Was ist Shared Hosting und warum teilt man sich einen Server?
Damit deine Website im Internet erreichbar ist, braucht sie einen Webserver. Dieser stellt Ressourcen bereit: Rechenleistung, Arbeitsspeicher und Speicherplatz. Jedes Mal, wenn jemand deine Website aufruft, werden diese Ressourcen genutzt.
Die meisten Websites – besonders kleinere Projekte, Blogs oder Unternehmensauftritte von KMU – beanspruchen dabei nur einen Bruchteil der Kapazität, die ein vollständiger Server bieten würde. Es wäre schlicht ineffizient und unnötig teuer, für solche Websites einen ganzen Server zu reservieren. Die Lösung: Shared Hosting. Mehrere Websites teilen sich einen Server, was Ressourcen effizienter nutzt und die Kosten für alle Beteiligten senkt.
Du kannst dir das so vorstellen, als würdest du ein ganzes Mehrfamilienhaus kaufen und nur eine kleine Wohnung darin wird bewohnt.
Shared Hosting ist für viele Anwendungsfälle die richtige Wahl. Es lohnt sich aber, die damit verbundenen Sicherheitsaspekte zu kennen und die eigene Website entsprechend abzusichern.
Die 4 größten Sicherheits- und Leistungsrisiken beim Shared Hosting
Um auf die Analogie mit der Wohnung zurückzukommen: Stell dir vor, du wohnst in einem großen Wohnhaus mit vielen anderen Mietparteien. Ihr teilt euch Treppenhäuser, Aufzüge und den Eingangsbereich. Wenn eine Person die Haustür oder ein Fenster nicht richtig schließt, kann sich ein Eindringling Zugang zu den Gemeinschaftsflächen verschaffen und von dort aus versuchen, in einzelne Wohnungen einzubrechen.
Genauso funktioniert es beim Shared Hosting: Wird eine Website auf dem Server kompromittiert, kann das Auswirkungen auf andere Websites desselben Servers haben. Dazu kommen Leistungsrisiken, die nichts mit Hacking zu tun haben, aber genauso relevant sind.
1. Gemeinsames Verzeichnis
Jede WordPress-Website speichert ihre Dateien in einem eigenen Ordner. Auf einem Shared-Hosting-Server liegen die Ordner mehrerer Websites in einem gemeinsamen Verzeichnis. Theoretisch könnte ein Angreifer, der Zugang zu diesem übergeordneten Verzeichnis erlangt, alle darunterliegenden Websites angreifen – zum Beispiel indem er automatisiert nach veralteten Plugins oder bekannten Schwachstellen sucht.
Bei hosttech Webhosting ist jede Domain durch ein eigenes Verzeichnis und eigene Benutzerrechte isoliert. Das bedeutet: Eine kompromittierte Website auf demselben Server stellt keine Gefahr für deine Dateien dar. Diese Isolation ist ein zentrales Sicherheitsmerkmal und keineswegs bei allen Hosting-Anbietern selbstverständlich.
2. Langsame Ladezeit durch überlastete Nachbar-Websites
Wenn eine andere Website auf deinem Server gehackt wird und Hacker sie für bösartige Aktivitäten missbrauchen – etwa zum Versenden von Spam-Mails oder zum Ausführen von Skripten –, verbraucht diese Website deutlich mehr Serverressourcen als vorgesehen. Auch schlecht gewartete Nachbar-Websites tun das. Eine Website mit veralteter PHP-Version, Dutzenden ungepflegten Plugins oder unkomprimierten Mediendateien kann dauerhaft mehr Ressourcen beanspruchen, als ihr zugeteilt sind. Dasselbe gilt für unerwartete Traffic-Spitzen, etwa durch eine viral gegangene Seite oder einen schlecht konfigurierten Cronjob.
Wenn eine solche Website die geteilten Serverressourcen überlastet, kann das dazu führen, dass deine Website langsamer wird oder im schlimmsten Fall gar nicht mehr reagiert – obwohl du selbst alles richtig machst.
Damit das nicht passiert, setzt hosttech klare Ressourcen-Limits pro Website. Bei einer Überlastung werden nur die Ressourcen der betroffenen Website eingeschränkt. Alle anderen Websites auf demselben Server bleiben davon unberührt. Die wichtigsten Limits betreffen den CPU- und RAM-Verbrauch und sind in den jeweiligen Paketdetails transparent aufgeführt.

Wer keinerlei Einschränkungen in Kauf nehmen möchte oder eine wachsende Website betreibt, findet bei hosttech mit dem Managed Hosting oder einem vServer dedizierte Alternativen. Mehr zu Hosting-Limits und was dahintersteckt, erklärt der Beitrag Webhosting-Limits erreicht: Was steckt dahinter und was kannst du tun?.
3. DDoS-Angriffe
Ein DDoS-Angriff (Distributed Denial of Service) zielt darauf ab, einen Webserver durch eine Flut gleichzeitiger Anfragen zu überlasten und damit unzugänglich zu machen. Klassischerweise werden dabei Tausende infizierter Geräte koordiniert eingesetzt – von kompromittierten Heimrechnern bis zu schlecht gesicherten IoT-Geräten wie Routern oder Überwachungskameras.
Was sich in den letzten Jahren verändert hat: Laut dem NETSCOUT Threat Intelligence Report senken KI-gestützte Werkzeuge die technische Einstiegshürde für solche Angriffe, weil sich Botnet-Steuerung und Schwachstellenanalysen stärker automatisieren lassen. Sogenannte „Dark LLMs“ – im Darknet verfügbare Varianten großer Sprachmodelle – beschleunigen die operative Umsetzung zusätzlich. Gleichzeitig sind günstige „DDoS-as-a-Service“-Angebote entstanden, die auch technisch unerfahrenen Personen ermöglichen, mit wenig Geld gezielt Unternehmen oder Behörden angreifen zu lassen.
Die Folge: Die Gesamtzahl der DDoS-Angriffe hat sich 2025 auf über 47 Millionen mehr als verdoppelt. Laut Cloudflare Threat Report 2026 haben sich allein die Angriffe auf Netzwerkebene im Jahresvergleich verdreifacht. Besonders relevant für den Hosting-Kontext: Rechenzentren, Hosting- und Datenverarbeitungsdienste zählen laut NETSCOUT mit großem Abstand zu den am häufigsten angegriffenen Zielen.
Wenn eine Website auf deinem Shared-Hosting-Server Ziel eines solchen Angriffs wird, kann der resultierende Traffic-Anstieg auch andere Websites auf demselben Server beeinträchtigen. DDoS-Angriffe können jede Art von Server treffen, also auch dedizierte Systeme. Die hosttech-Infrastruktur bietet Schutz vor DDoS-Angriffen bis zu 10 Gbit/s, was den überwiegenden Teil der im Alltag vorkommenden Angriffe zuverlässig abwehrt.
4. Gemeinsame IP-Adresse
Jeder Server hat eine eigene IP-Adresse und auf einem Shared-Hosting-Server teilen sich standardmäßig alle darauf gehosteten Websites diese eine Adresse. Das kann zum Problem werden, wenn eine Nachbar-Website für illegale Aktivitäten oder Spam-Versand genutzt wird: In diesem Fall kann die gesamte IP-Adresse auf Blacklists gesetzt werden.
Die Konsequenzen können dich direkt treffen, obwohl du selbst nichts falsch gemacht hast:
- Firewalls anderer Nutzer blockieren deine Website, weil sie die IP-Adresse als bösartig einstufen.
- E-Mail-Anbieter wie Gmail leiten deine ausgehenden E-Mails in den Spam-Ordner der Empfänger um.
- Suchmaschinen wie Google markieren deine Website als unsicher, was sich direkt auf dein Ranking auswirkt.
Der effektivste Schutz dagegen: eine eigene, dedizierte IP-Adresse. Damit bist du unabhängig vom Verhalten anderer Websites auf demselben Server. Melde dich gerne via Ticket-System bei unserem Support-Team, um eine eigene IP für dein Webhosting zu beziehen.
4 Maßnahmen, um deine Website beim Shared Hosting zu schützen
Die oben beschriebenen Risiken klingen ernster, als sie in der Praxis oft sind. Vor allem dann, wenn du aktiv gegensteuerst. Die folgenden vier Maßnahmen lassen sich ohne großen Aufwand umsetzen und erhöhen die Sicherheit deiner Website deutlich. Ich nutze WordPress als Beispiel, da viele hosttech-Kund:innen dieses Content-Management-System verwenden. Die Tipps lassen sich aber sinngemäß auch auf andere CMS übertragen.
1. Sicherheits-Plugin installieren
Ein gutes Sicherheits-Plugin ist die erste Verteidigungslinie für deine WordPress-Website – unabhängig davon, ob du Shared Hosting oder einen dedizierten Server nutzt. Es erkennt bösartige Aktivitäten, blockiert unberechtigte Zugriffsversuche und warnt dich bei Auffälligkeiten.
Ich empfehle NinjaFirewall. Das Plugin richtet automatisch eine robuste Web Application Firewall ein, die Angreifern den Zugriff auf sensible Dateien deiner Website verwehrt. Mit wenigen Klicks kannst du außerdem die empfohlenen WordPress-Härtungsmaßnahmen aktivieren. Die detaillierte Konfigurationsanleitung findest du direkt beim NinjaFirewall-Entwickler.
2. Hosting-Umgebung auf Isolation prüfen
Nicht alle Shared-Hosting-Anbieter sind gleich aufgestellt, was die Isolation einzelner Websites betrifft. Stelle sicher, dass die Umgebung deiner Website von anderen Websites auf demselben Server getrennt ist – das heisst, die Dateien und Prozesse von website1.com sollten für website2.com nicht zugänglich sein.
Bei hosttech ist diese Isolation standardmässig gewährleistet: Jede Domain hat ein eigenes Verzeichnis und eigene Systemberechtigungen. Du bist also automatisch vor diesem Risiko geschützt. Wenn du dir bei einem anderen Anbieter nicht sicher bist, lohnt es sich, direkt nachzufragen oder die technischen Spezifikationen zu prüfen.
3. Dateiberechtigungen korrekt festlegen
Auch wenn dein Hosting-Anbieter für die Server-Isolation sorgt, kannst du auf Dateiebene eine zusätzliche Schutzschicht einrichten. Durch korrekte Dateiberechtigungen stellst du sicher, dass nur du als Website-Eigentümer auf bestimmte Dateien zugreifen kannst.
Du findest die entsprechenden Einstellungen im Plesk Control Panel deines hosttech Hosting-Accounts.

Als Richtwert gilt: Die WordPress-Verzeichnisrechte sollten auf 755 und die WordPress-Dateirechte auf 644 gesetzt sein. Wichtige Ausnahmen sind die wp-config.php Datei deiner Website und die .htaccess Datei deines Servers. Sie sollten mit der restriktesten Berechtigung (640) versehen sein.
| Verzeichnis/Datei | Empfohlene Berechtigung |
|---|---|
| wp-admin | 755 |
| wp-includes | 755 |
| wp-content | 755 |
| wp-content/themes | 755 |
| wp-content/plugins | 755 |
| wp-content/uploads | 755 |
| .htaccess | 640 |
| index.php | 644 |
| wp-config.php | 640 |
4. PHP-Ausführung in sensiblen Verzeichnissen blockieren
Gehackte WordPress-Websites enthalten häufig sogenannte Backdoor-Dateien. Diese sind getarnt als reguläre WordPress-Dateien und meist in den Verzeichnissen /wp-includes/ oder /wp-content/uploads/ versteckt. Diese Dateien führen PHP-Code aus, um Hacker-Aktivitäten zu verschleiern.
PHP wird auf deiner Website zwar grundsätzlich benötigt, aber nicht in allen Verzeichnissen. Indem du die PHP-Ausführung in den Upload- und Includes-Verzeichnissen deaktivierst, erschwerst du Angreifern die Arbeit erheblich.
So gehst du vor: Erstelle eine leere Datei mit dem Namen .htaccess und füge folgenden Code ein:
<Files *.php>
deny from all
</Files>
Falls du die Ordner siehst, dann sollte es nach der Anpassung wie folgt aussehen:

Fazit
Shared Hosting ist für die meisten Websites eine kosteneffiziente und technisch solide Lösung. Besonders dann, wenn der Anbieter die richtigen Schutzmechanismen auf Server-Ebene implementiert hat. Gleichzeitig gilt: Keine Hosting-Umgebung schützt dich vollständig, wenn du selbst keine Sicherheitsmaßnahmen ergreifst. Ein aktuelles Sicherheits-Plugin, korrekte Dateiberechtigungen und das Einschränken der PHP-Ausführung in sensiblen Verzeichnissen sind Maßnahmen, die sich in wenigen Minuten umsetzen lassen und einen echten Unterschied machen.
Wenn dein Projekt wächst und du mehr Kontrolle, Ressourcen oder Unabhängigkeit benötigst, lohnt sich ein Blick auf die vServer- und Managed-Hosting-Angebote von hosttech. Und für den Fall, dass doch etwas passiert: Mit Backup & Protect stellst du sicher, dass du deine Daten jederzeit wiederherstellen kannst.
FAQ zu Shared Hosting und Sicherheit
Ist Shared Hosting unsicher?
Nicht grundsätzlich. Shared Hosting bringt spezifische Risiken mit sich, die durch technische Maßnahmen auf Anbieterseite und durch aktives Sicherheitsmanagement auf Website-Seite gut beherrschbar sind. Entscheidend ist, dass dein Anbieter die Websites auf dem Server korrekt voneinander isoliert und klare Ressourcen-Limits einsetzt. Bei hosttech ist das standardmäßig der Fall.
Was passiert, wenn eine andere Website auf meinem Server gehackt wird?
Das hängt stark davon ab, wie gut der Hosting-Anbieter die Websites voneinander isoliert. Bei einem sauber konfigurierten Shared-Hosting-Server wie bei hosttech bleibt ein Angriff auf eine Website auf eben diese beschränkt – deine Dateien und Daten sind nicht zugänglich. Mögliche Auswirkungen können dennoch ein erhöhter Ressourcenverbrauch und damit eine vorübergehend verlangsamte Website sein.
Was ist eine DDoS-Attacke und wie schütze ich mich davor?
Bei einem DDoS-Angriff (Distributed Denial of Service) wird ein Server mit einer Flut künstlicher Anfragen überhäuft, bis er unter der Last zusammenbricht. Als Website-Betreiber kannst du diese Angriffe nicht direkt abwehren. Das ist Aufgabe des Hosting-Anbieters auf Infrastrukturebene. hosttech schützt seine Server vor DDoS-Angriffen bis zu 10 Gbit/s. Zusätzlich kann ein Sicherheits-Plugin wie NinjaFirewall bösartigen Traffic auf Anwendungsebene filtern.
Brauche ich beim Shared Hosting eine eigene IP-Adresse?
Nicht zwingend, aber es kann sinnvoll sein. Eine dedizierte IP-Adresse schützt dich davor, durch das Verhalten anderer Websites auf demselben Server auf schwarze Listen zu gelangen. Dies kann sonst dazu führen, dass deine E-Mails als Spam eingestuft oder deine Website von Firewalls blockiert wird.
Welche Dateiberechtigungen sollte meine WordPress-Website haben?
Als Richtwert gilt: Verzeichnisse sollten die Berechtigung 755 haben, normale Dateien 644. Die wp-config.php – sie enthält deine Datenbankzugangsdaten – sollte mit 640 besonders restriktiv abgesichert sein. Die Einstellungen nimmst du im Dateimanager deines Plesk Control Panels vor.
