 1000 Optionen klicken musst.
Fazit zum Plugin
Rank Math ist dein persönlicher SEO-Coach im WordPress-Backend. Es zeigt dir Optimierungspotenziale auf und hilft dir dabei, deine Inhalte Stück für Stück besser auffindbar zu machen. Deshalb gehört Rank Math für mich auf jede Website.
Yoast Duplicate Post
Vielleicht hast du schon festgestellt, dass man Seiten und Beiträge in WordPress nicht einfach duplizieren kann. Standardmäßig ist das nicht vorgesehen – mit Yoast Duplicate Post geht es trotzdem.
Und das ist super praktisch, wenn du neue Seiten mit ähnlichem Aufbau erstellen willst: Mit Yoast Duplicate Post kannst du mit nur einem Klick super einfach ein Duplikat von bestehenden Seiten oder Beiträgen erstellen. Und das spart jede Menge Zeit. Statt jede Landingpage komplett neu anzulegen, dupliziere ich einfach eine vorhandene Seite mit dem gewünschten Layout und passe nur noch die Inhalte an.
Tipp: Vergiss nicht, nach dem Duplizieren alle Inhalte gründlich zu überarbeiten – inklusive Meta-Titel und Meta-Beschreibung für SEO. Sonst riskierst du doppelte Inhalte, und das mag Google gar nicht.
Real Media Library
Optional, aber extrem hilfreich gegen Chaos in der Mediathek: Mit Real Media Library kannst du deine Bilder & Dateien in der WordPress-Mediathek in Ordnern organisieren.
Bei Websites mit vielen Bildern und Dateien kann das der echte Game Changer sein, damit du dir keinen Wolf suchen musst, eine bestimmte Datei zu finden. Schön aufgeräumt sieht das Ganze dann so aus:
Bei dem Preis für eine Lifetime Lizenz (39,- € inkl. Mehrwertsteuer) sollte das auch eigentlich ein No Brainer sein:
Datenschutz & DSGVO
Real Cookie Banner
Wenn du auf deiner Website Cookies setzt oder externe Inhalte einbindest – z. B. YouTube-Videos, Google Maps oder Tracking-Tools –, brauchst du einen Cookie-Banner, der rechtlich korrekt konfiguriert ist. Warum? Weil beim Laden dieser Inhalte personenbezogene Daten deiner Besucher:innen an Dritte übertragen werden.
Ein Beispiel: Sobald ein YouTube-Video auf deiner Seite eingebunden ist und automatisch geladen wird, stellt der Browser sofort eine Verbindung zu den Servern von Google her. Dabei wird unter anderem die IP-Adresse deines Besuchers übertragen.
Das Gleiche passiert mit Tools wie Google Analytics oder dem Facebook Pixel: Sie tracken Nutzerverhalten, setzen Cookies und übertragen Daten an externe Server, häufig in Drittländer wie die USA. Und genau das ist ohne aktive Zustimmung nicht erlaubt. Wenn dein Cookie-Banner diese Dienste nicht zuverlässig blockiert, bevor eine Einwilligung erfolgt, riskierst du eine teure Abmahnung.
Mit dem Plugin Real Cookie Banner kannst du sicherstellen, dass deine Website die DSGVO-Vorgaben erfüllt.
Das Plugin blockiert eingebundene Dienste bis zur Zustimmung und zeigt deinen Website-Besucher:innen ganz genau, welche Tools welche Daten erheben.
Warum ich Real Cookie Banner nutze (und kein anderes Plugin)
Viele Cookie-Banner sehen zwar für Laien auf den ersten Blick korrekt aus, funktionieren aber bei genauerem Hinsehen nicht richtig: Sie blockieren keine Cookies oder lassen externe Dienste einfach weiterlaufen – und genau das kann zu einem teuren Problem werden.
Real Cookie Banner funktioniert extrem zuverlässig. Vorausgesetzt, es wird richtig konfiguriert, aber auch das ist super einfach:
Das Plugin hat einen integrierten Website-Scanner, der automatisch eingebundene Dienste erkennt und dir genau sagt, was du im Cookie Banner einstellen musst. Für ganz viele Tools und Dienste gibt es Vorlagen, die du dann nur noch übernehmen und speichern musst.
Und falls es für ein Tool mal keine Vorlage gibt (z.B. für TidyCal), lässt sich das mit entsprechendem technischen Know-how einfach selbst konfigurieren. Don’t panic, wenn du das Know-how nicht hast: Buch dir einfach eine Sprechstunde bei mir und wir erledigen das gemeinsam.
Kosten
Für einfache Websites reicht die kostenlose Version oft aus. Sobald du aber mehrere externe Dienste nutzt (z. B. Google Analytics, Facebook Pixel, eingebettete Karten oder Videos), brauchst du die Pro-Version. Die kostet zwar extra, bietet aber dafür eine rechtssichere Lösung – und spart dir im Zweifel jede Menge Ärger.
Mit dem Gutscheincode “KL_WEBKONZEPT” sparst du 20% auf die Pro-Version:
Tipp: Ein korrekt konfigurierter Cookie-Banner ist kein „Nice-to-have“, sondern rechtlich verpflichtend – sonst drohen Abmahnungen. Mit Real Cookie Banner bist du auf der sicheren Seite.
Wartung & Fehleranalyse
UpdraftPlus
Ein technischer Fehler, ein Plugin, das deine Seite zerschießt, ein Hackerangriff – oder du klickst einfach aus Versehen auf „Seite löschen“. Alles schon passiert. Deshalb gilt: Niemals auf Backups verzichten!
Mit UpdraftPlus kannst du deine WordPress-Website ganz einfach automatisch und regelmäßig sichern. Du kannst die Sicherungen nicht nur lokal auf dem Server speichern, sondern auch extern lagern, z. B. in Dropbox, Google Drive oder einem anderen Cloud-Dienst (aber Achtung: das ist datenschutzrechtlich eine Grauzone, weil damit auch personenbezogene Daten auf den Servern in Drittländern landen). Das ist besonders sinnvoll, falls dein Hosting-Anbieter mal schlappmacht oder der Server gehackt wird.
Für meine Website und die meiner Kunden habe ich daher bei einem deutschen Hosting-Anbieter Serverspeicherplatz gemietet, auf dem die Backups gespeichert werden. Um die Backups aber sicher und verschlüsselt (per SFTP-Verbindung) auf einen externen Server zu übertragen, brauchst du die Premium Version von UpdraftPlus:
Die Wiederherstellung ist übrigens genauso einfach wie die Sicherung: Mit wenigen Klicks stellst du deine Website aus dem Backup wieder her.
Tipp: Richte unbedingt automatische Backups ein – zum Beispiel täglich oder wöchentlich, je nachdem, wie oft du Inhalte änderst. Und: Mach ein manuelles Backup immer dann, bevor du ein Plugin installierst oder ein größeres Update machst. So kannst du im Notfall einfach den vorherigen Stand wiederherstellen, ohne dass etwas verloren geht.
Health Check & Troubleshooting
Manchmal läuft eine Website plötzlich nicht mehr rund: Ein Plugin verursacht Fehler, Layouts verrutschen oder Funktionen spinnen und du weißt nicht, woran es liegt. Da kann dir Health Check & Troubleshooting weiterhelfen.
Das Plugin zeigt dir mögliche technische Probleme an und bietet einen besonderen Modus, mit dem du auf Fehlersuche gehen kannst, ohne dass deine Besucher etwas davon mitbekommen.
Das ist super praktisch, wenn du z. B. rausfinden willst, ob ein Plugin einen Darstellungsfehler verursacht, dich aber nicht traust, es im Live-Betrieb zu deaktivieren. Du bekommst sozusagen eine private Testumgebung, direkt in deinem WordPress-Backend.
Gestaltung & Design
Elementor Pro
Mit Elementor Pro kannst du Seiten gestalten, ohne eine einzige Zeile Code zu schreiben. Stattdessen baust du deine Website per Drag-and-Drop zusammen – ähnlich wie bei einem Baukastensystem, nur deutlich flexibler und professioneller.
Ich liebe es, Websites individuell und pixelgenau umzusetzen, ohne mich dabei durch starre Templates einschränken zu lassen. Mit Elementor Pro kann ich genau das tun: Jedes Element, jeder Abstand, jede Farbe lässt sich exakt so anpassen, wie es zum jeweiligen Projekt passt.
Der große Vorteil: Ich kann hochwertige Designs bauen, die nicht nach „Baukasten“ aussehen. Und die Website kann später auch von meinen Kunden ganz leicht selbst bearbeitet werden, weil Elementor super intuitiv zu bedienen ist.
Kosten
Elementor Pro kostet aktuell 99 € pro Jahr. Wenn du deine Website von mir erstellen lässt, ist die Lizenz übrigens in vielen meiner Pakete bereits enthalten – du musst dich also nicht selbst darum kümmern.
Tipp: Auch wenn Elementor super einfach zu bedienen ist und deiner Kreativität keine Grenzen setzt: Klick nicht wahllos irgendwelche Abschnitte zusammen, weil sie “cool” aussehen. Erstell dir vorab ein grobes Layout auf Papier, um eine sinnvoll strukturierte, nutzerfreundliche Website zu bauen. Es gilt “form follows function”. Deine Strategie bestimmt den Aufbau deiner Website – nicht deine Designvorlieben.
Die Strategie entscheidet, ob deine Website verkauft – nicht das Design!
Hol dir für 0 € die Impuls-Fragen für deine Website-Strategie und stell deine Website auf ein solides Fundament: