Beim Shared Hosting teilen sich mehrere Websites dieselbe Server-Infrastruktur. Dieses Modell ermöglicht kosteneffizientes und unkompliziertes Webhosting – bringt jedoch spezifische Sicherheitsrisiken mit sich, die Sie als Website-Betreiber kennen und aktiv adressieren sollten. Im Folgenden erfahren Sie, welche Risiken beim Shared Hosting tatsächlich relevant sind und mit welchen Massnahmen Sie Ihre Website zuverlässig absichern.
Inhaltsverzeichnis
Webhosting aus der Schweiz
Durchdachte Tarife. Preisgekröntes Admin-Tool. 100 % SSD-Speicher. Standort Schweiz. 30 Tage Geld-zurück-Garantie. Ultraschnelle Ladezeiten.
Wir kümmern uns um die Technik dahinter und Sie haben Zeit für Ihr Business.
Das Wichtigste im Überblick
- Beim Shared Hosting nutzen mehrere Websites denselben Server. Das birgt konkrete Sicherheits- und Leistungsrisiken, die sich durch gezielte Massnahmen wirksam minimieren lassen.
- Eine kompromittierte Nachbar-Website auf demselben Server kann Ihre Website verlangsamen oder als Einfallstor für Angriffe dienen.
- DDoS-Angriffe auf andere Websites können die gemeinsam genutzten Serverressourcen belasten.
- Eine geteilte IP-Adresse kann dazu führen, dass Ihre Website in Mitleidenschaft gezogen wird, wenn eine Nachbar-Website auf Blacklists gesetzt wird.
- Professionelle Hosting-Anbieter schützen Sie durch Verzeichnis-Isolation und Ressourcen-Begrenzung pro Account. Mit ergänzenden Massnahmen wie einer dedizierten IP, Sicherheits-Plugins und korrektem Berechtigungs-Management erhöhen Sie die Sicherheit Ihrer Website zusätzlich.
Was ist Shared Hosting und warum teilt man sich einen Server?
Damit Ihre Website im Internet erreichbar ist, benötigt sie einen Webserver. Dieser stellt die erforderlichen Ressourcen bereit: Rechenleistung, Arbeitsspeicher und Speicherplatz. Bei jedem Seitenaufruf werden diese Ressourcen beansprucht.
Die meisten Websites – insbesondere kleinere Projekte, Blogs oder Unternehmensauftritte von KMU – nutzen dabei nur einen Bruchteil der Kapazität eines vollständigen Servers. Es wäre schlicht ineffizient und unwirtschaftlich, für solche Websites einen dedizierten Server zu reservieren. Die Lösung: Shared Hosting. Mehrere Websites teilen sich einen Server, was die Ressourcen effizienter nutzt und die Kosten für alle Beteiligten deutlich reduziert.
Um es anschaulich zu machen: Einen ganzen Server für eine kleine Website zu betreiben wäre vergleichbar damit, ein gesamtes Bürogebäude zu mieten, obwohl Sie nur ein einzelnes Büro benötigen.
Shared Hosting ist für zahlreiche Anwendungsfälle die richtige Wahl. Dennoch lohnt es sich, die damit verbundenen Sicherheitsaspekte zu verstehen und Ihre Website entsprechend abzusichern.
Die vier grössten Sicherheits- und Leistungsrisiken beim Shared Hosting
Stellen Sie sich ein Bürogebäude vor, in dem mehrere Unternehmen Räumlichkeiten nutzen. Alle teilen sich den Eingangsbereich, die Aufzüge und die Haustechnik. Wenn ein Mieter seine Zugangstür nicht ordnungsgemäss sichert, kann sich ein Unbefugter Zugang zu den Gemeinschaftsbereichen verschaffen und von dort aus versuchen, in andere Büros einzudringen.
Analog verhält es sich beim Shared Hosting: Wird eine Website auf dem Server kompromittiert, kann das Auswirkungen auf andere Websites desselben Servers haben. Hinzu kommen Leistungsrisiken, die unabhängig von Sicherheitsvorfällen auftreten können, aber ebenso relevant sind.
1. Gemeinsames Verzeichnis
Jede Website speichert ihre Dateien in einem eigenen Ordner. Auf einem Shared-Hosting-Server liegen die Ordner mehrerer Websites in einem gemeinsamen Verzeichnis. Theoretisch könnte ein Angreifer, der Zugang zu diesem übergeordneten Verzeichnis erlangt, sämtliche darunterliegenden Websites angreifen – beispielsweise durch automatisiertes Scannen nach veralteten Plugins oder bekannten Schwachstellen.
Bei einem professionell konfigurierten Shared-Hosting-Server ist jede Domain durch ein eigenes Verzeichnis und eigene Benutzerrechte isoliert. Das bedeutet: Eine kompromittierte Website auf demselben Server stellt keine direkte Gefahr für Ihre Dateien dar. Diese Isolation ist ein zentrales Sicherheitsmerkmal und keineswegs bei allen Hosting-Anbietern selbstverständlich. Achten Sie bei der Wahl Ihres Hosting-Providers daher gezielt auf diesen Aspekt.
2. Langsame Ladezeiten durch überlastete Nachbar-Websites
Wird eine andere Website auf Ihrem Server gehackt und für bösartige Aktivitäten missbraucht – etwa zum Versenden von Spam-Mails oder zum Ausführen schädlicher Skripte –, verbraucht diese Website deutlich mehr Serverressourcen als vorgesehen. Auch schlecht gewartete Nachbar-Websites können erhöhten Ressourcenverbrauch verursachen: Eine Website mit veralteter PHP-Version, Dutzenden ungepflegten Plugins oder unkomprimierten Mediendateien kann dauerhaft mehr Ressourcen beanspruchen, als ihr zugeteilt sind. Dasselbe gilt für unerwartete Traffic-Spitzen, etwa durch viral gegangene Inhalte oder schlecht konfigurierte Cronjobs.
Wenn eine solche Website die geteilten Serverressourcen überlastet, kann das dazu führen, dass Ihre Website langsamer wird oder im ungünstigsten Fall gar nicht mehr reagiert – obwohl Sie selbst alles korrekt konfiguriert haben.
Professionelle Hosting-Anbieter begegnen diesem Risiko mit klar definierten Ressourcen-Limits pro Website. Bei einer Überlastung werden ausschliesslich die Ressourcen der betroffenen Website eingeschränkt. Alle anderen Websites auf demselben Server bleiben davon unberührt. Die wichtigsten Limits betreffen den CPU- und RAM-Verbrauch und sollten in den jeweiligen Paketdetails transparent aufgeführt sein.
Wenn Ihr Projekt wächst und Sie mehr Kontrolle, Ressourcen oder Unabhängigkeit benötigen, bieten sich dedizierte Alternativen an. METANET stellt hierfür leistungsstarke VPS, Managed Cloud Server und umfassende Server-Lösungen bereit, die Ihnen volle Ressourcen-Souveränität garantieren.
3. DDoS-Angriffe
Ein DDoS-Angriff (Distributed Denial of Service) zielt darauf ab, einen Webserver durch eine Flut gleichzeitiger Anfragen zu überlasten und damit unzugänglich zu machen. Dabei werden typischerweise Tausende infizierter Geräte koordiniert eingesetzt – von kompromittierten Rechnern bis hin zu schlecht gesicherten IoT-Geräten wie Routern oder Überwachungskameras.
Was sich in den letzten Jahren signifikant verändert hat: Laut dem NETSCOUT Threat Intelligence Report senken KI-gestützte Werkzeuge die technische Einstiegshürde für solche Angriffe erheblich, da sich Botnet-Steuerung und Schwachstellenanalysen zunehmend automatisieren lassen. Sogenannte „Dark LLMs" – im Darknet verfügbare Varianten grosser Sprachmodelle – beschleunigen die operative Umsetzung zusätzlich. Gleichzeitig sind kostengünstige „DDoS-as-a-Service"-Angebote entstanden, die auch technisch unerfahrenen Personen ermöglichen, gezielt Angriffe durchführen zu lassen.
Die Konsequenzen dieser Entwicklung sind messbar: Die Gesamtzahl der DDoS-Angriffe hat sich 2025 auf über 47 Millionen mehr als verdoppelt. Laut dem Cloudflare Threat Report 2026 haben sich allein die Angriffe auf Netzwerkebene im Jahresvergleich verdreifacht. Besonders relevant für den Hosting-Kontext: Rechenzentren, Hosting- und Datenverarbeitungsdienste zählen laut NETSCOUT mit grossem Abstand zu den am häufigsten angegriffenen Zielen.
Wenn eine Website auf Ihrem Shared-Hosting-Server Ziel eines solchen Angriffs wird, kann der resultierende Traffic-Anstieg auch andere Websites auf demselben Server beeinträchtigen. Wichtig zu wissen: DDoS-Angriffe können jede Art von Server treffen, also auch dedizierte Systeme. Entscheidend ist die DDoS-Mitigation auf Infrastrukturebene, die Ihr Hosting-Anbieter bereitstellt.
4. Gemeinsame IP-Adresse
Jeder Server besitzt eine eigene IP-Adresse. Auf einem Shared-Hosting-Server teilen sich standardmässig alle darauf gehosteten Websites diese eine Adresse. Das kann zum Problem werden, wenn eine Nachbar-Website für illegale Aktivitäten oder Spam-Versand genutzt wird: In diesem Fall kann die gesamte IP-Adresse auf Blacklists gesetzt werden.
Die Konsequenzen können Sie direkt treffen, obwohl Sie selbst keinerlei Fehlverhalten zu verantworten haben:
- Firewalls anderer Nutzer blockieren Ihre Website, weil sie die IP-Adresse als bösartig einstufen.
- E-Mail-Anbieter wie Gmail leiten Ihre ausgehenden E-Mails in den Spam-Ordner der Empfänger um.
- Suchmaschinen wie Google markieren Ihre Website als unsicher, was sich direkt negativ auf Ihr Ranking auswirkt.
Der effektivste Schutz dagegen ist eine eigene, dedizierte IP-Adresse. Damit sind Sie vollständig unabhängig vom Verhalten anderer Websites auf demselben Server. Erkundigen Sie sich bei Ihrem Hosting-Anbieter nach dieser Option.
Vier Massnahmen, um Ihre Website beim Shared Hosting zu schützen
Die beschriebenen Risiken sind in der Praxis deutlich beherrschbarer, als sie zunächst erscheinen mögen – insbesondere dann, wenn Sie aktiv gegensteuern. Die folgenden vier Massnahmen lassen sich ohne grossen Aufwand umsetzen und erhöhen die Sicherheit Ihrer Website erheblich. Die Beispiele beziehen sich auf WordPress, da dieses Content-Management-System besonders verbreitet ist. Die Empfehlungen lassen sich sinngemäss auf andere CMS übertragen.
1. Sicherheits-Plugin installieren
Ein professionelles Sicherheits-Plugin bildet die erste Verteidigungslinie für Ihre WordPress-Website – unabhängig davon, ob Sie Shared Hosting oder einen dedizierten Server nutzen. Es erkennt bösartige Aktivitäten, blockiert unberechtigte Zugriffsversuche und warnt Sie bei sicherheitsrelevanten Auffälligkeiten.
Empfehlenswert ist beispielsweise NinjaFirewall. Dieses Plugin richtet automatisch eine robuste Web Application Firewall (WAF) ein, die Angreifern den Zugriff auf sensible Dateien Ihrer Website verwehrt. Mit wenigen Klicks lassen sich ausserdem die empfohlenen WordPress-Härtungsmassnahmen aktivieren. Die detaillierte Konfigurationsanleitung finden Sie direkt beim Entwickler des Plugins.
2. Hosting-Umgebung auf Isolation prüfen
Nicht alle Shared-Hosting-Anbieter sind gleichermassen aufgestellt, was die Isolation einzelner Websites betrifft. Stellen Sie sicher, dass die Umgebung Ihrer Website von anderen Websites auf demselben Server vollständig getrennt ist – das heisst, die Dateien und Prozesse von website1.com dürfen für website2.com nicht zugänglich sein.
Bei einem professionell konfigurierten Hosting-Server ist diese Isolation standardmässig gewährleistet: Jede Domain verfügt über ein eigenes Verzeichnis und eigene Systemberechtigungen. Wenn Sie bei Ihrem aktuellen Anbieter nicht sicher sind, lohnt es sich, direkt nachzufragen oder die technischen Spezifikationen zu prüfen.
Das Hosting von METANET bietet Ihnen eine professionell abgesicherte Hosting-Umgebung mit durchdachter Isolation und transparenten Sicherheitsmechanismen.
3. Dateiberechtigungen korrekt festlegen
Auch wenn Ihr Hosting-Anbieter für die Server-Isolation sorgt, können Sie auf Dateiebene eine zusätzliche Schutzschicht einrichten. Durch korrekte Dateiberechtigungen stellen Sie sicher, dass nur Sie als Website-Eigentümer auf bestimmte Dateien zugreifen können.
Die entsprechenden Einstellungen nehmen Sie im Control Panel Ihres Hosting-Accounts vor. Als Richtwert gelten folgende Berechtigungen:
| Verzeichnis / Datei | Empfohlene Berechtigung |
|---|---|
| wp-admin | 755 |
| wp-includes | 755 |
| wp-content | 755 |
| wp-content/themes | 755 |
| wp-content/plugins | 755 |
| wp-content/uploads | 755 |
| .htaccess | 640 |
| index.php | 644 |
| wp-config.php | 640 |
Besonders wichtig: Die wp-config.php-Datei Ihrer Website und die .htaccess-Datei sollten mit der restriktivsten Berechtigung (640) versehen sein, da diese Dateien sicherheitskritische Konfigurationsinformationen enthalten – insbesondere die Datenbankzugangsdaten in der wp-config.php.
4. PHP-Ausführung in sensiblen Verzeichnissen blockieren
Gehackte WordPress-Websites enthalten häufig sogenannte Backdoor-Dateien. Diese sind als reguläre WordPress-Dateien getarnt und meist in den Verzeichnissen /wp-includes/ oder /wp-content/uploads/ versteckt. Solche Dateien führen PHP-Code aus, um die Aktivitäten der Angreifer zu verschleiern.
PHP wird auf Ihrer Website zwar grundsätzlich benötigt, aber nicht in allen Verzeichnissen. Indem Sie die PHP-Ausführung in den Upload- und Includes-Verzeichnissen deaktivieren, erschweren Sie Angreifern die Arbeit erheblich.
Erstellen Sie dazu eine leere Datei mit dem Namen .htaccess und fügen Sie folgenden Code ein:
<Files *.php>
deny from all
</Files>
Laden Sie diese Datei anschliessend in die Verzeichnisse /wp-content/uploads/ und /wp-includes/ hoch. Sollten Sie diese Ordner in Ihrem Startverzeichnis nicht finden, verwenden Sie kein WordPress – die Anpassung ist in diesem Fall nicht erforderlich.
Fazit
Shared Hosting ist für die meisten Websites eine kosteneffiziente und technisch solide Lösung – insbesondere dann, wenn der Anbieter die richtigen Schutzmechanismen auf Server-Ebene implementiert hat. Gleichzeitig gilt: Keine Hosting-Umgebung schützt Sie vollständig, wenn Sie selbst keine Sicherheitsmassnahmen ergreifen. Ein aktuelles Sicherheits-Plugin, korrekte Dateiberechtigungen und das Einschränken der PHP-Ausführung in sensiblen Verzeichnissen sind Massnahmen, die sich in wenigen Minuten umsetzen lassen und einen signifikanten Unterschied machen.
Wenn Ihr Projekt wächst und Sie mehr Kontrolle, dedizierte Ressourcen oder vollständige Unabhängigkeit benötigen, bietet METANET mit VPS, Managed Cloud Server und Virtual Data Center leistungsstarke Alternativen für anspruchsvolle Anforderungen. Für WordPress-basierte Projekte steht Ihnen zudem das spezialisierte WordPress Hosting von METANET zur Verfügung, das optimal auf die Anforderungen dieses CMS abgestimmt ist.
VPS Server von METANET
Finden Sie den Server der zu Ihren Anforderungen passt – jetzt einfach vergleichen.
Häufig gestellte Fragen zu Shared Hosting und Sicherheit
Ist Shared Hosting unsicher?
Nicht grundsätzlich. Shared Hosting bringt spezifische Risiken mit sich, die durch technische Massnahmen auf Anbieterseite und durch aktives Sicherheitsmanagement auf Website-Seite gut beherrschbar sind. Entscheidend ist, dass Ihr Anbieter die Websites auf dem Server korrekt voneinander isoliert und klare Ressourcen-Limits einsetzt. Achten Sie bei der Wahl Ihres Hosting-Providers auf diese Kriterien.
Was passiert, wenn eine andere Website auf meinem Server gehackt wird?
Das hängt massgeblich davon ab, wie sorgfältig der Hosting-Anbieter die Websites voneinander isoliert. Bei einem professionell konfigurierten Shared-Hosting-Server bleibt ein Angriff auf eine Website auf eben diese beschränkt – Ihre Dateien und Daten sind nicht zugänglich. Mögliche Auswirkungen können dennoch ein erhöhter Ressourcenverbrauch und damit eine vorübergehend verlangsamte Website sein.
Was ist eine DDoS-Attacke und wie schütze ich mich davor?
Bei einem DDoS-Angriff (Distributed Denial of Service) wird ein Server mit einer Flut künstlicher Anfragen überhäuft, bis er unter der Last zusammenbricht. Als Website-Betreiber können Sie diese Angriffe nicht direkt abwehren – das ist Aufgabe des Hosting-Anbieters auf Infrastrukturebene. Zusätzlich kann ein Sicherheits-Plugin wie NinjaFirewall bösartigen Traffic auf Anwendungsebene filtern und so eine ergänzende Schutzschicht bieten.
Brauche ich beim Shared Hosting eine eigene IP-Adresse?
Nicht zwingend, aber es kann sinnvoll sein. Eine dedizierte IP-Adresse schützt Sie davor, durch das Verhalten anderer Websites auf demselben Server auf Blacklists zu gelangen. Dies kann sonst dazu führen, dass Ihre E-Mails als Spam eingestuft oder Ihre Website von Firewalls blockiert wird. Besonders für geschäftskritische Websites und professionellen E-Mail-Versand empfiehlt sich eine dedizierte IP.
Welche Dateiberechtigungen sollte meine WordPress-Website haben?
Als Richtwert gilt: Verzeichnisse sollten die Berechtigung 755 haben, normale Dateien 644. Die wp-config.php – sie enthält Ihre Datenbankzugangsdaten – sollte mit 640 besonders restriktiv abgesichert sein. Ebenso sollte die .htaccess-Datei die Berechtigung 640 erhalten. Die Einstellungen nehmen Sie im Dateimanager Ihres Hosting-Control-Panels vor.