- Das Hosting bestimmt Ihre Time to First Byte. Liegt sie dauerhaft über 0,8 Sekunden, bremst der Server, nicht Ihr Theme.
- PHP 8.2 oder 8.3 ist Pflicht. Versionen 8.1 und älter erhalten keine Sicherheits-Patches mehr und sind ein aktives Risiko.
- EU-Server sind für deutsche Websites keine Kür, sondern die einfachste DSGVO-Absicherung bei der Datenverarbeitung.
- Tägliche Backups schützen nur dann, wenn sie außerhalb des Servers liegen. Auf demselben Server gespeichert sind sie bei einem Angriff wertlos.
Warum das Hosting über alles andere entscheidet
Wer eine langsame Website hat und zuerst am Theme schraubt, fängt am falschen Ende an. Das Hosting ist das Fundament. Jede Datenbankabfrage, jedes PHP-Skript, jedes Bild startet auf dem Server. Wie schnell der antwortet, hängt von der Infrastruktur ab, nicht vom Plugin.
Das Gleiche gilt für die Sicherheit. Plugins und regelmäßige Updates sind wichtig, aber sie setzen voraus, dass der Server darunter korrekt konfiguriert ist: aktuelle TLS-Version, isolierte Kundenkonten, tägliche Backups an einem anderen Ort. Was der Hoster dort nicht leistet, kann kein Plugin nachliefern.
Für kleine und mittelständische Unternehmen ohne eigenes Serverteam ist die Hosting-Entscheidung deshalb eine der folgenreichsten IT-Entscheidungen überhaupt, auch wenn sie selten so behandelt wird.
Shared, Managed, VPS: Welcher Typ passt wozu
Beim Shared Hosting teilen Sie sich einen physischen Server mit vielen anderen Websites. Der Preis ist niedrig, oft unter fünf Euro pro Monat. Die Kehrseite: PHP-Versionen, Serverkonfiguration und verfügbare Ressourcen liegen beim Hoster, und ein überlasteter Nachbar auf demselben Server kann die Reaktionszeit Ihrer Website merklich verschlechtern. Für eine Hobby-Seite ist das akzeptabel. Für eine Unternehmenswebsite mit Kontaktformular, Shop oder Buchungssystem ist es riskant.
Managed WordPress-Hosting ist Shared Hosting mit einem entscheidenden Unterschied: Der Anbieter konfiguriert PHP, Datenbank, Caching und Sicherheit gezielt für WordPress und hält den Stack aktuell. Sie bekommen eine vorkonfigurierte Umgebung, in der WordPress ohne Nacharbeit gut läuft. Anbieter wie Raidboxes (Rechenzentren in Deutschland) oder all-inkl.com* (DSGVO-konform, DE) liegen im Preis zwischen zehn und fünfzig Euro pro Monat je nach Ressourcenbedarf. Das ist für die meisten geschäftlichen Websites die richtige Wahl.
Ein VPS (Virtual Private Server) gibt Ihnen einen abgeschotteten Teil eines physischen Servers mit garantierten Ressourcen und vollen Root-Rechten. Sie konfigurieren Betriebssystem, Webserver, PHP und Datenbank selbst. Das ist die flexibelste Option, aber auch die aufwändigste: Sicherheits-Patches, Server-Monitoring und Backups liegen komplett bei Ihnen. Sinnvoll ist ein VPS, wenn Sie technisches Wissen im Haus haben oder bereit sind, dafür einen Managed-Service-Anbieter zu beauftragen.
PHP-Version und Serverkonfiguration
PHP 8.1 erreichte am 31. Dezember 2024 das Ende seines offiziellen Support-Fensters und erhält seitdem keine Sicherheits-Patches mehr. PHP 8.0 und alles darunter ist schon länger ohne Sicherheits-Patches. Wer auf PHP 7.x läuft, betreibt eine Installation mit bekannten, öffentlich dokumentierten Sicherheitslücken, für die keine Fixes mehr erscheinen.
WordPress selbst empfiehlt mindestens PHP 8.2 und stützt PHP 8.2, 8.3 und 8.4 vollständig. Der Unterschied in der Ausführungsgeschwindigkeit zwischen PHP 7.4 und PHP 8.2 liegt je nach Benchmark bei zwanzig bis dreißig Prozent kürzerer Ausführungszeit. Das ist messbar. Auf einem guten Managed-Hoster sollte PHP 8.2 oder 8.3 ohne Aufpreis und ohne Eigenarbeit verfügbar sein.
Weitere Merkmale einer sauber konfigurierten Serverumgebung:
- OPcache aktiv, damit PHP-Bytecode im Arbeitsspeicher vorgehalten wird statt bei jedem Request neu kompiliert zu werden
- Nginx oder LiteSpeed als Webserver, deutlich effizienter als ein ungetunter Apache bei hoher Gleichzeitigkeit
- MariaDB 10.6 oder neuer, oder MySQL 8.0, da ältere Versionen für bestimmte WordPress-Abfragen weniger effizient sind
- HTTP/2 oder HTTP/3 aktiviert, was paralleles Laden von Ressourcen beschleunigt
- TLS 1.3 als Mindest-Protokollversion, damit der Verbindungsaufbau einen Handshake-Schritt einspart
Einen Hoster, der diese Punkte nicht erfüllt oder bei dem Sie nicht nachfragen können, ob sie erfüllt sind, sollten Sie ernst nehmen als Warnsignal.
Server-Standort und DSGVO
Die DSGVO regelt in Artikel 44, dass personenbezogene Daten nur in Drittländer übermittelt werden dürfen, wenn bestimmte Voraussetzungen erfüllt sind, zum Beispiel ein Angemessenheitsbeschluss der EU-Kommission oder Standardvertragsklauseln. Das klingt abstrakt, hat aber konkrete Konsequenzen: Kontaktformular-Anfragen, IP-Adressen von Besuchern, Log-Daten. All das landet auf dem Server des Hosters. Liegt der in den USA, brauchen Sie eine rechtliche Grundlage für genau diese Übermittlung.
Das EU-US Data Privacy Framework bietet seit 2023 wieder eine Grundlage, ist aber politisch und juristisch nicht als dauerhaft stabil einzustufen. Die praktisch einfachste Lösung ist ein Server in der EU oder in Deutschland. Dann entfällt die Drittlandsfrage vollständig.
Neben dem Datenschutzaspekt bringt ein Server in Deutschland auch einen technischen Vorteil: wer seine Kundschaft in Deutschland hat, bekommt kürzere Leitungswege und damit eine niedrigere Latenz. Ein Server in Frankfurt oder Düsseldorf ist physisch näher an Besuchern in Bayern oder Hamburg als einer in den Niederlanden oder gar in den USA.
Time to First Byte: Wie Ihr Hoster die Ladezeit beeinflusst
Die Time to First Byte (TTFB) misst die Zeit vom Senden einer HTTP-Anfrage bis zur ersten Antwort des Servers. Sie ist der direkteste Indikator dafür, wie gut der Server konfiguriert ist. Google selbst nennt in seinen web.dev-Empfehlungen zur TTFB unter 800 Millisekunden als gut, 800 Millisekunden bis 1,8 Sekunden als verbesserungswürdig und über 1,8 Sekunden als zu langsam.
Wo Ihr gemessener Wert in dieser Einordnung liegt, zeigt die folgende Skala. Ziehen Sie den Regler auf Ihre TTFB.
| Messwert | Was er misst | Gut | Grenzwertig | Zu langsam |
|---|---|---|---|---|
| Time to First Byte | Serverantwortzeit, der direkteste Hinweis auf die Hosting-Qualität | bis 0,8 s, der Server antwortet zügig | 0,8 bis 1 s, der Server wird spürbar langsam | über 1 s, fast immer ein Server- oder Hosting-Problem |
Eine TTFB über einer Sekunde signalisiert fast immer ein Problem auf der Server-Seite. Die häufigsten Ursachen sind zu viele PHP-Prozesse ohne ausreichend Arbeitsspeicher, eine nicht optimierte Datenbank, fehlendes Caching auf Objektebene oder schlichtes Überbuchen des Servers durch den Hoster. Kein Caching-Plugin und keine Bildkomprimierung kann das ausgleichen. Der passende Ratgeber dazu: warum Ihre Website langsam ist und was dahintersteckt.
TTFB messen Sie kostenlos mit Google PageSpeed Insights oder GTmetrix. Wichtig: testen Sie mehrfach und von einem europäischen Standort aus. Ein einzelner Ausreißer nach oben kann an einer langsamen Datenbankabfrage eines bestimmten Plugins liegen, ein dauerhaft hoher Wert dagegen am Hoster.
Was Caching auf Applikations- und CDN-Ebene darüber hinaus leistet, erklärt der Artikel Caching verständlich erklärt.
Was der Hoster bei der Sicherheit leistet und was nicht
Ein seriöser Hoster liefert mindestens diese Infrastruktur-Sicherheit:
- Isolierung der Kundenkonten, damit ein kompromittiertes Konto nicht auf andere zugreifen kann
- Netzwerk-Firewall und DDoS-Schutz auf Infrastrukturebene
- Regelmäßige Sicherheitsupdates des Betriebssystems und der Server-Software
- TLS-Zertifikate über Let’s Encrypt ohne Aufpreis, da ein Hoster, der dafür heute noch Geld verlangt, nicht zeitgemäß ist
- Intrusion Detection auf Netzwerkebene
Was der Hoster nicht schützt: Ihre WordPress-Installation. Die WordPress-Dokumentation zur Härtung beschreibt das klar. Veraltete Plugins sind das häufigste Einfallstor. Konkret heißt das: Wer ein Plugin drei Monate nicht aktualisiert, lässt bekannte Sicherheitslücken offen, für die es längst öffentliche Exploits gibt.
Auf Applikationsebene gehören diese Maßnahmen zum Mindeststandard:
- Zwei-Faktor-Authentifizierung für alle Admin-Konten
- Brute-Force-Schutz am Login (Anzahl fehlgeschlagener Versuche begrenzen)
- XML-RPC deaktivieren, wenn Sie es nicht aktiv benötigen
- Eine Web Application Firewall, etwa über Wordfence oder Solid Security
- Regelmäßige Updates für Core, Themes und Plugins, mindestens monatlich, bei kritischen Sicherheitslücken sofort
Für SSL und HTTPS im Detail empfiehlt sich der Ratgeber SSL, HTTPS und Sicherheitsheader einfach erklärt. Wer sich fragt, ob der eigene Stack sicherheitstechnisch aktuell ist, kann das BSI als Orientierung nehmen: die BSI TR-02102 beschreibt die aktuellen Empfehlungen für TLS-Protokollversionen und Cipher-Suites.
Backups: Die Frage, die viele falsch beantworten
Fragt man Websitebetreiber, ob sie Backups haben, sagen die meisten ja. Fragt man, wo diese Backups liegen, ist die häufige Antwort: beim Hoster, auf demselben Server. Das ist kein echtes Backup.
Ein Backup, das auf demselben Server gespeichert ist wie die Website selbst, ist bei einem Angriff, bei einem Festplattenausfall oder bei einem Fehler, der den gesamten Account löscht, genauso betroffen wie die Originaldaten. Das externe Backup auf einem getrennten System ist das einzige, das im Ernstfall hilft. Geeignet sind ein separater Cloud-Speicher (Google Drive, Backblaze, S3), ein anderer Hosting-Account oder ein eigener NAS.
Die Backup-Strategie sollte drei Dinge sicherstellen: tägliche automatische Backups, mindestens sieben Tage Aufbewahrung, und eine regelmäßige Wiederherstellungsprobe. Ein Backup, das nie getestet wurde, ist kein verlässliches Backup. Wie ein sinnvoller Backup-Plan konkret aussieht, beschreibt der Artikel WordPress-Backup: der 3-2-1-Plan für kleine Unternehmen.
Viele Managed-Hoster liefern tägliche Backups im Paket. Prüfen Sie trotzdem, wo diese gespeichert werden und ob Sie sie selbst herunterladen können. Ein Hoster, der Backups nur auf derselben Infrastruktur speichert, hat diese Frage noch nicht fertig beantwortet.
Support: Wann er zählt und woran man ihn erkennt
Support fällt kaum auf, solange nichts schiefläuft. Er zählt genau dann, wenn die Website ausgefallen ist, eine Migration steckengeblieben ist oder ein PHP-Fehler nach einem Update die gesamte Seite weißmacht. In diesem Moment entscheidet, ob der Hoster-Support in Minuten reagiert oder Tage braucht, und ob die Antwort das Problem löst oder nur einen Link auf die FAQ-Seite schickt.
Erkennungsmerkmale für echten Support:
- Erreichbarkeit per Chat oder Telefon, nicht nur per Ticket
- Reaktionszeit unter einer Stunde bei kritischen Problemen
- Mitarbeiter, die WordPress kennen, nicht nur allgemeine Hosting-Fragen beantworten
- Klare SLA-Angaben (Service Level Agreement) im Vertrag, nicht nur im Marketing
Ein Hoster, der nur per Ticket erreichbar ist und drei Tage für eine Antwort braucht, ist für eine geschäftliche Website ein Risiko. Das lässt sich vorab testen: stellen Sie eine technische Frage vor dem Abschluss eines Vertrags und messen Sie, wie schnell und wie präzise die Antwort kommt.
Hosting-Typen im Vergleich
| Hosting-Typ | Für wen geeignet | Typische TTFB | Preis-Rahmen/Monat |
|---|---|---|---|
| Shared Hosting | Hobby-Blogs, sehr kleine Seiten ohne Geschäftsbezug | 0,5 bis 2,5 s (stark abhängig vom Anbieter und Auslastung) | ab 2 bis 8 Euro |
| Managed WordPress (Einsteiger) | Unternehmenswebsites, kleine Shops, Dienstleister | 0,2 bis 0,6 s | 10 bis 30 Euro |
| Managed WordPress (Professional) | Shops mit Transaktionen, Buchungssysteme, hoher Traffic | 0,1 bis 0,3 s | 30 bis 80 Euro |
| VPS (selbstverwaltet) | Technisch versierte Teams mit Ressourcen für Serveradministration | abhängig von Konfiguration | ab 5 bis 50 Euro |
| Dedizierter Server | Große Shops, Portale mit sehr hohem Traffic | abhängig von Konfiguration | ab 60 bis 200+ Euro |
Hinweis: Die Preisspannen und TTFB-Angaben basieren auf eigener Marktbeobachtung und Projekterfahrung aus über 20 Jahren Agenturpraxis. Es gibt keine amtliche Statistik zu Hosting-Preisen. Die tatsächlichen Werte schwanken je nach Anbieter, Paket und Auslastung deutlich.
Aus der Praxis: Was ein Hoster-Wechsel konkret bringt
In einem Projekt übernahmen wir eine Unternehmenswebsite, die auf einem günstigen Shared-Hosting-Paket lief. Die TTFB lag zwischen 1,8 und 2,4 Sekunden, gemessen mit GTmetrix von einem europäischen Standort. Das Theme war nicht das Problem, das Caching-Plugin auch nicht. PHP lief auf Version 7.4, die seit Dezember 2022 keine Sicherheits-Patches mehr erhält.
Nach dem Wechsel zu einem Managed-WordPress-Hoster mit PHP 8.2, Redis-Object-Cache und einem Rechenzentrum in Deutschland: TTFB zwischen 0,18 und 0,28 Sekunden. Der Google PageSpeed Score stieg von 52 auf 87. Das war ausschließlich ein Infrastruktureffekt, am Inhalt der Website haben wir nichts verändert.
Der monatliche Mehrpreis betrug etwa 18 Euro. Die Berechnung, ob sich das lohnt, ist einfach: eine Website mit einem Google-Score unter 60 verliert im Schnitt messbar organischen Traffic, vor allem auf mobilen Geräten. Den exakten Wert für ein einzelnes Projekt lässt sich nicht ohne Traffic-Daten beziffern, aber die Tendenz ist gut dokumentiert. Hinter dem schnelleren Laden steht außerdem eine PHP-Version, die aktiv gewartet wird.
Wer prüfen möchte, ob ein Umzug des Hostings die richtige nächste Maßnahme wäre, findet mehr dazu im Ratgeber Domain und Hosting umziehen ohne Datenverlust und Ranking-Einbruch.
Checkliste: Hoster-Auswahl
- PHP 8.2 oder 8.3 im Standard-Paket enthalten oder wählbar?
- Rechenzentrum in der EU oder in Deutschland?
- MariaDB 10.6+ oder MySQL 8.0+ verfügbar?
- OPcache und Object-Cache (Redis oder Memcached) im Paket?
- HTTP/2 oder HTTP/3 aktiv?
- TLS 1.3 mindestens unterstützt?
- SSL-Zertifikat ohne Aufpreis (Let’s Encrypt oder gleichwertig)?
- Tägliche automatische Backups inklusive?
- Werden Backups außerhalb des Servers gespeichert, oder sind sie herunterladbar?
- Support per Chat oder Telefon erreichbar?
- Reaktionszeit unter einer Stunde bei kritischen Problemen?
- Klare Angaben zu Ressourcen (CPU, RAM) im Paket?
- WordPress-spezifische Konfiguration oder Staging-Umgebung vorhanden?
- Kein Shared Hosting für eine Website mit Kontaktformular, Shop oder Buchungssystem?
- PHP 8.2 oder 8.3 ist keine Option, sondern Sicherheitspflicht. Ältere Versionen erhalten keine Patches mehr.
- Ein EU-Server ist die einfachste DSGVO-Absicherung bei der Verarbeitung von Besucher-Daten.
- Die Time to First Byte unter 0,8 Sekunden ist das direkte Tempo-Kriterium für die Server-Qualität.
- Backups auf demselben Server schützen nicht. Nur ein extern gespeichertes Backup hilft im Ernstfall wirklich.
Häufige Fragen
Wie viel kostet gutes WordPress-Hosting?
Managed WordPress-Hosting für eine Unternehmenswebsite beginnt realistisch bei zehn bis dreißig Euro pro Monat. Sehr günstige Tarife unter fünf Euro pro Monat sind fast immer Shared Hosting mit geteilten Ressourcen. Der Mehrpreis für ein verlässliches Paket rechnet sich durch bessere Ladezeiten, aktuelles PHP und tägliche Backups meist schnell.
Wie erkenne ich, ob mein aktueller Hoster meine Website ausbremst?
Messen Sie die Time to First Byte mit Google PageSpeed Insights oder GTmetrix von einem europäischen Teststandort aus, am besten mehrfach. Liegt der Wert dauerhaft über einer Sekunde, liegt das Problem fast immer auf Serverseite, nicht am Theme oder an Plugins.
Brauche ich für eine kleine Website wirklich Managed Hosting?
Sobald die Website einen geschäftlichen Zweck hat, also Anfragen generiert, Produkte verkauft oder Buchungen entgegennimmt, lautet die Antwort: ja. Der Unterschied im Preis ist gering, der Unterschied in Zuverlässigkeit, Sicherheit und Ladezeit ist erheblich.
Kann ich die Sicherheit meiner WordPress-Website vollständig an den Hoster auslagern?
Nein. Der Hoster sichert die Infrastruktur: Server, Betriebssystem, Netzwerk. WordPress, Themes und Plugins liegen in Ihrer Verantwortung. Plugin-Updates, sichere Zugangsdaten und eine Web Application Firewall müssen Sie oder Ihr Betreuungspartner selbst pflegen.
Was ist der Unterschied zwischen einem Backup beim Hoster und einem externen Backup?
Ein Backup auf demselben Server ist bei einem Angriff, einem Hardwarefehler oder dem versehentlichen Löschen des gesamten Accounts genauso betroffen wie die Originaldaten. Erst ein Backup auf einem getrennten System, außerhalb des Hosters, ist ein echtes Backup.
Welche PHP-Version sollte mein Hoster haben?
Mindestens PHP 8.2, besser 8.3 oder 8.4. Versionen 8.1 und älter erhalten keine Sicherheits-Patches mehr. WordPress selbst empfiehlt mindestens PHP 8.2 und unterstützt 8.3 und 8.4 vollständig. Neuere Versionen sind zudem messbar schneller.
* Mit einem Sternchen markierte Links sind Provisionslinks (Affiliate-Links). Wenn Sie darüber bestellen, erhalten wir eine Provision. Für Sie entstehen dadurch keine Mehrkosten, der Preis bleibt gleich.