Der Mensch ist nicht perfekt. Wir alle machen Fehler. Einige dieser Fehler, die aber immer wieder in Zusammenhang mit der Benutzung von WordPress gemacht werden, führen zu Problemen in Bezug auf die Sicherheit und verlangsamen den Entwicklungsprozess einer Webseite. Wir zeigen dir die häufigsten Fehler, warum du sie nicht begehen solltest und verraten dir, was du tun kannst um sie zu vermeiden.
1. Falscher Untertitel
Es gibt Themes, die den Untertitel der WordPress-Site nicht ausgeben. Wenn du eines dieser Themes benutzt, liegt der Gedanke nah, dass er auch nicht geändert werden muss. Aber das ist falsch: Google und andere Suchmaschinen indexieren den Untertitel deiner Site, egal ob er angezeigt wird oder nicht. Du kannst den Untertitel unter „Einstellungen -> Allgemein“ ändern.
Wenn du „Just Another WordPress Site“ in den Suchmaschinen suchst, wirst du einige solcher Fehltritte finden können.
2. Admin als Benutzername
Das ist einer der häufigsten Fehler, der auch immer wieder Auftritt, da WordPress von sich aus vorschlägt, den ersten Benutzer als „admin“ anzulegen – und diesem Benutzer auch gleich Administrator-Rechte verleiht. Wählt der Benutzer dann noch ein schwaches Passwort, öffnet er Tür und Tor für potentielle Angreifer. Daher solltest du neben einem guten Passwort auch einen nicht unbedingt vorhersehbaren Login-Namen für deinen WordPress Admin-User wählen.
3. Als Administrator posten
Es ist wichtig den Administrator-Benutzernamen hinter deiner Installation so gut wie möglich zu verschleiern. Schreibst du aber Beiträge als Administrator, kannst du aber genauso gut den oben genannten Fehler begehen und deinen Admin-Benutzer „admin“ nennen.
Stattdessen solltest du den Admin-Benutzer ausschließlich für die Arbeit am Backend benutzen und ein tiefergestelltes Konto für die Erstellung von Inhalten benutzen.
4. Tabellenpräfix
Der beste Weg, das Hacking des Blogs zu vermeiden, ist unvorhersehbar zu sein. Ähnlich wie der Admin-Name, ist das Standard-Tabellenprefix von Wordpress eine vorhersehbare Konstante – dabei ist es sehr einfach dein Tabellenpräfix zu ändern. Du kannst es während der Installation, aber auch nachträglich in der wp-config.phpändern. Wähle ein komplexeres Präfix, das sich nur schwer erraten lässt. Das sollte kein Problem sein, da du in Zukunft sowieso nicht mehr darüber nachdenken musst, welches Präfix in der Datenbank benutzt wird.
5. Standardwerte für Salt und Keys
Das „Salt“ und die „Keys“ sind Werte, die sich in der <code>wp-config.php</code> deiner WordPress-Installation befinden und werden dafür benutzt, um eingeloggte Benutzer und deren Endgeräte zu authentifizieren. In der Vergangenheit war es vergleichsweise leicht Session-Cookies und somit auch die jeweilige Sitzung zu übernehmen. Mit „Salt“ und „Keys“ wurde eine Hürde für Angreifer eingebaut, die es nicht mehr so einfach macht Sessions zu übernehmen. WordPress bietet einen eigenen Service für die Erstellung von Salt und Keys. Einfach die Ausgabe der Seite in die <code>wp-config.php</code> kopieren – schon ist alles erledigt.
Bitte beachte unsere Community-Richtlinien
altert("hello");
AntwortenVielen Dank für diese 10 wertvollen Hinweise. Da muss ich meinen Excel-Blog aber mal genauer durchsehen.
AntwortenDanke für den Artikel, das werde ichdoch gleich mal umsetzen
AntwortenDer Artikel erklärt gut welche Fehler Wordpress Anfänger oft machen. Es gibt bestimmt noch einige mehr, aber dieser Artikel hilft weiter. Wordpress ermöglicht es, das eine Webseite sehr sehr gut eingestellt werden kann. Andere CMS dagegen, z. B. Joomla oder TYPO3 ermöglichen keine so gute Umsetzung einer Webseite. Vor allem ist Wordpress wesentlich vielfältiger.
AntwortenDanke für diesen Artikel. Da werde ich doch gleich mal an die Arbeit gehen. ;) Und danke an den User mit dem Hinweis auf Better WP Security
Antworten@novusidea :
AntwortenWer ohne Fehler ist, werfe den ersten Stein. Vielleicht solltest du deine eigenen Beiträge auch erst mal Korrektur lesen lassen, bevor du die Rechtschreibung anderer kritisierst.
Interssant, als ich den ersten Satz las, erwartete ich einen langweiligen Beitrag geld verdienen aber leicht. Du hinterlässt mich mit vielen neuen ideen
AntwortenTipp zum 3. Punkt:
AntwortenUm den tatsächlichen Administrator-Benutzernamen zu verbergen, kann man auch einen anderen Spitznamen anlegen und diesen dann als öffentlicher Namen verwenden.
Die beste Fehlervermeidungsstrategie ist, diesen unsäglichen PHP Schrotthaufen nicht im professionellen Einsatz zu nutzen. Und jetzt kommt nicht wieder mit der breiten Userbase als Pro-Argument. Windows hatte jahrzehntelang auch jeder, aber gut war es trotzdem nicht.
AntwortenWelches Plug-in meiner Meinung auch nicht fehlen darf ist: Hotfix.
AntwortenAutomatische Sicherheitsupdates, so dass man nicht auf das nächste Wordpress Update warten muss.
http://wordpress.org/plugins/hotfix/
Wie deviniert bzw. bekommt man als Laie (jemand der PHP und JavaScript für Pflanzenarten hält) heraus welches Theme oder Plugin vertrauenswürdig ist? Es besteht bei Wordpress in der Programmierung keinerlei Vorgabe, kein richtiges Framework oder Muster an welches sich ein Programmierer halten muss. Qualitätskontrolle, sollte es bei Wordpress sowas überhaupt mal geben, ist doch da nicht mal ansatzweise möglich.
Wordpress' Programmiercode ist, meiner Meinung nach, völlig Anarchistisch programmiert und jeder kann wirklich machen was er will.
Einem Designer ist dies Schnuppe, der sieht das schicke Backend, die schicken Themes, die tollen Plugins und alles funktioniert so schön.
Für Programmierer ist Wordpress aber die Programmier-Anarchie überhaupt. Ein Programmierer hat oft (nicht immer) keine Möglichkeit die Ausgabe von Plugins seinen Bedürfnissen anzupassen. Manche Plugins sind auch noch so schlecht programmiert das gewisse Benutzeraktionen einfach ignoriert oder aus Zeitmangel vergessen wurden. Muss man da was nachprogrammieren hat man das Problem das die Anpassungen nach einem Update wieder dahin sind, oder man muss diese wieder aufwendig in die neue Version integrieren.
Ich könnte mich immer wieder über manche Plugin-Entwickler ärgern, wie ignorant diese gegenüber der Community sind. Klar sind diese Plugins (auch Themes) frei/kostenlos erhältlich, aber dann bitte durchdacht. Noch schlimmer sind die Drittklassigen Plugins die auch noch Geld kosten, aber schlechter programmiert sind als manch freies Plugin.
Es gibt tatsächlig Plugins die es erlauben die komplette Ausgabe über ein Template im Theme-Ordner zu steuern. Dies geht dann in Richtung Model-View-Control (MVC). Wie wäre es denn mal wenn die Wordpress-Entwickler so langsam in die Richtung MVC gehen. Und noch was, Sie sollten unbedingt diese sch... Serialisierung aus den Datenbanken schmeißen. Dafür gibt es seit Jahren JSON. Durch die Serialisierung ist das Umziehen einer Wordpress-Umzugs immer eine Tortur oder geht gänzlich schief. Warum werden überhaupt absolute URLs in der Datenbank gespeichert? Mit dem Plugin "WP Migrate DB" funktioniert auch dies, aber bei anderen CMS brauche ich keine Third-Party-Extensions.
PS.: Es gibt wieder diverse Rechtschreibfehler in diesem Artikel. (zB. stätig)
AntwortenThemes aus dubiosen Quellen: Es gibt wunderbare, gut programmierte Themes von AnbieterInnen aus aller Welt. Rumänien, Indonesien, Kanada, Bayern ... überall sitzen kluge Köpfe, die seriös und zuverlässig gute Qualität herstellen. Exerimentierfreude und Neugier sind die besten Begleiter bei der Suche nach dem idealen T(h)e(a)m(e).
Man sollte allerding nicht mehr auf die Idee kommen, Themes einzusetzen, die nicht die Möglichkeiten von responsive Design bieten. Noch vor einem Jahr waren nur wenige gute mobile-friendly Templates auf dem Markt, doch dies hat sich entscheidend gewandelt. Die Umstellung von statisch auf responsive ist sehr aufwändig, man sollte sie nicht mehr in Kauf nehmen, wenn man nicht ganz bewusst auf statische Websites setzen möchte.
Eine Übersicht über schöne und sicher programmierte Free Responsive WordPress Themes habe ich seit Ende 2012 zusammengetragen, sie wird permanent gepflegt und erweitert.
http://granaton.com/wordpress-responsive-theme/
WP File Cache ist derzeit das Plugin meiner Wahl. Es performt nicht ganz so stark wie W3 Total Cache, verursacht aber weniger Konflikte.
AntwortenHallo
Super. Vielen dank für das auflisten dieser wichtigen Punkt. Das ist eine gute Checklist um seinen Blog schnell auf die gröbsten Fehler hin zu untersuchen.
°|~JoCognito
AntwortenElf Fehler lassen sich vermeiden, wenn man WordPress gar nicht erst einsetzt...
AntwortenIch schwöre auf 'Better WP Security' https://wordpress.org/plugins/better-wp-security/ weil dieses Plugin viele von den 10 Punkten vorschläft und auf Knopfdruck umsetzt, z.B. wöchentliches Backup, Umbenennen der MySQL-Tabellen etc. Und der Admin ist dann auch nicht mehr der Benutzer mit der Nummer 1 :-)
Antworten