Ratgeber

WordPress: 15 vermeidbare Anfängerfehler

Lesezeit: 8 Min.
Artikel merken

Die einfache Handhabung von WordPress macht es wohl zum beliebtesten Open-Source-CMS. Aber gerade diese Einfachheit birgt auch ein hohes Fehlerpotential. Wir verraten die häufigsten Anfängerfehler und wie du sie vermeiden kannst.

Fehler in WordPress vermeiden

Fehler in WodPress vermeiden. (Grafik: t3n, Logo: WordPress)

Der Mensch ist nicht perfekt. Wir alle machen Fehler. Einige dieser Fehler, die aber immer wieder in Zusammenhang mit der Benutzung von WordPress gemacht werden, führen zu Problemen in Bezug auf die Sicherheit und verlangsamen den Entwicklungsprozess einer Webseite. Wir zeigen dir die häufigsten Fehler, warum du sie nicht begehen solltest und verraten dir, was du tun kannst um sie zu vermeiden.

1. Falscher Untertitel

Es gibt Themes, die den Untertitel der WordPress-Site nicht ausgeben. Wenn du eines dieser Themes benutzt, liegt der Gedanke nah, dass er auch nicht geändert werden muss. Aber das ist falsch: Google und andere Suchmaschinen indexieren den Untertitel deiner Site, egal ob er angezeigt wird oder nicht. Du kannst den Untertitel unter „Einstellungen -> Allgemein“ ändern.

Wenn du „Just Another WordPress Site“ in den Suchmaschinen suchst, wirst du einige solcher Fehltritte finden können.

2. Admin als Benutzername

Das ist einer der häufigsten Fehler, der auch immer wieder auftritt, da WordPress von sich aus vorschlägt, den ersten Benutzer als „admin“ anzulegen – und diesem Benutzer auch gleich Administrator-Rechte verleiht. Wählt der Benutzer dann noch ein schwaches Passwort, öffnet er Tür und Tor für potenzielle Angreifer. Daher solltest du neben einem guten Passwort auch einen nicht unbedingt vorhersehbaren Login-Namen für deinen WordPress Admin-User wählen.

Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

3. Als Administrator posten

Es ist wichtig den Administrator-Benutzernamen hinter deiner Installation so gut wie möglich zu verschleiern. Schreibst du aber Beiträge als Administrator, kannst du genauso gut den oben genannten Fehler begehen und deinen Admin-Benutzer „admin“ nennen.

Stattdessen solltest du den Admin-Benutzer ausschließlich für die Arbeit am Backend benutzen und ein tiefergestelltes Konto für die Erstellung von Inhalten benutzen.

4. Log-In Maske nicht gegen Bruteforce-Attacke schützen

Je weniger ein potenzieller Angreifer über deine WordPress-Seite weiß, desto schwieriger wird es für ihn, sich Zugriff darauf zu verschaffen. Der Administrationsbereich von WordPress ist normalerweise über http://www.deineseite.de/wp-admin zu erreichen. Solltest du nicht eingeloggt sein, wird auf die Datei wp-login.php verwiesen. Um eine Brute-Force-Attacke auf deine WordPress-Webseite zu erschweren, kannst du die wp-login.php umbenennen. Hierfür gibt es das nützliche Plug-In „Rename wp-login.php„. Dieses Plug-in lässt dich jede beliebige Zeichenkette für deine WordPress Seite festlegen. Neugierige User und Angreifer, die versuchen über /wp-admin oder /wp-login.php auf dein Administrations-Panel zuzugreifen landen dann auf einer Fehlerseite.

5. Tabellenpräfix

Der beste Weg, das Hacking des Blogs zu vermeiden, ist unvorhersehbar zu sein. Ähnlich wie der Admin-Name, ist das Standard-Tabellenprefix von WordPress eine vorhersehbare Konstante – dabei ist es sehr einfach dein Tabellenpräfix zu ändern. Du kannst es während der Installation, aber auch nachträglich in der wp-config.phpändern. Wähle ein komplexeres Präfix, das sich nur schwer erraten lässt. Das sollte kein Problem sein, da du in Zukunft sowieso nicht mehr darüber nachdenken musst, welches Präfix in der Datenbank benutzt wird.

6. Standardwerte für Salt und Keys

Das „Salt“ und die „Keys“ sind Werte, die sich in der <code>wp-config.php</code> deiner WordPress-Installation befinden. Sie werden dafür benutzt, um eingeloggte Benutzer und deren Endgeräte zu authentifizieren. In der Vergangenheit war es vergleichsweise leicht Session-Cookies und somit auch die jeweilige Sitzung zu übernehmen. Mit „Salt“ und „Keys“ wurde eine Hürde für Angreifer eingebaut, die es nicht mehr so einfach macht Sessions zu übernehmen. WordPress bietet einen eigenen Service für die Erstellung von Salt und Keys. Einfach die Ausgabe der Seite in die <code>wp-config.php</code> kopieren – schon ist alles erledigt. Heute werden Salt und Keys automatisch durch den Autoinstaller vom WordPress-Dienst bezogen. Um auf Nummer Sicher zu gehen, solltest du deine Config nach der Installation aber jedes mal auf das Vorhandensein von individuellen Werten für Salt und Keys hin überprüfen.

7. Themes und Plugins aus dubiosen Quellen

Es gibt eine Vielzahl von Seiten, die dir kostenfreie Premium-Themes anbieten. Hier ist besondere Vorsicht gefragt. Natürlich gibt es auch zahlreiche seriöse Anbieter von guten und kostenlosen Themes aber der Download eines kostenlosen oder einer Kopie eines Premium-Themes kann schnell in einem bösen Erwachen münden. Siobhan McKeown beschreibt bei wpmudev wie man Themes mit schadhaftem Code erkennen kann. Im Prinzip sind aber viele verschiedene Horrorszenarien, bei denen deine Website Opfer von Hackern und Spammern werden könnte, möglich.

Wenn du ein Premium-Theme benutzen möchtest, kaufe es vom offiziellen Anbieter. Und wenn das Geld gerade nicht zur Verfügung steht, gibt es zahlreiche Anbieter von ausgezeichneten kostenlosen Themes. Auf t3n.de findest Du beispielsweise eine Übersicht toller WordPress-Themes mit Responsive Design.

Der potentielle Ärger, der mit der Installation eines Themes aus einer nicht vertrauenswürdigen Quelle einhergeht, ist es nicht wert. Ähnliches gilt auch für WordPress-Plugins.

8. Deaktivierte Plug-Ins im Ordner lassen

Selbst wenn ein Plug-In deaktiviert ist, heißt es nicht, dass es sicher ist. Eine der häufigsten Methoden, um Zugriff auf WordPress-Seiten zu erlangen, ist über Lücken und Schwachstellen in Plug-Ins. Auch wenn ein Plug-In nicht aktiv im System eingebunden ist, können diese Schwachstellen weiterhin ausgenutzt werden. Daher sollten auch deaktivierte Plug-Ins vom Server entfernt werden.

9. Permalink Struktur unverändert lassen

Nach dem Ausführen der Installationsroutine ist WordPress bereit für die Arbeit. Das Ändern der Permalink-Struktur kann da schon schnell in Vergessenheit geraten. Standardmäßig wird die Verlinkung von Unterseiten in WordPress mit GET-Variablen umgesetzt. Dann hat du Adressen wie „http://www.meineseite.de/?p123“. Das sieht nicht nur unschön aus, sondern kann sich auch negativ auf dein Suchmaschinenranking auswirken.

Das Ändern der WordPress-Permalinks geht ziemlich schnell von der Hand – sofern dein Webspace-Anbieter .htaccess und mod_rewrite erlaubt, was tatsächlich einige Hoster wie zum Beispiel die Telekom, derzeit erstaunlicherweise nicht tun. Unter Einstellungen/Permalinks kannst du die Link-Struktur deines Blogs einstellen. Welche Einstellung du wählst, hängt hier von dem jeweiligen Projekt ab. Du solltest jedoch immer auf gut lesbare und einfach zu merkende Permalinks setzen.

10. Zu viele (schlechte) Plugins

Die Installation eines jeden Plugins erhöht die Serverlast und somit auch die Ladezeit deiner Webseite. Neben potentiellen Performance-Einbußen bringen Plugins, genauso wie fremde Themes, Sicherheitsrisiken mit sich. Setz ein Plugin nur dann ein, wenn du es tatsächlich benötigst und versuche sicherzustellen, dass die Plugin-Quelle vertrauenswürdig ist.

Die Anzahl der Plugins ist aber nicht das Hauptproblem. Die hohe Anzahl von schlecht programmierten Plugins dafür umso mehr. Überprüfe die Reviews jedes Plugins – bevor du es installierst. Außerdem solltest du Plugins nacheinander installieren, um die Auswirkungen direkt sehen und Performance-Killer gegebenenfalls früh aus der Entwicklung ausschließen zu können.

Mit dem Performance Profiler WordPress-Plugin kannst du deine Plugins testen und sehen, welche den meisten Einfluss auf die Leistung deines Blogs haben.

11. Auf Caching verzichten

Wenn du derzeit auf Caching verzichtest, oder nicht weißt, was das ist, verschwendest du wertvolle Ladezeit und Server-Ressourcen. WordPress ist ein dynamisches, datenbankbasiertes CM-System. Das bedeutet, dass bei jedem Aufruf der Server Daten abfragt, sammelt, verarbeitet, zusammenlegt und zum Schluss das fertige Dokument an deine Besucher übermittelt – und das bei jedem Seitenwechsel und für jeden Besucher. Warum also nicht die ganze Prozedur überspringen und stattdessen direkt das fertige Dokument verschicken? Es gibt zwei gute kostenlose Plugins für Caching in WordPress: W3 Total Cache und WP Super Cache.

In unserer Website-Performance-Serie verraten wir dir, worauf du in Sachen Performance noch achten solltest.

12. Auf Updates verzichten

Nicht nur zum Testen von WordPress-Updates sind Backups wichtig. Es gibt kein System, das hundertprozentige Sicherheit bietet. Egal ob es Hacker oder technische Defekte sind. Es kann jeden treffen. Daher ist die Sicherung das A und O für alle Webprojekte. Wenn dein Provider keine Sicherung anbietet, kannst du selbst regelmäßige Backups der Datenbank und der kompletten Webseite anfertigen oder ein Plugin wie BackWPup nutzen. Mit BackWPup kannst du regelmäßig Sicherungen der gesamten Datei- und Datenbankstruktur von WordPress anfertigen und diese automatisch auf andere Serer oder Cloud-Dienste laden. Der Dienst  ValuePress  vom WordPress Hersteller Automattic, bietet dir neben Sicherungen in Echtzeit auch das Einspielen der Sicherungen zurück auf deinen Server an.

13. Aktualisierungen vergessen

WordPress wird regelmäßig optimiert und aktualisiert. Über zur Verfügung stehende Aktualisierungen wird der Administrator in der Regel im Admin Back-End benachrichtigt. Jedes Core-Update birgt – auch wenn die WordPress-Updates im Schnitt sehr sicher sind – das Risiko sich seine Webseite zu zerschießen. Die Updates zu ignorieren kann aber ebenfalls fatale Folgen haben. WordPress Updates beinhalten oft zahlreiche Verbesserungen im Hintergrund des Systems. Darunter auch Sicherheitsrelevante Änderungen. Das Ignorieren eines solchen Updates ist also nur kurzfristig eine Option. Fertige vor jedem Plug-In und System-Update eine Sicherung deiner WordPress-Webseite an, dann bist du im Fall des Falles auf der sicheren Seite.

14. Manueller Go-Live

Viele Entwickeln ihre WordPress-Webseite gerne auf einer lokalen Maschine und sparen sich gegebenenfalls lästige Upload-zeiten während der Entwicklungszeit. Irgendwann muss die Webseite aber ihren Weg auf einen öffentlichen Server finden. WordPress lässt sich mit wenigen Handgriffen nach einem Upload und Datenbank-Import auf den Zielserver aufspielen. Damit die Seite korrekt funktioniert, müssen jedoch einige Anpassungen an der Datenbank vorgenommen werden. Steht FTP als einzige Upload-Option zur Verfügung muss die komplette Webseite unkomprimiert auf den Server übertragen werden. Alleine die Grund-Version von WordPress beinhaltet mehr als 1.000 einzelne Dateien sodass der Upload von wenigen Megabyte sich auch schon über eine halbe Stunde und mehr ziehen kann. Mit dem Duplicator Plug-In kannst du dir viel Zeit und Ärger sparen. Duplicator erstellt ähnlich wie BackWPUP eine komplette Kopie deiner WordPress Webseite sowie Datenbank und erzeugt dabei eine eigene Installer-Datei. Das Gesamtpaket, das es danach hochzuladen gilt, besteht dann nur noch aus zwei Dateien, sodass der Upload vergleichsweise schneller von Statten gehen kann. Die Einrichtung auf dem Zielserver erfolgt dann mit Hilfe des Installers.

15. Mediathek über FTP-Client befüllen

WordPress bietet in seiner Oberfläche einen bequemen Upload via Drag&Drop an. Für eine überschaubare Anzahl von Dateien reicht diese bequeme Lösung vollkommen aus. Wenn es aber darum geht mehrere hundert Bilder, Videos und Dateien in die Mediathek von WordPress zu laden, stößt die Web-Oberfläche an ihre Grenzen. Da WordPress hochgeladene Inhalte im Ordner wp-content/uploads speichert, liegt der Gedanke nahe einen FTP-Client zum Befüllen der Mediathek zu nutzen. Das wird jedoch leider nicht funktionieren. WordPress erwartet, dass Dateien über das Interface hochgeladen werden. Für jede Medien-Datei werden Einträge mit Meta-Informationen in der Datenbank erstellt. Dateien, die über einen Externen Client hochgeladen werden, werden vom System nicht erkannt und stheen somit auch nicht dem Content-Team zur Verfügung. Auch für diese Problemstellung gibt es eine simple Plug-In-Lösung, das Plug-In „Add From Server“ kann deine Mediathek automatisch mit Inhalten befüllen, die du über FTP, SSH oder einer anderen Übertragungsmethode deiner Wahl auf dem Server hinterlegst.

Sind diese Tipps hilfreich für euch?

Das könnte dich auch interessieren

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

13 Kommentare
Jan
Jan

Nur als kleiner Hinweis, die Zwischenüberschrift von Punkt 12 müsste Backups und nicht Updates sein.

Antworten
irgendeinem Spinner
irgendeinem Spinner

Wieder jede Menge Security-through-obscurity-Tipps. Lasst einfach die Finger von solchem Schwachsinn, das bringt keine erhöhte Sicherheit!

Antworten
klaudia guesten
klaudia guesten

ich hab den Vorgang unter Punkt 4 des Artikels versucht, das Plugin aktiviert und eine neue URL wie beschrieben anlegen wollen, hat nicht funktioniert, konnte mich nicht mehr einloggen, musste wieder deaktivieren. Was kann ich denn da falsch gemacht haben?

Antworten
Ich
Ich

iThemes Security (ehemals Better WP Security) führt viele der Änderungen automatisch durch bzw. macht entsprechende Vorschläge. Eines der ersten Plugins die ich immer auf meinen WordPress-Seiten installiere. https://wordpress.org/plugins/better-wp-security/

Antworten
Stefan
Stefan

Für Punkt 4 würde ich ein Plugin bevorzugen, welches die Anzahl Loginversuche einschränkt (z.B. Limit Login Attempts).

Antworten
Sam
Sam

Für Punkt 4 eignet sich auch ein .htaccess Schutz der vor dem direktem Zugriff auf das wp-admin Verzeichniss schützt.

Antworten
joesto
joesto

Hallo, ein teil von den tips ist auch für joomla gut…..

Antworten
Emmanuel
Emmanuel

Bei Punkt 3 denke ich das der AdministratorName aber nicht zwingend dem Login entpricht oder übersehe ich was ?

Antworten
Fabian Marz
Fabian Marz

Zeichendreher: „…System nicht erkannt und stheen somit auch…“

Antworten
Marco Willi
Marco Willi

Danke für die Tipps!
Speziell die Sicherheitstipps sind gut find ich, da einfach umzusetzen.

Antworten
kirchmeier
kirchmeier

Eigentlich fängt das ja schon an mit der Auswahl des richtigen Providers! Manche sind von Haus aus eher unsicher, und das müssen noch nichtmal die „Kleinen“ sein. Eine nützliche Übersicht gibt es hier: http://www.top-wp-hosting.de/wordpress-hosting-vergleich/

Antworten
mretzlaff
mretzlaff

Sehr hilfreicher Artikel. Um den Adminbereich vor Brute Force Attacken zu schützen benutze ich immer noch am liebsten das Plugin „Limit Login Attempts“, weil es so einfach einzurichten ist und der Login ganz bequem da bleibt, wo er ist. Meint ihr, das ist eine sinnvoll oder zu wenig Schutz?

Ich habe 10 der häufigsten WordPress-Fehler mal in einen interaktiven Check gegossen und würde mich freuen, wenn ihr den der Statistik zuliebe mal durchführt: http://hootproof.de/10-typische-wordpress-fehler-und-wie-du-sie-vermeidest/

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Digitales High Five
Holger Schellkopf (Chefredakteur t3n)

Anleitung zur Deaktivierung

Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder