Fehler in Wodpress vermeiden. (Grafik t3n, Logo Wordpress)
Fehler in WodPress vermeiden. (Grafik: t3n, Logo: WordPress)
Der Mensch ist nicht perfekt. Wir alle machen Fehler. Einige dieser Fehler, die aber immer wieder in Zusammenhang mit der Benutzung von WordPress gemacht werden, führen zu Problemen in Bezug auf die Sicherheit und verlangsamen den Entwicklungsprozess einer Webseite. Wir zeigen dir die häufigsten Fehler, warum du sie nicht begehen solltest und verraten dir, was du tun kannst um sie zu vermeiden.
1. Falscher Untertitel
Es gibt Themes, die den Untertitel der WordPress-Site nicht ausgeben. Wenn du eines dieser Themes benutzt, liegt der Gedanke nah, dass er auch nicht geändert werden muss. Aber das ist falsch: Google und andere Suchmaschinen indexieren den Untertitel deiner Site, egal ob er angezeigt wird oder nicht. Du kannst den Untertitel unter „Einstellungen -> Allgemein“ ändern.
Wenn du „Just Another WordPress Site“ in den Suchmaschinen suchst, wirst du einige solcher Fehltritte finden können.
2. Admin als Benutzername
Das ist einer der häufigsten Fehler, der auch immer wieder Auftritt, da WordPress von sich aus vorschlägt, den ersten Benutzer als „admin“ anzulegen – und diesem Benutzer auch gleich Administrator-Rechte verleiht. Wählt der Benutzer dann noch ein schwaches Passwort, öffnet er Tür und Tor für potentielle Angreifer. Daher solltest du neben einem guten Passwort auch einen nicht unbedingt vorhersehbaren Login-Namen für deinen WordPress Admin-User wählen.
3. Als Administrator posten
Es ist wichtig den Administrator-Benutzernamen hinter deiner Installation so gut wie möglich zu verschleiern. Schreibst du aber Beiträge als Administrator, kannst du aber genauso gut den oben genannten Fehler begehen und deinen Admin-Benutzer „admin“ nennen.
Stattdessen solltest du den Admin-Benutzer ausschließlich für die Arbeit am Backend benutzen und ein tiefergestelltes Konto für die Erstellung von Inhalten benutzen.
4. Tabellenpräfix
Der beste Weg, das Hacking des Blogs zu vermeiden, ist unvorhersehbar zu sein. Ähnlich wie der Admin-Name, ist das Standard-Tabellenprefix von WordPress eine vorhersehbare Konstante – dabei ist es sehr einfach dein Tabellenpräfix zu ändern. Du kannst es während der Installation, aber auch nachträglich in der wp-config.phpändern. Wähle ein komplexeres Präfix, das sich nur schwer erraten lässt. Das sollte kein Problem sein, da du in Zukunft sowieso nicht mehr darüber nachdenken musst, welches Präfix in der Datenbank benutzt wird.
5. Standardwerte für Salt und Keys
Das „Salt“ und die „Keys“ sind Werte, die sich in der <code>wp-config.php</code> deiner WordPress-Installation befinden und werden dafür benutzt, um eingeloggte Benutzer und deren Endgeräte zu authentifizieren. In der Vergangenheit war es vergleichsweise leicht Session-Cookies und somit auch die jeweilige Sitzung zu übernehmen. Mit „Salt“ und „Keys“ wurde eine Hürde für Angreifer eingebaut, die es nicht mehr so einfach macht Sessions zu übernehmen. WordPress bietet einen eigenen Service für die Erstellung von Salt und Keys. Einfach die Ausgabe der Seite in die <code>wp-config.php</code> kopieren – schon ist alles erledigt.
6. Themes und Plugins aus dubiosen Quellen
Es gibt eine Vielzahl von Seiten die dir kostenfreie Premium-Themes anbieten. Hier ist besondere Vorsicht gefragt. Natürlich gibt es auch zahlreiche seriöse Anbieter von guten und kostenlosen Themes aber der Download eines kostenlosen oder einer Kopie eines Premium-Themes kann schnell in einem bösen Erwachen münden. Siobhan McKeown beschreibt bei wpmudev wie man Themes mit schadhaftem Code erkennen kann. Im Prinzip sind aber viele verschiedene Horrorszenarien, bei denen deine Website Opfer von Hackern und Spammern werden könnte, möglich.
Wenn du ein Premium-Theme benutzen möchtest, kaufe es vom offiziellen Anbieter. Und wenn das Geld gerade nicht zur Verfügung steht, gibt es zahlreiche Anbieter von ausgezeichneten kostenlosen Themes. Auf t3n.de findest Du beispielsweise eine Übersicht toller WordPress-Themes mit Responsive Design.
Der potentielle Ärger, der mit der Installation eines Themes aus einer nicht vertrauenswürdigen Quelle einhergeht, ist es nicht wert. Ähnliches gilt auch für WordPress-Plugins.
7. Permalink Struktur unverändert lassen
Nach dem Ausführen der Installationsroutine ist WordPress bereit für die Arbeit. Das Ändern der Permalink-Struktur kann da schon schnell in Vergessenheit geraten. Standardmäßig wird die Verlinkung von Unterseiten in WordPress mit GET-Variablen umgesetzt. Dann hat du Adressen wie „http://www.meineseite.de/?p123“. Das sieht nicht nur unschön aus, sondern kann sich auch negativ auf dein Suchmaschinenranking auswirken.
Das Ändern der WordPress-Permalinks geht ziemlich schnell von der Hand – sofern dein Webspace-Anbieter .htaccess und mod_rewrite erlaubt, was tatsächlich einige Hoster wie zum Beispiel die Telekom, derzeit erstaunlicherweise nicht tun. Unter Einstellungen/Permalinks kannst du die Link-Struktur deines Blogs einstellen. Welche Einstellung du wählst, hängt hier von dem jeweiligen Projekt ab. Du solltest jedoch immer auf gut lesbare und einfach zu merkende Permalinks setzen.
8. Zu viele (schlechte) Plugins
Die Installation eines jeden Plugins erhöht die Serverlast und somit auch die Ladezeit deiner Webseite. Neben potentiellen Performance-Einbußen bringen Plugins, genauso wie fremde Themes, Sicherheitsrisiken mit sich. Setz ein Plugin nur dann ein, wenn du es tatsächlich benötigst und versuche sicherzustellen, dass die Plugin-Quelle vertrauenswürdig ist.
Die Anzahl der Plugins ist aber nicht das Hauptproblem. Die hohe Anzahl von schlecht programmierten Plugins dafür umso mehr. Überprüfe die Reviews jedes Plugins – bevor du es installierst. Außerdem solltest du Plugins nacheinander installieren, um die Auswirkungen direkt sehen und Performance-Killer gegebenenfalls früh aus der Entwicklung ausschließen zu können.
Mit dem Performance Profiler WordPress-Plugin kannst du deine Plugins testen und sehen, welche den meisten Einfluss auf die Leistung deines Blogs haben.
9. Auf Caching verzichten
Wenn du derzeit auf Caching verzichtest, oder nicht weißt, was das ist, verschwendest du wertvolle Ladezeit und Server-Ressourcen. WordPress ist ein dynamisches, datenbankbasiertes CM-System. Das bedeutet, dass bei jedem Aufruf der Server Daten abfragt, sammelt, verarbeitet, zusammenlegt und zum Schluss das fertige Dokument an deine Besucher übermittelt – und das bei jedem Seitenwechsel und für jeden Besucher. Warum also nicht die ganze Prozedur überspringen und stattdessen direkt das fertige Dokument verschicken? Es gibt zwei gute kostenlose Plugins für Caching in WordPress: W3 Total Cache und WP Super Cache.
In unserer Website-Performance-Serie verraten wir dir, worauf du in Sachen Performance noch achten solltest.
10. Sicherung und Updates
WordPress wird stätig weiterentwickelt und verbessert. Es wird am User-Interface, der Sicherheit, der Geschwindigkeit und vor allem an Bugs gearbeitet. Besonders der letzte Punkt führt meistens zu zeitnahen Updates von WordPress. Gerade deshalb ist es wichtig die WordPress-Instanzen auf einem aktuellen Stand zu halten und so die Sicherheit zu erhöhen.
Nicht nur zum Testen von WordPress-Updates sind Backups wichtig. Es gibt kein System, das hundertprozentige Sicherheit bietet. Egal ob es Hacker oder technische Defekte sind. Es kann jeden treffen. Daher ist die Sicherung das A und O für alle Webprojekte. Wenn dein Provider keine Sicherung anbietet, kannst du selbst regelmäßige Backups der Datenbank anfertigen oder ein Plugin wie BackWPup nutzen. Dienste wie ValuePress bieten dir einen Backup-Service speziell für WordPress an.
Sind diese Tipps hilfreich für euch?
Ich schwöre auf ‚Better WP Security‘ https://wordpress.org/plugins/better-wp-security/ weil dieses Plugin viele von den 10 Punkten vorschläft und auf Knopfdruck umsetzt, z.B. wöchentliches Backup, Umbenennen der MySQL-Tabellen etc. Und der Admin ist dann auch nicht mehr der Benutzer mit der Nummer 1 :-)
Elf Fehler lassen sich vermeiden, wenn man WordPress gar nicht erst einsetzt…
Hallo
Super. Vielen dank für das auflisten dieser wichtigen Punkt. Das ist eine gute Checklist um seinen Blog schnell auf die gröbsten Fehler hin zu untersuchen.
°|~JoCognito
Themes aus dubiosen Quellen: Es gibt wunderbare, gut programmierte Themes von AnbieterInnen aus aller Welt. Rumänien, Indonesien, Kanada, Bayern … überall sitzen kluge Köpfe, die seriös und zuverlässig gute Qualität herstellen. Exerimentierfreude und Neugier sind die besten Begleiter bei der Suche nach dem idealen T(h)e(a)m(e).
Man sollte allerding nicht mehr auf die Idee kommen, Themes einzusetzen, die nicht die Möglichkeiten von responsive Design bieten. Noch vor einem Jahr waren nur wenige gute mobile-friendly Templates auf dem Markt, doch dies hat sich entscheidend gewandelt. Die Umstellung von statisch auf responsive ist sehr aufwändig, man sollte sie nicht mehr in Kauf nehmen, wenn man nicht ganz bewusst auf statische Websites setzen möchte.
Eine Übersicht über schöne und sicher programmierte Free Responsive WordPress Themes habe ich seit Ende 2012 zusammengetragen, sie wird permanent gepflegt und erweitert.
http://granaton.com/wordpress-responsive-theme/
WP File Cache ist derzeit das Plugin meiner Wahl. Es performt nicht ganz so stark wie W3 Total Cache, verursacht aber weniger Konflikte.
Wie deviniert bzw. bekommt man als Laie (jemand der PHP und JavaScript für Pflanzenarten hält) heraus welches Theme oder Plugin vertrauenswürdig ist? Es besteht bei WordPress in der Programmierung keinerlei Vorgabe, kein richtiges Framework oder Muster an welches sich ein Programmierer halten muss. Qualitätskontrolle, sollte es bei WordPress sowas überhaupt mal geben, ist doch da nicht mal ansatzweise möglich.
WordPress‘ Programmiercode ist, meiner Meinung nach, völlig Anarchistisch programmiert und jeder kann wirklich machen was er will.
Einem Designer ist dies Schnuppe, der sieht das schicke Backend, die schicken Themes, die tollen Plugins und alles funktioniert so schön.
Für Programmierer ist WordPress aber die Programmier-Anarchie überhaupt. Ein Programmierer hat oft (nicht immer) keine Möglichkeit die Ausgabe von Plugins seinen Bedürfnissen anzupassen. Manche Plugins sind auch noch so schlecht programmiert das gewisse Benutzeraktionen einfach ignoriert oder aus Zeitmangel vergessen wurden. Muss man da was nachprogrammieren hat man das Problem das die Anpassungen nach einem Update wieder dahin sind, oder man muss diese wieder aufwendig in die neue Version integrieren.
Ich könnte mich immer wieder über manche Plugin-Entwickler ärgern, wie ignorant diese gegenüber der Community sind. Klar sind diese Plugins (auch Themes) frei/kostenlos erhältlich, aber dann bitte durchdacht. Noch schlimmer sind die Drittklassigen Plugins die auch noch Geld kosten, aber schlechter programmiert sind als manch freies Plugin.
Es gibt tatsächlig Plugins die es erlauben die komplette Ausgabe über ein Template im Theme-Ordner zu steuern. Dies geht dann in Richtung Model-View-Control (MVC). Wie wäre es denn mal wenn die WordPress-Entwickler so langsam in die Richtung MVC gehen. Und noch was, Sie sollten unbedingt diese sch… Serialisierung aus den Datenbanken schmeißen. Dafür gibt es seit Jahren JSON. Durch die Serialisierung ist das Umziehen einer WordPress-Umzugs immer eine Tortur oder geht gänzlich schief. Warum werden überhaupt absolute URLs in der Datenbank gespeichert? Mit dem Plugin „WP Migrate DB“ funktioniert auch dies, aber bei anderen CMS brauche ich keine Third-Party-Extensions.
PS.: Es gibt wieder diverse Rechtschreibfehler in diesem Artikel. (zB. stätig)
Welches Plug-in meiner Meinung auch nicht fehlen darf ist: Hotfix.
Automatische Sicherheitsupdates, so dass man nicht auf das nächste WordPress Update warten muss.
http://wordpress.org/plugins/hotfix/
Die beste Fehlervermeidungsstrategie ist, diesen unsäglichen PHP Schrotthaufen nicht im professionellen Einsatz zu nutzen. Und jetzt kommt nicht wieder mit der breiten Userbase als Pro-Argument. Windows hatte jahrzehntelang auch jeder, aber gut war es trotzdem nicht.
Tipp zum 3. Punkt:
Um den tatsächlichen Administrator-Benutzernamen zu verbergen, kann man auch einen anderen Spitznamen anlegen und diesen dann als öffentlicher Namen verwenden.
Interssant, als ich den ersten Satz las, erwartete ich einen langweiligen Beitrag geld verdienen aber leicht. Du hinterlässt mich mit vielen neuen ideen
@novusidea :
Wer ohne Fehler ist, werfe den ersten Stein. Vielleicht solltest du deine eigenen Beiträge auch erst mal Korrektur lesen lassen, bevor du die Rechtschreibung anderer kritisierst.
Danke für diesen Artikel. Da werde ich doch gleich mal an die Arbeit gehen. ;) Und danke an den User mit dem Hinweis auf Better WP Security
Der Artikel erklärt gut welche Fehler WordPress Anfänger oft machen. Es gibt bestimmt noch einige mehr, aber dieser Artikel hilft weiter. WordPress ermöglicht es, das eine Webseite sehr sehr gut eingestellt werden kann. Andere CMS dagegen, z. B. Joomla oder TYPO3 ermöglichen keine so gute Umsetzung einer Webseite. Vor allem ist WordPress wesentlich vielfältiger.
Danke für den Artikel, das werde ichdoch gleich mal umsetzen
Vielen Dank für diese 10 wertvollen Hinweise. Da muss ich meinen Excel-Blog aber mal genauer durchsehen.
altert(„hello“);