Sicherheit, die nicht vom Glück abhängt.
Container-Isolation pro Website, HMAC-signierte Steuerungsebene, verschlüsselte Backups, automatisches SSL — jede Aussage hier entspricht einem realen Bestandteil laufender Infrastruktur, keiner Marketing-Checkliste.
Gratis-Testversion · alle Sicherheitsprimitive in jedem Plan enthalten
Sicherheitslage, die Sie prüfen können — nicht raten müssen.
Jede Website zeigt ihren aktuellen Sicherheitsstatus im Dashboard — TLS-Zustand, letztes erfolgreiches Backup, letzter Sicherheitspatch, fehlgeschlagene Login-Rate, erlaubte KI-Bots. Kein Rätselraten, keine versteckten Cronjobs.
- 12:04:22TLS renewal/ acme order completedok
- 12:03:51Backupr2://yovale-backups/site-87 okok
- 12:03:18WP coreauto-patch 6.9.2 appliedok
- 12:02:44Login protectionblocked 12 attempts on wp-loginok
- 12:02:09WAFCloudflare rule wp-xmlrpc enabledok
Shared-Hosting-Sicherheit ist eine Wunschliste.
Bei den meisten gemeinsamen WordPress-Hostern bedeutet Sicherheit eine WAF-Einstellungsseite, ein optionales Backup und ein Malware-Scanner-Plugin, das Sie vergessen haben zu installieren. Es gibt keine echte Isolation zwischen Websites — das kompromittierte Plugin Ihres Nachbarn ist Ihr Problem.
Managed-Hoster verlangen $25–$50/Monat, um dieselbe Architektur freundlicher zu verpacken, und verkaufen die wirklich nützlichen Teile (Offsite-Backups, Staging, Login-Schutz, Malware-Scanning) als Zusatzoptionen.
Yovale verkauft Sicherheit nicht als Feature-Tier. Container-Isolation, verschlüsselte Backups, Login-Schutz, HMAC-signierte Steuerungsebene und das Meldeprogramm sind Teil jedes Plans ab $149/Jahr. Die unten beschriebene Sicherheitslage ist dieselbe, die wir an jeden Kunden liefern.
Fünf Primitive, alle standardmäßig aktiv.
Jede Karte hier steht für einen realen Bestandteil laufender Infrastruktur, keine Roadmap-Versprechen. Wo ein Primitiv von einem Drittanbieter betrieben wird (Cloudflare, Let's Encrypt), ist er namentlich genannt.
- 0101isolation
Ein Docker-Container pro Website
Jede WordPress-Website läuft in ihrem eigenen Docker-Container mit isoliertem Dateisystem, dedizierten PHP-FPM-Workern sowie begrenztem Speicher und CPU. Eine Kompromittierung einer Website erreicht keine andere.
isolierte Laufzeit - 0202edge
Automatisches TLS über Traefik
Let's Encrypt-Zertifikate werden von Traefik für jede hinzugefügte Domain automatisch ausgestellt und erneuert. HTTP/2 und HTTP/3 standardmäßig aktiv. Keine manuelle Erneuerung, keine Ablauf-Überraschungen.
automatische Ausstellung + Erneuerung - 0303steuerungsebene
HMAC-signierte Steuerungsebene
Jeder Aufruf zwischen dem Dashboard und dem VPS-Agenten wird mit einem serverindividuellen HMAC-Secret signiert, das verschlüsselt in der Datenbank gespeichert ist. Der Agent lehnt unsignierte Aufrufe ab; das Dashboard lehnt nicht verifizierte Antworten ab.
serverindividuelle Secrets - 0404backups
Verschlüsselte Offsite-Backups
Tägliche Website- und Datenbank-Backups zu Cloudflare R2 mit AES-256-Verschlüsselung ruhender Daten. 30 Tage Aufbewahrung bei Starter, 90 Tage bei Growth, 365 Tage bei Business. Ein-Klick-Wiederherstellung von jedem gespeicherten Punkt.
AES-256, R2 - 0505wordpress
Login-Schutz und WAF
Brute-Force-Schutz für wp-login, automatische Blockierung bekannter schädlicher Bots, Cloudflare-WAF-Regeln für WordPress-Bedrohungsmuster und automatisches Patchen von WordPress-Core-Sicherheitsversionen.
WP-optimierte WAF
Was ein sicherer WordPress-Hoster standardmäßig mitliefern sollte.
sicherheitsstack · wie alles zusammenpasst
Drei Schichten, jede Website, jeder Plan.
Der Stack ist bei Starter und Business identisch. Das Einzige, was tarifabhängig ist, ist die Backup-Aufbewahrungsdauer. Alles andere — Isolation, TLS, HMAC, Login-Schutz, WAF — ist überall gleich.
Cloudflare verwaltet DDoS, WAF und die KI-Bot-Allowlist am globalen Edge. Traefik auf jedem VPS übernimmt TLS-Terminierung, HTTP/3 und Request-Routing in die standortspezifischen Container.
Jede Website lebt in ihrem eigenen Docker-Container mit begrenztem Speicher, dedizierten PHP-FPM-Workern, isoliertem Dateisystem und eigenem MariaDB-Container. WP-CLI, Autoupdate-Hooks und Cron laufen innerhalb dieser Grenze.
Ein FastAPI-Agent auf jedem VPS führt Provisionierung, Backups, SSL und PHP-Konfigurationsänderungen durch. Das Dashboard gibt HMAC-signierte Aufrufe aus; der Agent verifiziert diese vor der Ausführung. Secrets sind verschlüsselt im Dashboard-Datenbank gespeichert.
Sicherheit ist kein Tarif. Sie ist das Produkt.
Jeder Plan erhält die vollständige oben beschriebene Sicherheitslage. Preisunterschiede betreffen nur die Backup-Aufbewahrungsdauer und die Anzahl der Websites. Zusätzliche Sicherheits-Tiers sind nicht das Geschäftsmodell von Yovale.
Starter, 2 Websites. Vollständige Sicherheitslage. Backups 30 Tage aufbewahrt. Growth und Business verlängern die Aufbewahrung auf 90 bzw. 365 Tage.
Lesen Sie auch die vertragliche Seite.
Sicherheitsprimitive, Seite für Seite.
Was sicherheitsbewusste Käufer zuerst fragen.
Wie wird eine Website auf demselben VPS von einer anderen isoliert?+
Jede Website hat ihren eigenen Docker-Container mit eigenem Dateisystem, eigenem PHP-FPM-Pool, eigenem MariaDB-Container und eigenem begrenzten Speicher. Die Linux-Kernel-Grenze ist die Isolation. Es gibt keinen gemeinsamen PHP-Laufzeitprozess zwischen Websites.
Wo werden Backups gespeichert, und sind sie verschlüsselt?+
Tägliche Backups landen in Cloudflare R2 mit AES-256-Verschlüsselung ruhender Daten. Verschlüsselungsschlüssel werden im Rahmen des Standard-Schlüsselverwaltungsvertrags von R2 verwaltet. Backup-Aufbewahrung: 30 Tage bei Starter, 90 Tage bei Growth, 365 Tage bei Business.
Hat Yovale ein Schwachstellenmeldeprogramm?+
Ja. Senden Sie einen Bericht an security@yovale.com. Wir antworten auf Meldungen innerhalb von 5 Werktagen und leiten keine rechtlichen Schritte gegen gutgläubige Sicherheitsforscher ein, die verantwortungsvolle Offenlegungspraktiken befolgen. Der Zeitpunkt der öffentlichen Offenlegung wird abgestimmt; wir nennen Reporter im Changelog, sofern sie nichts anderes bevorzugen.
Ist Zwei-Faktor-Authentifizierung im Dashboard verfügbar?+
TOTP-basierte 2FA ist für jedes Dashboard-Konto verfügbar und für Konten mit Administratorrechten erforderlich. Sie können sie unter Konto → Sicherheit einrichten.
Wie werden Aufrufe der Steuerungsebene authentifiziert?+
Jeder VPS hat sein eigenes HMAC-Secret, das verschlüsselt in der Supabase-Instanz des Dashboards gespeichert ist. Das Dashboard signiert jeden Aufruf an den Agenten mit diesem Secret; der Agent lehnt unsignierte oder nicht verifizierte Aufrufe ab. Es gibt keine gemeinsamen Bearer-Tokens zwischen Servern.
Was passiert, wenn eine CVE gegen WordPress-Core veröffentlicht wird?+
Sicherheits-Releases von WordPress-Core werden innerhalb von Stunden nach der Veröffentlichung automatisch im gesamten Bestand eingespielt. Wir benötigen keine Kundenaktion für Core-Sicherheitspatches. Theme- und Plugin-Updates bleiben unter Kundenkontrolle, da sie Websites beeinträchtigen können; verfügbare Updates werden im Dashboard angezeigt.
Wo kann ich mehr vertragliche Details nachlesen?+
Im Auftragsverarbeitungsvertrag und im Endnutzer-Lizenzvertrag, die im Footer verlinkt sind. Der AVV deckt Unterauftragnehmer, Sicherheitsmaßnahmen, Benachrichtigungsfristen bei Datenschutzverletzungen und internationale Übertragungen ab.
Migrieren Sie eine Website und überzeugen Sie sich selbst von der Sicherheitslage.
Sieben Minuten Migration, sieben Tage Testversion. Jedes Primitiv auf dieser Seite ist auf der ersten Website, die Sie provisionieren, aktiv — nichts zu aktivieren, kein Upsell.