WordPress – Acht Anfängerfehler
Wer erst damit beginnt sich mit WordPress zu befassen, könnte den einen oder anderen Anfängerfehler bei der Einrichtung und den Betrieb des Blogs begehen. Aber auch Fortgeschrittene machen manchmal noch Fehler. In diesem Beitrag stelle ich 8 Anfängerfehler vor und beschreibe, wie du sie verhinderst.
Tabellenpräfix ändern
Wenn du dein WordPress manuell installiert hat, solltest du dafür sorgen, das du den Tabellenpräfix in der wp-config.php änderst. Denn auf das Präfix werden automatische Angriffe gefahren und wenn du dafür sorgst das der Präfix einen anderen Wert als den Standardwert hat, hast du schon mal etwas für die Sicherheit deines Blogs getan.
Da du dir den Präfix später eh nicht mehr merken musst, kann er auch etwas ausgefallener sein. Z.b. ghdfglksdfhgkj12376_ oder was ähnliches. Wenn du eine automatische Installation von WordPress über den Hoster gewählt hast, wurde meistens schon ein vom Standard abweichender Präfix eingetragen. Überprüfen kannst du dies in der wp-config.php in deinem Installationsverzeichnis des WordPress Blogs.
Administrator Konto als Admin
Diesen Fehler begehen viele. Bitte achtet bei der Installation des WordPress Blogs darauf, das kein Konto “admin” erstellt wird. Selbst bei automatischen Installationen deines Hosters kann es sein, das diese Voreinstellung genutzt wird.
Wenn es so ist, erstelle im Backend von WordPress einen neuen User mit Administratorrechten und lösche danach den Account “admin” Denn Bruteforce Angriffe auf den Loginbereich zielen oftmals auf diesen User ab. Da ist es besser, das man nicht so leicht rausfindet, welcher der Admin User ist. Aber damit ist noch nicht alles getan. Ihr solltet damit die Wirkung besser ist, auch einen eigenen User ohne Adminberechtigungen anlegen, unter dem ihr eure Beiträge verfasst. So versteckt ihr euren Adminaccount noch etwas besser.
Permalink Struktur unverändert lassen
Vor allem aus der Sicht der Suchmachinenoptimierung ist es sehr wichtig, die Permalinkstruktur nach der Installation und vor dem ersten geposteten Beitrag in eine sprechende zu ändern. Im Standard wird WordPress mit der GET Einstellung ausgeliefert. Das heißt der Link würde so aussehen: https://meineseite.de/?p123. Das ist aber eine schlechte Idee. Unter Einstellungen/Permalinks kannst du die Link-Struktur deines Blogs einstellen.
Themes und Plugins aus dubiosen Quellen
Es ist ja verlockend das es eher unseriöse Seiten gibt, die freigeschaltete Bezahl Plugins kostenlos oder zu einer geringen Abogebühr tausendfach anbieten. Ich kann vor diesen Seiten nur warnen, da hier nicht klar ist, ob nicht das eine oder andere Plugin oder Theme mit Malware verseucht ist. Solltest du ein solches Plugin/Theme einsetzen kann der Angreifer alles mit deinem WordPress machen und dein ganzes Projekt ist verloren. Ein sehr hohes Risiko was man eingeht, wenn man solche Plugins/Themes nutzt.
Ihr solltet eure Plugins und Themes am besten im Dashboard unter Plugins installieren. Bei kostenpflichtigen Plugins und Themes kann es vorkommen, das man diese von der Hesterllerseite runterladen und ins WordPress uploaden muss. Auch das sollte kein Problem sein, wenn man wirklich von der Hersteller Seite runterlädt.
Deaktivierte Plug-Ins installiert lassen
Einen weiteren Fehler den viele begehen ist, das man deaktivierte Plugins nicht ganz aus dem WordPress entfernt. Es sollte bekannt sein, das umso mehr Plugins man hat, man einen grösseren Angriffsvektor bietet. Es liegt in der Natur der Sache, dass das eine oder andere Plugin Sicherheitslücken aufweisen kann. Je mehr Plugins, desto größer die Gefahr das eines fehlerhaft ist. Und hier zählen auch deaktivierte Plugins dazu. Denn selbst wenn das Plugin nicht aktiviert ist, kann die Codebasis trotzdem angegriffen werden.
Deshalb seid sparsam mit den installierten Plugins/Themes und löscht deaktiverte Plugins/Themes gänzlich, wenn ihr diese gerade nicht benötigt.
Auf Backups verzichten
Es kann jederzeit passieren. Ein erfolgreicher Angriff auf deine WordPress Installation oder ein fehlerhaftes Update. Ohne ein Backup stehst du vor einem Problem. Deshalb ist es verdammt wichtig, das du für regelmäßige Backups (inkl. Datenbank !) sorgen musst. Die passenden Tools dafür stelle ich dir im Detail etwas später in einem seperatem Beitrag vor. Nur kurz erwähnt seien hier BackWPup oder der Dienst ValuePress. Erkundige dich auch, ob dein Hosting Anbieter selbst Backups anbietet und ob das einspielen dieser bei Bedarf kostenlos ist, oder man eine Gebühr verlangt.
Aktualisierungen vergessen
Das wichtigste überhaupt. Bitte sorge dafür, das du immer zeitnah dein WordPress und die Plugins/Themes aktualisierst. WordPress läuft auf rund 35% aller Webseiten im Internet. Und damit ist WordPress auch ein lohnendes Ziel für etwaige Angreifer. Im Sekundentakt wird deine Webseite auf Sicherheitslücken gecheckt und bei Erfolg angegriffen. Jeder Tag der verstreicht, an dem du deine Seite nicht aktuell hälst, erhöht die Gefahr für einen erfolgreichen Hack auf deine WordPress Installation. Spiel nicht mit dem Feuer und versuch deinen Blog inklusive der Plugins/Themes so aktuell wie nur möglich zu halten.
Auf Caching verzichten
Vor allem Neulinge haben das nicht auf dem Schirm. Die Geschwindigkeit der Webseite ist ein nicht zu vernachlässigender Rankingfaktor von Google. Auch springen Webseiten Besucher bei Ladezeiten über 2 Sekunden sehr häufig ab, da diese nicht die Geduld haben auf das laden zu warten, oder sie die Vermutung haben, das die Seite down ist. Die Geschwindigkeit kannst du z.B. bei Pingdom.com messen. Alles unter einer Sekunde ist sehr gut. Alles über 2 Sekunden sehr schlecht.
Ein Caching Plugin hilft bei der Speed Optimierung deines Blogs. Es gibt viele kostenlose Caching Plugins, aber ich persönlich schwöre auf das kostenpflichtige Rocket Cache, welcher meinen Blogs nochmal so richtig einen Boost gegeben hat. Aber z.B auch das kostenlose WP Fastest Cache liefert gute Ergebnisse und kann ich jedem ans Herz legen, der gerade ein Caching Plugin sucht.
