22. Juni 2015

WordPress konfigurieren & absichern WordPress – erste Schritte für den neuen Blog

   2 Kommentare

Share on Facebook7Tweet about this on Twitter0Share on Google+2Share on LinkedIn1Email this to someone

Der eigene Blog ist mit WordPress schnell erstellt, doch bevor ihr die ersten Inhalte hochladet, solltet ihr euch um die Konfiguration kümmern. Insbesondere die Themen Sicherheit, Bilder, Ladezeit und Suchmaschinenoptimierung sind elementar und sollten von Anfang an berücksichtigt werden. Hier unsere Plugin-Tipps und Checkliste für deine WordPress-Seite.

WordPress erste schritte

Übersicht

Nachdem ihr die folgenden Punkte abgearbeitet habt, ist eure WordPress-Seite gegen die üblichen Angriffe geschützt, eure Individualisierungen bleiben euch auch nach Themeupdates erhalten, eure Bilder sind für das Web optimiert, die Seite ist für Suchmaschinen verständlich und eure Leser freuen sich über kurze Ladezeiten.

Ungeduldige Leser nutzen diese Sprungmarken:

  1. Sicherheit
  2. Anpassungen und Individualisierung
  3. Bilder
  4. Suchmaschinenoptimierung
  5. Funktionen
  6. Ladezeiten

 

1. Sicherheit

Mit der großen Verbreitung von WordPress steigt auch die Attraktivität für Hacker, nach Sicherheitslücken zu suchen. Denn haben sie eine entdeckt, können sie diese bei unzähligen WordPress-Seiten einsetzen. Da bekanntgewordene Sicherheitslücken oft durch Aktualisierungen geschlossen werden, solltet ihr eure Plugins und WordPress selbst immer aktuell halten. Dabei kann euch das Plugin Updater unterstützen.

Eine andere Methode, WordPress-Seiten zu übernehmen, sind sogenannte Brute-Force-Angriffe, bei denen jede erdenkliche User-Name- und Passwort-Kombination durchprobiert wird. Dem könnt ihr entgegenwirken, indem ihr zum einen die Login-Versuche mit einem Plugin beschränkt, wie z.B. Limit Login Attempts, und zum anderen die URL der Login-Seite ändert. Noch mehr Sicherheit erreicht ihr, wenn ihr den Admin-Bereich über einen Verzeichnisschutz über die .htaccess-Datei mit einem zweiten Passwort schützt. Zudem könnt ihr eure Seite mit https-Adressen versehen und so das Ausspionieren eurer Login-Daten per WLAN unterbinden.

SQL-Injections sind eine weitere Methode, über die Hacker Zugriff auf eure WordPress-Seite erlangen können. Mit einem individuellen Tabellen-Präfix erschwert ihr diese Angriffsmethode.

Umfangreiche Security-Plugins wie iThemes Security oder WordFence Secutity bieten noch zahlreiche weitere Stellschauben, um eure WordPress-Seite etwas sicherer zu machen. Das Ändern der SALT-Keys ist nur eine davon.

Die Kommentarfunktion in WordPress ist eine gute Funktion, um mit Blog-Lesern in Kontakt zu treten, bietet aber gleichzeitig eine Angriffsfläche für Hacker. Wenn ihr eure WordPress-Seite nicht zur Interaktion mit eurer Zielgruppe und euren Lesern verwendet, sondern lediglich informiert, dann könnt ihr die Kommentare deaktivieren. Andernfalls helfen Plugins wie Antispam-Bee zumindest gegen Spam.

Nachdem ihr euer Theme aus vertrauenswürdiger Quelle geladen habt, könnt ihr das Theme auf versteckten Code überprüfen.

Da es keine hundertprozentige Sicherheit gibt und Fehler in eurer WordPress-Seite auch durch Plugin-inkompatibilitäten auftreten können, solltet ihr regelmäßig ein Backup eurer Seite erstellen.

Diese Sicherheitsoptionen solltet ihr bei WordPress nutzen:

  • Automatische Updates
  • Login-Versuche limitieren
  • Das Tabellenpräfix ändern
  • Admin-Bereich mit Verzeichnisschutz schützen
  • Kommentare deaktivieren oder mindestens ein Anti-Spam-Plugin verwenden
  • Regelmäßige Backups erstellen

 

2. Anpassungen und Individualisierung

Änderungen nehmt ihr nicht in den Dateien des aktiven Themes vor, sondern erstellt dazu entweder ein Child-Theme oder nutzt Plugin-Erweiterungen. So könnt ihr Updates eures Themes durchführen, ohne dass eure Änderungen überschrieben werden. Einige Themes bieten sogar Eingabefelder, in denen ihr euren eigenen CSS-Code einfügen könnt. Andernfalls verwendet ihr dafür ein Plugin wie Simple Custom CSS.

Wenn ihr Code in den Head-Bereich eurer Seite einfügen möchtet (zum Beispiel für Google Analytics oder den Tag Manager), könnt ihr dafür das Plugin Insert Header and Footer verwenden.

Wie ihr alternativ ein Child-Theme erstellt, haben die Netzialisten beschrieben.

Keine Änderungen in den Theme-Dateien, sondern

oder

  • Über Plugins wie Simple Custom CSS und Insert Header and Footer

 

3. Bilder

Niemand will Textwüsten lesen, und auch WordPress-Seiten leben von Bildern. Damit eingebundene Bilder nicht zwangsläufig zu langsamen Ladezeiten führen, helfen euch zwei Plugins:

  • Imsanity sorgt dafür, dass eure tollen 12 Megapixel-Bilder beim Upload automatisch auf eine webverträgliche Größe heruntergerechnet werden
  • WP Smush komprimiert die hochgeladen Bilder, um die Dateigrößen weiter zu reduzieren

Hier lest ihr, wann ihr für den Upload Bilder im PNG oder JPEG-Format wählt.

4. Suchmaschinenoptimierung (SEO)

Neben menschenleserlichen URLs (Permalinks), gibt es viele Möglichkeiten, die WordPress-Seite für Suchmaschinen besser aufzubereiten. Hier erfahrt ihr die typischen Herausforderungen im WordPress-SEO und die Plugins, die euch beim SEO helfen. Wenn ihr euch für das Yoast-SEO-Plugin entscheidet, hilft euch diese Anleitung bei der Konfiguration.

Zudem solltet ihr die Schlagworte in eurem Blog für SEO nutzen und themenrelevante Artikel am Beitragsende einblenden.

Das WordPress SEO 1×1

  • Stellt menschenleserliche Permalinks ein
  • Verwendet ein SEO-Plugin und konfiguriert es
  • Verwendet Schlagworte und blendet themenverwandte Beiträge ein

 

5. Funktionen

Je nach Blog-Thema benötigt ihr unterschiedliche Funktionen, die ihr per Plugin installiert. Beliebt und weit verbreitet sind Plugins für Karten, Veranstaltungskalender oder Tabellen. Wichtig ist, dass ihr eure Plugins aktuell haltet und nicht verwendete Plugins löscht, statt sie nur zu deaktivieren.

Bei der Plugin-Wahl solltet ihr wie bei Themes auch auf vertrauenswürdige Quellen wie wordpress.org, gute Bewertungen und regelmäßige Aktualisierungen achten.

6. Ladezeit

Die zuvor beschriebene Optimierung eurer Bilddateien ist nur ein Teil der Ladezeitoptimierung. Denn mit den jetzt aktiven Plugins bewegt sich die Ladezeit eurer Seite sicherlich jenseits von 2 Sekunden und die Geduld eurer Leser wird auf die Probe gestellt.

Bei der Ermittlung der größten Ladezeit-Bremsen helfen euch drei kostenfreie Tools.

Einen großen Effekt erzielt ihr mit Caching Plugins wie W3 total cache oder WP super cache und der korrekten Konfiguration. Einmal konfiguriert, reduzieren sie die Ladezeit eurer Seite erheblich. Dabei solltet ihr auch von den Minify-Funktionen Gebrauch machen, die unnötige Zeichen wie Zeilenumbrüche und Kommentare, aus dem Code löschen. Das Kombinieren (Zusammenführen) von CSS und JavaScript Dateien ist solange sinnvoll, wie eure Seite den noch aktuellen Standard HTTP1.1 verwendet. Mit HTTP2 wirkt sich das Kombinieren negativ aus.

Auf langen Seiten mit viel Inhalt und vielen Bildern optimiert ihr die Ladezeit über das gezielte Nachladen der Bilder. Diese Funktion nennt sich Lazy Load und lässt sich per Plugin nachrüsten.

Zuletzt bereinigt ihr die Datenbank.

WordPress Ladezeit Optimieren

  • Ladezeit ermitteln
  • Caching aktivieren
  • Bilder per Lazy Load nachladen
  • Datenbank bereinigen

Fazit: Bei vielen Hostern ist WordPress mit einem Klick installiert, aber nicht optimal eingestellt. Mit diesen Tipps schützt ihr eure Seite vor Hackern, positioniert euch besser in Suchmaschinen und verbessert das Surferlebnis eurer Leser.

Share on Facebook7Tweet about this on Twitter0Share on Google+2Share on LinkedIn1Email this to someone
Hans Jung

Hans Jung

Hans ist Datenschutzbeauftragter und bekennender WordPress-Fan – und versucht beides unter einen Hut zu bekommen.
Hans Jung

Du willst up-to-date bleiben?

Trage dich jetzt in unseren kostenlosen Newsletter ein, um stets die aktuellsten Neuigkeiten rund um Wordpress zu erhalten.

Wir geben deine Daten nicht weiter! Wir hassen Spam genauso wie du!

2 Kommentare

Reaktionen auf diesen Beitrag

    • I dare to object. Zwei, drei Hinweise zur Sicherheit.
      1. Es kommt immer darauf an, was man sicher will. Eine weitere Möglichkeit, WordPress ziemlich gut abzusichern ist, Schreibrechte für das PHP nur im Uploads Ordner zu gewähren und dort PHP nicht ausführbar zu machen. Damit verliert man zwar die Möglichkeit für automatischen Updates, aber das will man ja vielleicht eh nicht unbedingt, weil man – je nach Komplexität des Setups – vielleicht erstmal ausprobieren möchte, ob ein Update nicht was zersägt.
      2. Ruhig die wp-login.php auch mit hinter einen htaccess-Schutz, weil dagegen viele Brute-Force-Angriffe laufen. Das mindet auch die Last des Servers.
      3. Einen guten Hoster wählen. Dann bekommt man nämlich nicht nur Backups geschenkt, sondern auch noch WordPress-Sicherheitsüberprüfungen gleich mitgeliefert.
      4. Das gilt eigentlich für alles: Scheiß was auf Plugins! Werniger Plugins bedeutet weniger Sicherheitslücken, schnelleres WordPress, weniger Risiko bei Update, mehr funktionierende Themes usw.
      Das kann man gar nicht oft genug sagen: Bitte dreimal überlegen, ob man ein Plugin anwirft, weil man glaubt, man brauch das ganz dringend. Oft kann man das selbe mit Funktionen des Kerns erreichen und hat dafür auch noch lang was davon.

    • Hallo Hans,

      Vielen Dank für die Sicherheits-Tipps! Davon werde ich mir auf jeden Fall den .htaccess Schutz anschauen und umsetzen. Ebenso Limit-Logins, vor kurzem erst musste ich zwei BruteForce-Attacken über mich ergehen lassen. Offensichtlich wurde nichts geknackt, das PW ist entsprechend lang.

      Zum Page-Speed würde ich eine andere Methode empfehlen. Als Plugin – WP Fastest Cache und AJAX Rebuild Thumbnails. Bevor ich jedoch Bilder Hochladen, komprimierte ich sie und anschließend nach dem Hochladen, lass ich alle Thumbnails neu erstellen. Resultat, die Pagespeed-Analyse meckert nicht mehr über meine Bilder. Die CSS und JS Dateien werden mit dem WP Fastest Cache Plugin komprimiert. Ebenso kann man den Browser Cache recht leicht einstellen.

      Besten Gruß

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.