Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle Anleitungen
📘 Anleitung WordPress 13.06.2026 · 10 min Lesezeit

WordPress mit einem Klick im netcup Webhosting installieren (WordPress Toolkit in Plesk)

WordPress im netcup Webhosting in unter 15 Minuten betriebsbereit: Der integrierte App-Installer von Plesk Obsidian übernimmt die Installation, das WordPress Toolkit kümmert sich um Updates, Backups, Sicherheitshärtung und SSL – ganz ohne Kommandozeile.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Lokale KI-Zentrale mit AnythingLLM und RAG-Workspaces im Docker-Betrieb

Wer bei netcup ein Webhosting-Paket betreibt, bekommt mit dem WCP (Webhosting Control Panel) im Grunde eine vollwertige Plesk-Obsidian-Instanz geliefert – inklusive des WordPress Toolkits. Damit lässt sich WordPress in wenigen Minuten installieren, ohne eine einzige Zeile auf der Kommandozeile einzugeben. Die Verwaltung danach – Updates, Backups, Sicherheitshärtung, Staging und SSL – läuft ebenfalls komplett im Browser. Diese Anleitung führt dich vom ersten CCP-Login bis zu einer produktiv einsetzbaren, automatisch gepflegten WordPress-Installation.

Voraussetzungen

  • Aktiver netcup Webhosting-Vertrag mit mindestens einer eingerichteten Domain
  • Zugangsdaten zum netcup CCP (customercontrolpanel.de) – Kundennummer und Passwort
  • Die gewünschte Domain muss im Webhosting-Paket bereits angelegt sein und DNS-seitig auf netcup zeigen
  • Eine Admin-E-Mail-Adresse für WordPress und das spätere Let's-Encrypt-Zertifikat
  • Ein sicheres Admin-Passwort – und die Entscheidung für einen individuellen Admin-Nutzernamen (nicht „admin"!)
  • Ca. 15 Minuten Zeit

Schritt 1: WCP öffnen

Das netcup WCP ist keine eigenständige Anwendung, sondern deine persönliche Plesk-Obsidian-Instanz. Den sichersten und stabilsten Zugangsweg bietet immer das CCP – nicht eine direkt gemerkte Plesk-URL, denn diese kann sich bei Paket-Migrationen ändern.

  1. Öffne customercontrolpanel.de und melde dich an.
  2. Navigiere zu Produkte und wähle dein Webhosting-Paket aus.
  3. Klicke auf „WCP Auto-Login" – Plesk Obsidian öffnet sich in einem neuen Tab, bereits eingeloggt.

Alternativ: Bei einer konkreten Domain siehst du im CCP den Link „Plesk Overview" – auch dieser führt direkt ins WCP.

Verifizieren: Du siehst das Plesk-Obsidian-Dashboard mit dem Menü auf der linken Seite. Der Menüpunkt „WordPress" ist in der linken Navigation sichtbar (er erscheint auch ohne aktive Installation bereits).

Schritt 2: WordPress installieren

Es gibt zwei gleichwertige Wege. Beide führen zu derselben Toolkit-Verwaltung – wähle den, der dir gerade näher liegt.

Weg A: über den App-Installer

  1. Klicke im WCP-Menü auf Applikationen.
  2. Wähle „Alle verfügbaren Applikationen".
  3. Suche nach „WordPress" und klicke auf „Installieren".

Weg B: direkt im WordPress Toolkit

  1. Klicke im WCP-Menü auf WordPress.
  2. Klicke auf den Button „Installieren".

Das Installations-Formular ausfüllen

Beide Wege öffnen dasselbe Formular. Fülle alle Pflichtfelder sorgfältig aus:

  • Domain: Wähle die gewünschte Domain aus der Dropdown-Liste.
  • Protokoll: Wähle HTTPS – auch wenn das Zertifikat erst danach ausgestellt wird, kann WordPress von Beginn an auf HTTPS konfiguriert sein.
  • Installationsverzeichnis: Leer lassen oder / für das Stammverzeichnis (die Seite ist dann direkt unter domain.de erreichbar). Für ein Unterverzeichnis wie /blog ist die Seite nur unter domain.de/blog verfügbar – das lässt sich später nicht mehr einfach per Klick ändern.
  • Website-Titel: Der angezeigte Seitenname, jederzeit später änderbar.
  • Admin-Nutzername: Niemals „admin" verwenden – das ist der erste Treffer jedes Brute-Force-Angriffs. Wähle einen individuellen Namen.
  • Admin-Passwort: Mindestens 16 Zeichen, Groß-/Kleinbuchstaben, Ziffern, Sonderzeichen.
  • Admin-E-Mail: Erreichbare Adresse für WordPress-Benachrichtigungen und Passwort-Reset.

Klicke abschließend auf „Installieren". Die Installation dauert typischerweise unter einer Minute.

Verifizieren: Im WCP-Menü unter „WordPress" erscheint nun eine Übersichtskarte mit deiner Installation. Sie zeigt Domain, WordPress-Version, Anzahl der Plugins und den Sicherheits-Status. Rufe https://deine-domain.de im Browser auf – die Standard-WordPress-Startseite ist sichtbar.

Schritt 3: SSL-Zertifikat einrichten

Let's-Encrypt-Zertifikate lassen sich direkt aus dem WordPress Toolkit heraus anfordern – ohne externen Certbot-Aufruf oder Konfigurationsdatei.

  1. Öffne im WCP WordPress und klicke auf deine Installation.
  2. Im Status-Bereich siehst du ein Warnsymbol „Kein Zertifikat" – klicke auf „SSL/TLS-Zertifikat abrufen".
  3. Trage deine E-Mail-Adresse ein und aktiviere die Option „Domain und www-Subdomain einschließen" – sonst erhalten Besucher, die www.domain.de aufrufen, eine Zertifikatswarnung.
  4. Bestätige – das Zertifikat wird innerhalb von Sekunden ausgestellt und automatisch eingebunden.

Anschließend solltest du die HTTP-zu-HTTPS-Weiterleitung aktivieren, die aus SEO- und Sicherheitsgründen wichtig ist:

  1. Navigiere im WCP zu Domänen → deine Domain → Hosting-Einstellungen.
  2. Aktiviere „Dauerhafter, SEO-geeigneter 301-Redirect von HTTP zu HTTPS".
  3. Speichern.

Verifizieren: Rufe http://deine-domain.de auf – du wirst auf https:// weitergeleitet. Im Browser zeigt das Schloss-Symbol ein gültiges Let's-Encrypt-Zertifikat an. Im WordPress Toolkit verschwindet das Warnsymbol für SSL.

Schritt 4: Automatische Updates konfigurieren

Das WordPress Toolkit erlaubt eine granulare Update-Steuerung – separat für Core, Plugins und Themes. Das ist der entscheidende Vorteil gegenüber dem Standard-WordPress-Autoupdate: Auf Produktivseiten willst du volle Kontrolle bei Major-Updates, aber schnelle Sicherheitsupdates ohne manuellen Eingriff.

  1. Im WCP unter WordPress auf deine Installation klicken.
  2. Zahnrad-Symbol oder „Einstellungen" öffnen.
  3. Update-Einstellungen anpassen (Tabelle unten als Orientierung).
KomponenteEmpfehlung ProduktionEmpfehlung Entwicklung
WordPress CoreNur Minor (Sicherheits-)Updates automatischAlle Updates automatisch
PluginsAutomatisch aktivierenAutomatisch aktivieren
ThemesAutomatisch aktivierenAutomatisch aktivieren
Backup vor UpdateImmer empfohlen (manuell oder automatisch)Empfohlen

Die Empfehlung der Plesk-Dokumentation für Produktivseiten beim Core lautet explizit: „Ja, aber nur Minor (Sicherheits-)Updates". Damit werden kritische Sicherheits-Patches automatisch eingespielt, Major-Versionen (z. B. von 6.x auf 7.x) erfordern aber deine manuelle Freigabe – sinnvoll, weil solche Sprünge Plugin-Kompatibilitätsprobleme verursachen können.

Verifizieren: Die Einstellungskarte zeigt nach dem Speichern die gewählten Update-Modi an. Im Dashboard siehst du den Update-Status aller Komponenten auf einen Blick.

Schritt 5: Sicherheitshärtung per Klick

Das WordPress Toolkit prüft deine Installation gegen eine Liste bekannter Schwachstellen und Fehlkonfigurationen. Das Ergebnis wird in zwei Kategorien aufgeteilt: kritisch (sofort handeln) und empfohlen (Best Practices).

  1. Im WCP unter WordPress auf deine Installation klicken.
  2. Button „Sicherheit korrigieren" (bei kritischen Befunden) oder „Sicherheit prüfen" (bei empfohlenen) klicken.
  3. Einzelne Maßnahmen lesen und gezielt oder alle auf einmal anwenden.

Typische Härtungsmaßnahmen, die das Toolkit automatisch durchführen kann:

  • Checksum-Prüfung: Vergleicht alle Core-Dateien mit den offiziellen WordPress-Hashes – findet manipulierte Dateien sofort.
  • XML-RPC-Pingbacks deaktivieren: Reduziert die Angriffsfläche für DDoS-Amplification-Angriffe.
  • PHP-Ausführung in /uploads sperren: Verhindert, dass hochgeladene Schadcode-Dateien ausgeführt werden.
  • Bot-Zugriff auf sensible Verzeichnisse blockieren: Schützt wp-admin und andere Bereiche vor automatisierten Scannern.

Verifizieren: Nach Anwendung der Maßnahmen zeigt der Sicherheits-Indikator in der Installationskarte einen grünen Status. Kritische Warnungen sind verschwunden.

Schritt 6: Backup erstellen

Das WordPress Toolkit erstellt Backups unabhängig vom allgemeinen Plesk-Hosting-Backup. Das hat einen praktischen Vorteil: Ein WordPress-Toolkit-Backup enthält nur Dateien und Datenbank dieser einen Installation, ist deshalb deutlich kleiner und schneller fertig als ein vollständiges Server-Backup.

  1. Im WCP unter WordPress auf deine Installation klicken.
  2. Klicke auf das Backup-Symbol (Wolke mit Pfeil oder „Sichern").
  3. Das Backup erscheint nach wenigen Sekunden in der Backup-Liste.
  4. Über „Herunterladen" kannst du es lokal sichern; über „Wiederherstellen" rollst du die Installation auf diesen Stand zurück.

Wichtig: Vor jedem Core-Update legt das Toolkit automatisch einen Wiederherstellungspunkt an. Bei Plugin- und Theme-Updates ist das nicht garantiert – für stark angepasste Seiten empfiehlt sich daher ein manuelles Backup, bevor du umfangreiche Update-Batches anstößt.

Verifizieren: In der Backup-Liste erscheint der neue Eintrag mit Zeitstempel. Ein Test-Restore auf einer Staging-Kopie gibt zusätzliche Sicherheit.

Schritt 7: Staging und Cloning

Bevor du ein Major-Update oder ein neues Plugin auf deiner Live-Seite einsetzt, kannst du mit der Klon-Funktion in wenigen Klicks eine vollständige Kopie anlegen – Dateien, Datenbank und alle Einstellungen inklusive.

  1. Im WCP unter WordPress auf deine Installation klicken.
  2. Klicke auf „Klonen".
  3. Als Ziel entweder eine neue Subdomain angeben (z. B. staging.deine-domain.de) oder eine bereits im Paket vorhandene Domain auswählen.
  4. Das Toolkit kopiert alle Dateien, die Datenbank und passt die WordPress-URLs automatisch an.

Auf der Staging-Kopie kannst du Updates einspielen, Design-Änderungen testen oder Plugins evaluieren – ohne Risiko für die Produktivseite. Ist alles in Ordnung, führst du dieselben Schritte auf der Live-Installation durch.

Verifizieren: Die Klon-Installation erscheint als eigener Eintrag in der WordPress-Toolkit-Übersicht. Rufe die Staging-URL im Browser auf – du siehst eine identische Kopie deiner Website.

Schritt 8: Plugin- und Theme-Verwaltung

Plugins und Themes lassen sich direkt im WordPress Toolkit installieren, ohne den WP-Admin-Bereich aufzurufen:

  • Aus wordpress.org: Im Toolkit auf „Plugins" oder „Themes" klicken, direkt aus dem Repository suchen und installieren.
  • Eigene Pakete hochladen: ZIP-Datei eines Premium-Plugins direkt im Toolkit uploaden.
  • Batch-Updates: Updates für mehrere Installationen gleichzeitig einspielen – nützlich, wenn du mehrere WordPress-Seiten im Paket betreibst.

Über das Toolkit ist außerdem phpMyAdmin direkt erreichbar – praktisch für Datenbank-Diagnosen oder den Import eines Datenbank-Dumps, ohne separat nach den Zugangsdaten suchen zu müssen.

Troubleshooting / Typische Fehler

Admin-Nutzername „admin" gewählt

Das lässt sich nach der Installation nicht im Toolkit ändern, sondern nur über WordPress selbst: Neuen Admin-Benutzer anlegen, mit diesem einloggen, alten „admin"-Account löschen und alle Beiträge auf den neuen Benutzer übertragen.

HTTP statt HTTPS als Protokoll bei der Installation

SSL lässt sich nachträglich einrichten (Schritt 3), aber der 301-Redirect in den Hosting-Einstellungen muss manuell aktiviert werden. Außerdem enthält die WordPress-Datenbank dann http://-URLs – ein Suchen-und-Ersetzen über phpMyAdmin oder das Plugin „Better Search Replace" ist nötig, damit alle internen Links auf HTTPS zeigen.

Core-Updates vollständig automatisch auf Produktivseiten

Major-Updates können Plugin-Kompatibilitätsprobleme verursachen. Empfehlung: Update-Modus auf „nur Minor (Sicherheits-)Updates" setzen, Major-Updates erst nach einem Test auf der Staging-Kopie einspielen.

Installations-Verzeichnis falsch gewählt

WordPress in einem Unterverzeichnis (z. B. /wordpress) statt im Stammverzeichnis installiert? Die Seite ist dann nur unter domain.de/wordpress erreichbar. Eine nachträgliche Änderung erfordert das manuelle Verschieben der Dateien, Anpassen der wp-config.php und Aktualisieren aller URLs in der Datenbank – keine Klick-Lösung im Toolkit.

SSL-Zertifikat ohne www-Subdomain ausgestellt

Besucher, die www.domain.de aufrufen, erhalten eine Browser-Zertifikatswarnung. Lösung: Im Toolkit das Zertifikat erneuern und dabei „Domain und www-Subdomain einschließen" aktivieren.

301-Redirect vergessen

Ohne den Redirect in den Hosting-Einstellungen ist die Seite weiterhin per HTTP erreichbar – sowohl ein Sicherheits- als auch ein SEO-Problem (doppelter Content). Aktiviere den Redirect wie in Schritt 3 beschrieben.

E-Mail-Benachrichtigungen bei automatischen Updates bleiben aus

Im netcup-Community-Forum wurde berichtet, dass das WP Toolkit unter Umständen keine E-Mail-Benachrichtigungen bei automatischen Updates sendet. Prüfe die Benachrichtigungseinstellungen in Plesk unter Mein Profil → Benachrichtigungen und stelle sicher, dass die E-Mail-Konfiguration im WCP funktioniert.

Häufige Fragen

Muss ich für das WordPress Toolkit extra bezahlen?

Nein, das WordPress Toolkit ist im netcup Webhosting (Plesk Obsidian) standardmäßig enthalten. Die Funktion „Smart Updates" (Screenshot-basierte Risikoanalyse, die vor Updates einen Klon prüft) ist eine Premium-Plesk-Erweiterung und möglicherweise nicht im Standard-Webhosting-Paket verfügbar.

Kann ich mehrere WordPress-Installationen verwalten?

Ja. Das WordPress Toolkit zeigt alle Installationen in einer Übersicht – auf allen Domains und Subdomains des Pakets. Updates, Backups und Einstellungen lassen sich auch über mehrere Installationen gleichzeitig durchführen.

Wie unterscheidet sich der App-Installer vom WordPress Toolkit?

Der App-Installer (Menüpunkt „Applikationen") ist der Installations-Assistent – er fragt Domains, Verzeichnisse und Admin-Daten ab. Das WordPress Toolkit ist die Verwaltungszentrale nach der Installation. Beide Wege führen zur selben Toolkit-Verwaltung.

Werden Backups automatisch ausgelöst?

Wiederherstellungspunkte werden automatisch vor Core-Updates angelegt. Vollständige Backups auf Abruf musst du manuell auslösen. Eine eigene Backup-Zeitplanung direkt im Toolkit ist nicht standardmäßig vorhanden – für geplante Backups nutze das allgemeine Plesk-Hosting-Backup.

Wie gelange ich ins WCP, wenn ich die direkte URL nicht kenne?

Immer über customercontrolpanel.de → Produkte → Webhosting → WCP Auto-Login. Alternativ bei einer Domain auf „Plesk Overview" klicken. Die direkte Plesk-URL kann sich bei Paket-Umzügen ändern – der Auto-Login über das CCP bleibt immer stabil.

Fazit

Das WordPress Toolkit im netcup WCP ist mehr als ein komfortabler Installer – es ist eine vollständige Verwaltungszentrale, die Kommandozeilen-Wissen für typische WordPress-Betriebsaufgaben überflüssig macht. Automatische Sicherheitsupdates für Plugins und Themes, individuelle Backups unabhängig vom Hosting-Backup, Staging per Klon-Funktion und Sicherheitshärtung per Klick: Diese Kombination eignet sich sowohl für KMU-Webseiten ohne eigenes IT-Team als auch für Entwickler, die mehrere WordPress-Projekte auf einer Hosting-Instanz parallel pflegen.

Der einzige relevante Wermutstropfen: „Smart Updates" mit Screenshot-basierter Risikoanalyse ist eine Premium-Plesk-Funktion und möglicherweise nicht im Standard-Paket enthalten. Für den Großteil der Anwendungsfälle – Staging-Kopie anlegen, Update testen, Live-Seite aktualisieren – reicht die kostenlos enthaltene Klon-Funktion aber vollständig aus.

Wenn du deinen netcup VPS statt Webhosting nutzt oder mehr Kontrolle über den Hosting-Stack benötigst, findest du unter KeyHelp installieren und absichern: das kostenlose Hosting-Panel für eigene Server eine Alternative, die ähnliche Komfort-Features auf einem Root-Server bietet.

Weiterführende Anleitungen und Quellen

Offizielle Quellen:

Verwandt

Weiter lesen

Alle Artikel →
Illustration einer kritischen WordPress-Angriffsserie mit CVSS-9.8-Warnung, roten Exploit-Wellen und mehreren kompromittierten Webseiten.
08.06.2026 ·4 min

Everest Forms Pro CVE-2026-3300: CVSS 9.8 – aktive Angriffswelle auf WordPress-Sites

Eine kritische RCE-Lücke im WordPress-Plugin Everest Forms Pro (CVSS 9.8) wird aktiv ausgenutzt. Über 29.300 Angriffsversuche wurden bereits blockiert. Betreiber sollten sofort auf Version 1.9.13 aktualisieren und ihre Installationen auf verdächtige Admin-Accounts prüfen.
Illustration einer kritischen WordPress-Sicherheitslücke in Everest Forms Pro mit roter Warnanzeige, Hacker-Symbolik und laufendem Exploit auf dunklem Cybersecurity-Hintergrund.
07.06.2026 ·4 min

WordPress Everest Forms Pro: Kritische RCE-Lücke CVE-2026-3300 (CVSS 9.8) aktiv ausgenutzt

Angreifer nutzen aktiv eine kritische Remote-Code-Execution-Lücke (CVE-2026-3300, CVSS 9.8) im WordPress-Plugin Everest Forms Pro aus. Alle Versionen bis 1.9.12 sind betroffen, rund 4.000 Installationen bleiben ungepatcht. Update auf Version 1.9.13 ist sofort erforderlich.
Gebrochenes digitales Schloss symbolisiert kritische WordPress-Sicherheitslücke
04.06.2026 ·3 min

WordPress-Plugin Kirki: CVE-2026-8206 ermöglicht Admin-Übernahme auf 500.000+ Websites

Kritische Lücke CVE-2026-8206 (CVSS 9.8) im WordPress-Plugin Kirki: Unauthentifizierte Angreifer übernehmen Admin-Konten via manipuliertem Passwort-Reset. Über 500.000 Installationen betroffen – Patch auf Version 6.0.7 sofort einspielen.