Status

/

/

Shared Hosting: Die 4 größten Sicherheitsrisiken und wie du dich schützt

Shared Hosting: Die 4 größten Sicherheitsrisiken und wie du dich schützt

Veröffentlicht am 6. Juli 2026
  10 Min. Lesezeit
  Aktualisiert am 6. Juli 2026

Beim Shared Hosting teilen sich mehrere Websites dieselbe Server-Infrastruktur. Das macht Webhosting erschwinglich und unkompliziert. Es bringt aber auch spezifische Sicherheitsrisiken mit sich, die du kennen solltest. Welche Risiken beim Shared Hosting wirklich relevant sind und mit welchen Maßnahmen du deine Website zuverlässig schützt.

Blogbeitragsbild zu den Sicherheitsrisiken beim Shared Hosting und wie man sich schützt.

Inhalt

Darum geht's

  • Beim Shared Hosting teilen sich mehrere Websites denselben Server. Das birgt konkrete Sicherheits- und Leistungsrisiken, die du kennen und aktiv angehen solltest.
  • Ein kompromittierter Nachbar auf demselben Server kann deine Website verlangsamen und als Einfallstor für Angriffe dienen.
  • Auch DDoS-Angriffe auf andere Websites können die Serverressourcen belasten.
  • Eine gemeinsame IP-Adresse kann dazu führen, dass deine Website in Mitleidenschaft gezogen wird, wenn eine Nachbar-Website auf schwarze Listen gesetzt wird.
  • hosttech schützt dich durch Verzeichnis-Isolation und Ressourcen-Begrenzung pro Account. Mit zusätzlichen Maßnahmen wie einer eigenen IP, Sicherheits-Plugins und Berechtigungs-Management erhöhst du die Sicherheit deiner Website.

Was ist Shared Hosting und warum teilt man sich einen Server?

Damit deine Website im Internet erreichbar ist, braucht sie einen Webserver. Dieser stellt Ressourcen bereit: Rechenleistung, Arbeitsspeicher und Speicherplatz. Jedes Mal, wenn jemand deine Website aufruft, werden diese Ressourcen genutzt.

Die meisten Websites – besonders kleinere Projekte, Blogs oder Unternehmensauftritte von KMU – beanspruchen dabei nur einen Bruchteil der Kapazität, die ein vollständiger Server bieten würde. Es wäre schlicht ineffizient und unnötig teuer, für solche Websites einen ganzen Server zu reservieren. Die Lösung: Shared Hosting. Mehrere Websites teilen sich einen Server, was Ressourcen effizienter nutzt und die Kosten für alle Beteiligten senkt.

Du kannst dir das so vorstellen, als würdest du ein ganzes Mehrfamilienhaus kaufen und nur eine kleine Wohnung darin wird bewohnt.

Shared Hosting ist für viele Anwendungsfälle die richtige Wahl. Es lohnt sich aber, die damit verbundenen Sicherheitsaspekte zu kennen und die eigene Website entsprechend abzusichern.

Die 4 größten Sicherheits- und Leistungsrisiken beim Shared Hosting

Um auf die Analogie mit der Wohnung zurückzukommen: Stell dir vor, du wohnst in einem großen Wohnhaus mit vielen anderen Mietparteien. Ihr teilt euch Treppenhäuser, Aufzüge und den Eingangsbereich. Wenn eine Person die Haustür oder ein Fenster nicht richtig schließt, kann sich ein Eindringling Zugang zu den Gemeinschaftsflächen verschaffen und von dort aus versuchen, in einzelne Wohnungen einzubrechen.

Genauso funktioniert es beim Shared Hosting: Wird eine Website auf dem Server kompromittiert, kann das Auswirkungen auf andere Websites desselben Servers haben. Dazu kommen Leistungsrisiken, die nichts mit Hacking zu tun haben, aber genauso relevant sind.

1. Gemeinsames Verzeichnis

Jede WordPress-Website speichert ihre Dateien in einem eigenen Ordner. Auf einem Shared-Hosting-Server liegen die Ordner mehrerer Websites in einem gemeinsamen Verzeichnis. Theoretisch könnte ein Angreifer, der Zugang zu diesem übergeordneten Verzeichnis erlangt, alle darunterliegenden Websites angreifen – zum Beispiel indem er automatisiert nach veralteten Plugins oder bekannten Schwachstellen sucht.

Bei hosttech Webhosting ist jede Domain durch ein eigenes Verzeichnis und eigene Benutzerrechte isoliert. Das bedeutet: Eine kompromittierte Website auf demselben Server stellt keine Gefahr für deine Dateien dar. Diese Isolation ist ein zentrales Sicherheitsmerkmal und keineswegs bei allen Hosting-Anbietern selbstverständlich.

2. Langsame Ladezeit durch überlastete Nachbar-Websites

Wenn eine andere Website auf deinem Server gehackt wird und Hacker sie für bösartige Aktivitäten missbrauchen – etwa zum Versenden von Spam-Mails oder zum Ausführen von Skripten –, verbraucht diese Website deutlich mehr Serverressourcen als vorgesehen. Auch schlecht gewartete Nachbar-Websites tun das. Eine Website mit veralteter PHP-Version, Dutzenden ungepflegten Plugins oder unkomprimierten Mediendateien kann dauerhaft mehr Ressourcen beanspruchen, als ihr zugeteilt sind. Dasselbe gilt für unerwartete Traffic-Spitzen, etwa durch eine viral gegangene Seite oder einen schlecht konfigurierten Cronjob.

Wenn eine solche Website die geteilten Serverressourcen überlastet, kann das dazu führen, dass deine Website langsamer wird oder im schlimmsten Fall gar nicht mehr reagiert – obwohl du selbst alles richtig machst.

Damit das nicht passiert, setzt hosttech klare Ressourcen-Limits pro Website. Bei einer Überlastung werden nur die Ressourcen der betroffenen Website eingeschränkt. Alle anderen Websites auf demselben Server bleiben davon unberührt. Die wichtigsten Limits betreffen den CPU- und RAM-Verbrauch und sind in den jeweiligen Paketdetails transparent aufgeführt.

Darstellung der Funktionsweise der Ressourcen-Limitierung bei Shared Hostings von hosttech.
Durch die Limitierung der Ressourcen im Shared Hosting ist gewährleistet, dass nicht mehrere Websites auf demselben Server ausfallen, sondern nur diejenige, welche das Limit erreicht.

Wer keinerlei Einschränkungen in Kauf nehmen möchte oder eine wachsende Website betreibt, findet bei hosttech mit dem Managed Hosting oder einem vServer dedizierte Alternativen. Mehr zu Hosting-Limits und was dahintersteckt, erklärt der Beitrag Webhosting-Limits erreicht: Was steckt dahinter und was kannst du tun?.

3. DDoS-Angriffe

Ein DDoS-Angriff (Distributed Denial of Service) zielt darauf ab, einen Webserver durch eine Flut gleichzeitiger Anfragen zu überlasten und damit unzugänglich zu machen. Klassischerweise werden dabei Tausende infizierter Geräte koordiniert eingesetzt – von kompromittierten Heimrechnern bis zu schlecht gesicherten IoT-Geräten wie Routern oder Überwachungskameras.

Was sich in den letzten Jahren verändert hat: Laut dem NETSCOUT Threat Intelligence Report senken KI-gestützte Werkzeuge die technische Einstiegshürde für solche Angriffe, weil sich Botnet-Steuerung und Schwachstellenanalysen stärker automatisieren lassen. Sogenannte „Dark LLMs“ – im Darknet verfügbare Varianten großer Sprachmodelle – beschleunigen die operative Umsetzung zusätzlich. Gleichzeitig sind günstige „DDoS-as-a-Service“-Angebote entstanden, die auch technisch unerfahrenen Personen ermöglichen, mit wenig Geld gezielt Unternehmen oder Behörden angreifen zu lassen.

Die Folge: Die Gesamtzahl der DDoS-Angriffe hat sich 2025 auf über 47 Millionen mehr als verdoppelt. Laut Cloudflare Threat Report 2026 haben sich allein die Angriffe auf Netzwerkebene im Jahresvergleich verdreifacht. Besonders relevant für den Hosting-Kontext: Rechenzentren, Hosting- und Datenverarbeitungsdienste zählen laut NETSCOUT mit großem Abstand zu den am häufigsten angegriffenen Zielen.

Wenn eine Website auf deinem Shared-Hosting-Server Ziel eines solchen Angriffs wird, kann der resultierende Traffic-Anstieg auch andere Websites auf demselben Server beeinträchtigen. DDoS-Angriffe können jede Art von Server treffen, also auch dedizierte Systeme. Die hosttech-Infrastruktur bietet Schutz vor DDoS-Angriffen bis zu 10 Gbit/s, was den überwiegenden Teil der im Alltag vorkommenden Angriffe zuverlässig abwehrt.

4. Gemeinsame IP-Adresse

Jeder Server hat eine eigene IP-Adresse und auf einem Shared-Hosting-Server teilen sich standardmäßig alle darauf gehosteten Websites diese eine Adresse. Das kann zum Problem werden, wenn eine Nachbar-Website für illegale Aktivitäten oder Spam-Versand genutzt wird: In diesem Fall kann die gesamte IP-Adresse auf Blacklists gesetzt werden.

Die Konsequenzen können dich direkt treffen, obwohl du selbst nichts falsch gemacht hast:

  • Firewalls anderer Nutzer blockieren deine Website, weil sie die IP-Adresse als bösartig einstufen.
  • E-Mail-Anbieter wie Gmail leiten deine ausgehenden E-Mails in den Spam-Ordner der Empfänger um.
  • Suchmaschinen wie Google markieren deine Website als unsicher, was sich direkt auf dein Ranking auswirkt.

Der effektivste Schutz dagegen: eine eigene, dedizierte IP-Adresse. Damit bist du unabhängig vom Verhalten anderer Websites auf demselben Server. Melde dich gerne via Ticket-System bei unserem Support-Team, um eine eigene IP für dein Webhosting zu beziehen.

4 Maßnahmen, um deine Website beim Shared Hosting zu schützen

Die oben beschriebenen Risiken klingen ernster, als sie in der Praxis oft sind. Vor allem dann, wenn du aktiv gegensteuerst. Die folgenden vier Maßnahmen lassen sich ohne großen Aufwand umsetzen und erhöhen die Sicherheit deiner Website deutlich. Ich nutze WordPress als Beispiel, da viele hosttech-Kund:innen dieses Content-Management-System verwenden. Die Tipps lassen sich aber sinngemäß auch auf andere CMS übertragen.

1. Sicherheits-Plugin installieren

Ein gutes Sicherheits-Plugin ist die erste Verteidigungslinie für deine WordPress-Website – unabhängig davon, ob du Shared Hosting oder einen dedizierten Server nutzt. Es erkennt bösartige Aktivitäten, blockiert unberechtigte Zugriffsversuche und warnt dich bei Auffälligkeiten.

Ich empfehle NinjaFirewall. Das Plugin richtet automatisch eine robuste Web Application Firewall ein, die Angreifern den Zugriff auf sensible Dateien deiner Website verwehrt. Mit wenigen Klicks kannst du außerdem die empfohlenen WordPress-Härtungsmaßnahmen aktivieren. Die detaillierte Konfigurationsanleitung findest du direkt beim NinjaFirewall-Entwickler.

2. Hosting-Umgebung auf Isolation prüfen

Nicht alle Shared-Hosting-Anbieter sind gleich aufgestellt, was die Isolation einzelner Websites betrifft. Stelle sicher, dass die Umgebung deiner Website von anderen Websites auf demselben Server getrennt ist – das heisst, die Dateien und Prozesse von website1.com sollten für website2.com nicht zugänglich sein.

Bei hosttech ist diese Isolation standardmässig gewährleistet: Jede Domain hat ein eigenes Verzeichnis und eigene Systemberechtigungen. Du bist also automatisch vor diesem Risiko geschützt. Wenn du dir bei einem anderen Anbieter nicht sicher bist, lohnt es sich, direkt nachzufragen oder die technischen Spezifikationen zu prüfen.

3. Dateiberechtigungen korrekt festlegen

Auch wenn dein Hosting-Anbieter für die Server-Isolation sorgt, kannst du auf Dateiebene eine zusätzliche Schutzschicht einrichten. Durch korrekte Dateiberechtigungen stellst du sicher, dass nur du als Website-Eigentümer auf bestimmte Dateien zugreifen kannst.

Du findest die entsprechenden Einstellungen im Plesk Control Panel deines hosttech Hosting-Accounts.

Screenshot aus dem Plesk Control Panel zur Veranschaulichung der Einstellungsmöglichkeiten für Dateiberechtigungen. Links im Menu ist der Punkt "Dateien" rot umrahmt, rechts wird der File Manager angezeigt mit allen Dateiverzeichnissen. Beim Verzeichnis wp-content wurde rechts das Dropdown-Menu angewählt und der Punkt "Berechtigungen ändern" ist ebenfalls rot umrahmt.
Die Berechtigungseinstellungen kannst du im Plesk Control Panel im File Manager anpassen.

Als Richtwert gilt: Die WordPress-Verzeichnisrechte sollten auf 755 und die WordPress-Dateirechte auf 644 gesetzt sein. Wichtige Ausnahmen sind die wp-config.php Datei deiner Website und die .htaccess Datei deines Servers. Sie sollten mit der restriktesten Berechtigung (640) versehen sein.

Verzeichnis/DateiEmpfohlene Berechtigung
wp-admin755
wp-includes755
wp-content755
wp-content/themes755
wp-content/plugins755
wp-content/uploads755
.htaccess640
index.php644
wp-config.php640

4. PHP-Ausführung in sensiblen Verzeichnissen blockieren

Gehackte WordPress-Websites enthalten häufig sogenannte Backdoor-Dateien. Diese sind getarnt als reguläre WordPress-Dateien und meist in den Verzeichnissen /wp-includes/ oder /wp-content/uploads/ versteckt. Diese Dateien führen PHP-Code aus, um Hacker-Aktivitäten zu verschleiern.

PHP wird auf deiner Website zwar grundsätzlich benötigt, aber nicht in allen Verzeichnissen. Indem du die PHP-Ausführung in den Upload- und Includes-Verzeichnissen deaktivierst, erschwerst du Angreifern die Arbeit erheblich.

So gehst du vor: Erstelle eine leere Datei mit dem Namen .htaccess und füge folgenden Code ein:

<Files *.php>
deny from all
</Files>

Falls du die Ordner siehst, dann sollte es nach der Anpassung wie folgt aussehen:

Screenshot aus dem Plesk Control Panel. Im Verzeichnis wp-content uploads wurde eine .htaccess-Datei hinzugefügt, um die PHP-Ausführung zu blockieren.

Fazit

Shared Hosting ist für die meisten Websites eine kosteneffiziente und technisch solide Lösung. Besonders dann, wenn der Anbieter die richtigen Schutzmechanismen auf Server-Ebene implementiert hat. Gleichzeitig gilt: Keine Hosting-Umgebung schützt dich vollständig, wenn du selbst keine Sicherheitsmaßnahmen ergreifst. Ein aktuelles Sicherheits-Plugin, korrekte Dateiberechtigungen und das Einschränken der PHP-Ausführung in sensiblen Verzeichnissen sind Maßnahmen, die sich in wenigen Minuten umsetzen lassen und einen echten Unterschied machen.

Wenn dein Projekt wächst und du mehr Kontrolle, Ressourcen oder Unabhängigkeit benötigst, lohnt sich ein Blick auf die vServer- und Managed-Hosting-Angebote von hosttech. Und für den Fall, dass doch etwas passiert: Mit Backup & Protect stellst du sicher, dass du deine Daten jederzeit wiederherstellen kannst.

FAQ zu Shared Hosting und Sicherheit

Ist Shared Hosting unsicher?

Nicht grundsätzlich. Shared Hosting bringt spezifische Risiken mit sich, die durch technische Maßnahmen auf Anbieterseite und durch aktives Sicherheitsmanagement auf Website-Seite gut beherrschbar sind. Entscheidend ist, dass dein Anbieter die Websites auf dem Server korrekt voneinander isoliert und klare Ressourcen-Limits einsetzt. Bei hosttech ist das standardmäßig der Fall.

Was passiert, wenn eine andere Website auf meinem Server gehackt wird?

Das hängt stark davon ab, wie gut der Hosting-Anbieter die Websites voneinander isoliert. Bei einem sauber konfigurierten Shared-Hosting-Server wie bei hosttech bleibt ein Angriff auf eine Website auf eben diese beschränkt – deine Dateien und Daten sind nicht zugänglich. Mögliche Auswirkungen können dennoch ein erhöhter Ressourcenverbrauch und damit eine vorübergehend verlangsamte Website sein.

Was ist eine DDoS-Attacke und wie schütze ich mich davor?

Bei einem DDoS-Angriff (Distributed Denial of Service) wird ein Server mit einer Flut künstlicher Anfragen überhäuft, bis er unter der Last zusammenbricht. Als Website-Betreiber kannst du diese Angriffe nicht direkt abwehren. Das ist Aufgabe des Hosting-Anbieters auf Infrastrukturebene. hosttech schützt seine Server vor DDoS-Angriffen bis zu 10 Gbit/s. Zusätzlich kann ein Sicherheits-Plugin wie NinjaFirewall bösartigen Traffic auf Anwendungsebene filtern.

Brauche ich beim Shared Hosting eine eigene IP-Adresse?

Nicht zwingend, aber es kann sinnvoll sein. Eine dedizierte IP-Adresse schützt dich davor, durch das Verhalten anderer Websites auf demselben Server auf schwarze Listen zu gelangen. Dies kann sonst dazu führen, dass deine E-Mails als Spam eingestuft oder deine Website von Firewalls blockiert wird.

Welche Dateiberechtigungen sollte meine WordPress-Website haben?

Als Richtwert gilt: Verzeichnisse sollten die Berechtigung 755 haben, normale Dateien 644. Die wp-config.php – sie enthält deine Datenbankzugangsdaten – sollte mit 640 besonders restriktiv abgesichert sein. Die Einstellungen nimmst du im Dateimanager deines Plesk Control Panels vor.

Inhalt

Artikel teilen

Link kopieren

Artikel teilen

Link kopieren
Bild von Tamara Oechslin

Support & Services    4 Artikel

525
Kategorie
Headerbild zum Blogbeitrag über den Data Breach Investigations Report 2026. Bild zeigt unseren Security-Specialist Alexander mit einem Warnsignal und einem zerbrochenen Schloss-Icon als Symbol für Cyber Security und IT-Schwachstellen

Schwachstellen-Ausnutzung überholt erstmals Credential-Diebstahl als häufigsten Angriffsweg. Der Verizon Data Breach Investigations Report 2026 zeigt, wo Unternehmen 2026 wirklich ansetzen müssen – mit Daten aus über 22 000 bestätigten Sicherheitsvorfällen weltweit.

Cédric Juan, Autor bei hosttech, neben einem animierten Suchfeld mit dem Begriff «SEO Trends», einem KI-Mikrofon-Icon und einem Balkendiagramm mit steigenden Werten – visuelle Darstellung der wichtigsten SEO-Trends 2026.

Die digitale Suche steht vor dem größten Umbruch seit der Gründung von Google. KI-gestützte Systeme verändern grundlegend, wie Inhalte gefunden und bewertet werden. Wer 2026 online sichtbar bleiben will, muss mehr tun als klassisches SEO und verstehen, welche neuen Regeln gelten.

Titelbild zum Blogbeitrag von hosttech anlässlich des internationalen Caps Lock Day

AM 28. Juni IST WORLD CAPS LOCK DAY! Keine Sorge, dieser Blogbeitrag ist NICHT komplett in Großbuchstaben geschrieben. Erfahre mehr über den kuriosen Feiertag für die Großschreibung.

WordPress-Dashboard mit Plugin-Verzeichnis und SEO-Erweiterungen zur Optimierung von Sicherheit, Performance und Sichtbarkeit für KMU-Websites.

Wer eine WordPress-Website für sein Unternehmen betreibt, steht früher oder später vor derselben Frage: Welche Plugins brauche ich wirklich und welche sind nur unnötiger Ballast? Die Erfahrung zeigt: Die richtigen Plugins machen den Unterschied zwischen einer Website, die läuft, und einer, die wirklich arbeitet.

Imunify360 Logo mit Security-Schild und Wordpress Logo als Symbolbild für Beitrag: Imunify360 schützt WordPress-Websites vor Malware, Brute-Force-Angriffen und Sicherheitslücken durch integrierte Echtzeit-Sicherheit im Hosting

WordPress ist das meistgenutzte Content-Management-System der Welt – und genau deshalb auch eines der häufigsten Ziele von automatisierten Angriffen. Wir haben darauf reagiert und Imunify360 auf allen WordPress-Websites, die bei hosttech gehostet sind, automatisch integriert. Was das konkret bringt und wie du davon profitierst, erfährst du hier.

Headerbild zum Blogbeitrag über die Stromversorgung in Rechenzentren. Ein dunkler Serverraum mit dezenter blauer Beleuchtung. Mittig ist die Silouette eines Mannes zu sehen.

Redundanz, USV und Notstromtests – ein Blick hinter die Kulissen der Energieversorgung in den hosttech-Datacentern.

Illustration einer .eu-Domain im Browserfenster vor EU-Flagge als Symbol für europäische digitale Identität und internationale Online-Präsenz sowie dem EURid Logo

Wer mit seiner Website den europäischen Markt ansprechen will, stößt früher oder später auf eine Frage: Welche Domain-Endung passt eigentlich zu mir? Mit .eu gibt es seit 2005 eine ccTLD, die nicht für ein einzelnes Land steht, sondern für einen ganzen Wirtschaftsraum. Was dahintersteckt, für wen sie geeignet ist und worauf man bei der Registrierung achten muss.

myhosttech Kundencenter