WordPress ist in den letzten Jahren zu einem der Content-Management-Systeme herangereift. Dies hat einen guten Grund: Es bietet sehr viele Möglichkeiten. Durch die enorme Popularität ist es ebenfalls für Hacker interessant geworden. Wenn sie einmal in das System eingedrungen sind, bietet es den Angreifern die Möglichkeit, weiteren schädlichen Code zu installieren und Deine Website zum Versenden von SPAM oder anderen Maßnahmen zu nutzen. Wie Du Dich besser vor solchen Angriffen schützen kannst, möchte ich hier vorstellen:

Welche Maßnahmen können zur besseren Absicherung von WordPress getroffen werden?

Benutze NICHT den Benutzer admin

WordPress liefert als ersten Benutzer den Namen admin. Dieser ist weltweit bekannt und wird von den Hackern als erstes benutzt. Ändere den Benutzernamen. Hier hilft die Seite http://www.sicherespasswort.com/

Benutze keine Wörterbuch Passwörter

Hacker benutzen bei Ihren Angriffen unter anderem Wörterbücher, um Passwörter zu knacken. Der Trick mit ersetzen von „e“ durch 3 oder dem „l“ durch 1 ist auch leicht zu durchschauen. Hier nutzen Hacker sogenannte Brute Force Methoden auf speziellen Rechnern, um an diese Passwörter zu kommen. Zum Generieren von sicheren Passworten nutzt Du wie bei den Nutzernamen die Seite http://www.sicherespasswort.com/

Dass Nutzername und Passwort verschieden sein sollten, ist doch wohl klar, oder?

Werde zur gespaltenen Persönlichkeit!

Trenne für Dich den Redakteur vom Admin. Wie einfach ist das: Der „Admin“ kann auch Redakteur sein, also schreibe gleich einen Artikel in Deinem Blog als „Admin“. Leider ist bei den meisten Themes der Name des Redakteurs nach Außen sichtbar („verfasst von admin“) und damit auch für die Außenwelt und Hacker erkennbar. Somit haben sie schon mal einen Angriffspunkt – der Benutzername ist bekannt. Was ist aber, wenn der Admin-Name nie nach Außen in Erscheinung tritt und Du Dir einen zweiten Zugang als Redakteur zulegst? Der Redakteur tritt nach Außen in Erscheinung, hat aber weniger Rechte und kann zum Beispiel keine Plugins installieren. Falls es also Hackern gelingt, Dein Passwort als Redakteur zu knacken, können sie ins System kommen, können aber nicht direkt alles ändern. Also trenne hier die Aufgaben von Redakteur und Admin und mache  dadurch Dein System sicherer.

Installiere ein Captcha Plugin für den Login Bereich

Wenn ein Roboter Deine Site angreift, dann erstmal mit den Standard-Methoden. Was ist aber, wenn Deine Login-Seite mit einem Captcha abgesichert ist? Dann fällt es den meisten automatischen Angreifern schwerer, dies gleich zu erkennen. Also nutze die Funktion, die leicht über ein Plugin nachrüstbar ist:
http://wordpress.org/extend/plugins/si-captcha-for-wordpress/
Nach der Installation erscheint das Plugin unter Plugins „SI Captcha Options“ und kann dort entsprechend konfiguriert werden. Wichtig ist es, hier das Häkchen bei „Enable CAPTCHA on the login form“ zum Schutz des Backends setzen. Erst dann ist der Login durch ein Captcha geschützt.

WordPress updaten!

Es gibt nichts Schlimmeres als eine alte WordPress Installation. Nutze bitte die Update-Funktion und halte Dein WordPress und die Plugins auf aktuellem Stand. Durch die neuen Versionen werden Lücken bei der Sicherheit geschlossen.

HTTPS ist ein Muss

HTTPS überträgt Webseiten sicher im Netz. Und ist nicht nur auf der Datenschutzgrundordnung seit Mai 2018 Pflicht für Webseiten. Nur mit HTTPS wird das Passwort bei der Anmeldung in WordPress verschlüsselt übertragen. Viele Hoster bieten inzwischen kostenfreien SSL Zertifikate von LetsEncrypt an, danach benötigt WordPress noch eine Umstellung (Forcehttps und RealSimpleSSL) und ihre Website ist etwas sicherer.

Wordfence (oder ein anderes Sicherheits-Plugin) installieren

In Wordfence lässt sich WordPress gegen eventuelle Angriffe absichern und bietet per Klick diverse Einstellungen an. Typische Attacken können so wirksam gestoppt werden

Regelmäßig Backups machen

Backup kannst Du regelmäßig via Plugin (z.B. WPDB Backup) automatisiert machen: Bitte bewahre Datenbank und Dateien mindestens über einen Zeitraum von einem Jahr(!) auf. Warum? Hacker installieren den Schadcode und machen dann erstmal nichts, gar nichts. Erst nach einer Weile (wenn genug Rechenpower in möglichst vielen gehackten Installationen zusammenkommt) werden die Schläfer aufgeweckt und der Angriff geht los. Aus diesem Grund sind die üblichen Sicherheits-Kopien von vielen Hosting-Anbietern nutzlos, da alle Versionen bereits infiziert sind. Ein Aufspüren des schadhaften Codes ist mühselig, da meist der Hack verschlüsselt und an verschiedenen Stellen (in Dateien und der Datenbank) gespeichert werden.

Backups über einen längeren Zeitraum sind also eine gute Maßnahme!

Das waren meine Tipps und Ideen zur aktuellen Sicherheitsdebatte um WordPress. Ich wünsche allen, dass ihre Seite nicht angegriffen wird und Du die entsprechenden Maßnahmen ergriffen hast. Mehr dazu gibt es auch bei t3n.

Du willst die vielfältigen Möglichkeiten von WordPress lernen? Wissen, wie Du das System installierst, das passende Theme finden, WordPress mit Plugins erweitern? Dann findest Du hier in der Wissensdatenbank schon etliche Möglichkeiten, Dich zu informieren. Stelle Dir auch die Frage, was Du genau willst:

• WordPress bedienen, also die Benutzeroberfläche kennenlernen, neue Beiträge und Seiten anlegen, ein Theme installieren oder etwa ein Menü erstellen?
• WordPress programmieren, also eine Anwendung in WordPress schreiben oder ein Theme programmieren?

WordPress bedienen

Lege Dir zum Ausprobieren und Kennenlernen erstmal eine Webseite bei WordPress.com an. Die kostenlosen Grundfunktionen reichen aus um zu üben. Für einen produktiven und kommerziellen  Einsatz ist diese Lösung aufgrund der Datenschutzgrundverordnung (DSGVO) in Europa nicht zu empfehlen, warum steht hier. Jedoch kannst Du die gewonnenen Erkenntnisse später auf selbst-gehostetes WordPress übertragen. Wie Du WordPress selber installierst, steht hier.

WordPress erweitern mit einem Theme oder Plugins

Viele Anwendungsfälle wie einen Mitarbeiterbereich, Kontaktformulare oder Newsletter sind schon von anderen Programmierern erdacht und geschrieben worden und können meist kostenfrei installiert werden. Schau Dich um auf: https://de.wordpress.org/plugins/

Programmieren und WordPress mit speziellen Funktionen erweitern

Das Content-Management-System kann vielfältig erweitert, bis hin zur Programmierung eigener Erweiterungen. Hierzu brauchst Du ein gehöriges Wissen in der Programmiersprache PHP, HTML, CSS sowie Javascript. Ja, all das muss heute sein!

PHP lernen

• Ein Großteil der Funktionen und Abfragen von WordPress ist in der Programmiersprache PHP geschrieben. Auch Themes nutzen zum Abfragen von Informationen aus der Datenbank PHP. Zur Programmierung eines Themes oder einer Anwendung in WordPress ist es also unersetzlich PHP zu verstehen und anwenden zu können. Dazu brauchst Du ein gewisses Verständnis für Logik und solltest Dich schonmal grundsätzlich mit dem Programmieren auseinandergesetzt haben. Mir haben folgende Bücher dabei geholfen:
• „PHP für Dummies“ von Christian Baun, Wiley Verlag
• „WordPress-Themes“ von Jonas Hellweig/Christian Gatzen, Franzis Verlag
• „PHP und MySQL“ von Johann-Christian Hanke, bhv Verlag

Gut ist auch das folgende Cheat-Sheet:
https://www.hostinger.com/tutorials/wordpress-cheat-sheet#gref
Hier findest Du kurz und knapp zusammengefasst das Wichtigste zu WordPress.

Auf https://codex.wordpress.org/ schreiben die Entwickler zu WordPress. Auf https://stackoverflow.com/ schaue ich auch regelmäßig nach, irgendwer wird schon eine Lösung haben …

Wenn Du irgendwo mal festhängst, mach eine Pause, mach was anderes, geh raus! Am nächsten Tag fällt Dir die Lösung ein – garantiert! Wenn in Deiner Nähe ein Meetup zu WordPress stattfindet, besuche die Veranstaltung. Oder fahre zu einem WordCamp!

HTML und CSS lernen

HTML ist die Auszeichnungssprache im Web. Damit ist gemeint, welche Bedeutung ein Wort bzw. ein Satz auf einer Webseite hat. Ein Satz kann zum Beispiel eine Überschrift sein, ein Absatz oder eine Aufzählung. Je nachdem gibt es dazu Auszeichnungen (im Englischen „Tags“ genannt) zum Teil auch Ordnungsprinzipen wie etwa bei Überschriften: eine Überschrift mit der Ordnung H1 ist wichtiger als eine Überschrift der Ordnung H2. Wenn Du HTML oder CSS lernen willst geht das hier gut:

https://wiki.selfhtml.org/wiki/Startseite

auch immer gut:

https://www.w3schools.com/

Eine aufwendige Software brauchst Du nicht, es reicht ein einfacher Texteditor, auf dem PC zum Beispiel NotePad++ oder BBEdit/Textwrangler für macOS.

Ausdauer und Nachdenken

Hast Du Lust längere Zeit auf einem Stuhl zu sitzen, auf einen Bildschirm zu schauen und Anweisungen zu verstehen, zu schreiben und zu prüfen? Wenn ja, hast Du schon einmal viel gewonnen. Denn dies macht einen Großteil der Arbeit aus. Du wirst eine Menge Erfahrungen sammeln müssen. Wenn Du diesen Weg gehen willst, hast Du in diesem Artikel einige Anregungen gefunden. Also, mach Dich auf den Weg!

Du hast eine Website mit WordPress, aber wohnst in einem Gebiet mit schlechter oder langsamer Internetverbindung? Bist Reise-Blogger(in), sitzt im Zug oder Bus und hast kein Netz oder möchtest einfach störungsfrei offline schreiben? Auch das ist möglich mit einem WordPress Offline Editor! Und selbst ohne Editor ist es möglich Artikel per E-Mail (Outlook, Thunderbird) zu veröffentlichen.

Hier stelle ich Dir die Möglichkeiten vor:

Apps von WordPress.com

WordPress selber stellt Programme und Apps für alle System kostenfrei zur Verfügung. Selbst-gehostete Webseiten werden unterstützt, allerdings muss dabei das Plugin „Jetpack“ installiert sein, das leider nicht datenschutzkonform ist, da Analysedaten zur Werbung nach Amerika gesendet werden.

Durch eine kleine Anpassung in der functions.php kannst Du das Jetpack Pixel und das Jetpack CSS aus dem Quellcode der Seite herausnehmen. Damit sendet Jetpack dann keine Daten mehr an wp.com:

add_action( ‚wp_enqueue_scripts‘, ‚jp_go_away_enqueue_scripts_styles‘ );
function jp_go_away_enqueue_scripts_styles() {
wp_dequeue_script( ‚devicepx‘ );
}
add_filter( ‚jetpack_implode_frontend_css‘, ‚__return_false‘ );
Quelle: https://mizine.de/dsgvo/jetpack-fussfesseln-anlegen-und-damit-dsgvo-konform-weiter-nutzen/

Link: https://apps.wordpress.com/

Artikel verfassen mit Microsoft WORD

Auch aus der bekannten Textverarbeitung WORD heraus ist es möglich zu bloggen:
https://support.office.com/en-us/article/Help-with-blogging-in-Word-3ad4ad8d-06a3-441d-99cd-c65e13a3433d#__toc321212400

Als Zugang wird hier Schnittstelle xmlrpc.php genutzt, die gern auch mal ein Einfalls-Tor für Hacker sein kann. Bei einigen Blogs ist sie deshalb abgeschaltet.

BlogDesk

Diese Software stellt Dir einen Editor vor, der sehr an eine klassische Textverarbeitung angelegt ist. Leider ist das Programm nur für Windows verfügbar.

Link: http://www.blogdesk.org/en/index.htm

Marsedit

Marsedit ist das Pendant zu BlogDesk für Mac OS X Rechner.

https://www.red-sweater.com/marsedit/

BlogJet 3

Dieses Programm ist wiederum nur für Mac zu haben und kann kostenfrei in einer eingeschränkten Version getestet werden.

Link: https://www.blogjet.com/

Bloggo

Ist ein weiterer Offline-Editor für Mac.

Link: Blogo, Inc

Artikel verfassen per E-Mail-Programm

Auch per Outlook oder Thunderbird kannst Du Artikel verfassen, mehr zu im WordPress Codex unter:
https://codex.wordpress.org/Post_to_your_blog_using_email

Du siehst, es gibt also viele Möglichkeiten auch ohne Internetverbindung an Deiner Webseite oder Blog zu arbeiten. Also leg los!

WordPress auf dem eigenen Rechner mit XAMPP

Und für alle die so gar nichts öffentlich machen möchten, gibt es noch die Möglichkeit via XAMPP einen virtuellen Server im eigenen Betriebssystem zu installieren und die Umgebung zum Üben oder zum Probieren zu nutzen. Zum Ausprobieren und rumtüfteln ist das sicher die beste und günstigste Variante.

WordPress speichert Cookies, also Dateien, die Informationen über die Besucher der Webseite und wenn Du Werbung auf Deiner Webseite schaltest, weißt sogar Google Nutzer von AdSense, DoubleClick for Publishers und DoubleClick Ad Exchange darauf hin, dass Du einen Cookie-Hinweis auf Deinen Webseiten und in Apps einsetzen müsst.

WP DSGVO Tools als Plugin für den Cookie Hinweis

Ich habe gute Erfahrungen mit dem Plugin WP DSGVO Tools gemacht. Bei Cookies kommt erst der Hinweis, bevor der Cookie gesetzt wird. So können die Nutzer selber entscheiden! Nach meinem Verständnis der E-Privacy Verordnung muss dies exakt so gemacht werden.

Auch werden die Datenschutzgrundordnung mit automatisierter Löschanfrage und die Datenauskunft mit erledigt!

Ebenfalls gibt es eine Seite für das Impressum, die Unternehmensdaten können in einem Formular eingegeben werden und werden entsprechend formatiert ausgegeben.

Es gibt Vorlagen für die Texte und die entsprechenden Seiten können automatisch angelegt werden. Dir bleibt die Aufgabe der Integration in ein Menü.

Mehr dazu findest Du auch hier:
https://drschwenke.de/google-macht-cookie-hinweise-zur-pflicht-handlungsempfehlung-fuer-website-und-appanbieter/

Und auf dieser Webseite findest Du dazu einen Test:
https://www.cookiebot.com/de/wordpress-cookie-plugin/

Hinweis: Dies ist keine verbindliche Rechtsauskunft, im Zweifel befrage einen Anwalt!

WordPress umziehen ist möglich – ob manuell oder halbwegs automatisiert über ein Plugin, beides ist möglich. Inzwischen würde ich die Methode über ein Plugin vorziehen, da Dir das manuelle Verändern der Datenbank erspart bleibt. Mit „All in One Migration“ habe ich gute Erfahrungen gemacht:

All-in-One WP Migration and Backup

Dank diesem Plugin geht ein Umzug schnell vonstatten. Es ist sogar möglich, die Datenbank mit der neuen Domain aufzusetzen. Mühseliges Anpassen gehört also der Vergangenheit an.

WordPress manuell umziehen

1. Daten via FTP holen

Via FTP-Programm verbindest Du Dich mit dem bisherigen Webhost, hoffentlich via SFTP (sicheres Übertragen von Benutzername und Passwort). Dann holst Du Dir alle Daten aus dem Verzeichnis WP-Content, vor allem die Themes und die Plugin-Ordner. Wie Du Dich genau verbindest, erfährst Du über die Hilfe-Seiten des Hosting-Anbieters.

Du hast bereits einen neuen Anbieter gefunden? Wunderbar, dann hast Du sicherlich auch schon die Zugangsdaten bekommen. Logge Dich also dort ein, installiere ein frisches WordPress und lade die Ordner Themes und Plugins auf dem neuen Server in das Verzeichnis WP-Content hoch.

2. MySQL Datenbank anpassen

Ein Backup der Datenbank machst Du über das Webinterface auf dem bisherigen Hoster. Nach dem Download lädst Du die SQL Datei beim neuen Hoster hoch.

Willst Du auch den Domainnamen wechseln? Die Kommandos für SQL sind dann wie folgt:

UPDATE wp_options SET option_value = replace(option_value, 'http://www.alterdomainname.de', 'http://www.neuerdomainname.de') WHERE option_name = 'home' OR option_name = 'siteurl';
UPDATE wp_posts SET guid = replace(guid, 'http://www.alterdomainname.de', 'http://www.neuerdomainname.de');
UPDATE wp_posts SET post_content = replace(post_content, 'http://www.alterdomainname.de', 'http://www.neuerdomainname.de');

Die Stellen für „alterdomainname.de“ und neuer Domainname müssen natürlich angepasst werden. Ebenso das Tabellen-Präfix wp wenn Du ein anderes verwendet hast.

Achtung: immer vorher ein Backup aller Daten via FTP-Server sowie der Datenbank mit Format SQL machen, um unliebsame Überraschungen zu vermeiden. Ebenso lohnt es sich, die lokal gesicherten Daten zu prüfen. Lassen sich die Bilder öffnen? Sind alle Daten da?

Es ist möglich, mit einer WordPress Installation mehrere Seiten zu betreiben, das Stichwort ist Multisite.

In der Datei wp-config.php müssen dazu einige Veränderungen vorgenommen werden.

Mehr dazu hier:
https://codex.wordpress.org/Create_A_Network

Ich habe eine Multisite einmal ausprobiert und dabei folgende Feststellung gemacht:

• etliche Plugins laufen nicht, da sie mit einer Multisite nicht umgehen können
• Bei zahlreichen Artikeln wird die Abfrage in der Datenbank aufgrund der zahlreichen Einträge langsam
• bei einem Umzug oder dem Herauslösen einer Website wird der Vorgang sehr komplex

Von daher meine Empfehlung:

• für jede Website ein eigene WordPress mit einer Datenbank
• Gute Hoster wie etwa UDMEDIA bieten Dir eh zahlreiche Datenbanken an
• Halte die Dinge einfach
• gestalte lieber eine Website, die sehr gut ist, anstatt sehr viele mittelmäßige

Ein Shop ist unter anderem mit dem Plugin WooCommerce möglich.

Der Aufbau eines Shops ist ein enormes Unterfangen – Punkte die vorab geklärt werden sollten:

• Sind alle rechtlichen Punkte eindeutig (Fernabgabegesetz, Widerrufsrecht, Lieferzeiten, UWG) geklärt?
• Welche Zahlungsanbieter sind vorgesehen?
• Passen Lagerhaltung und Buchführung dazu?
• Sind im Unternehmen alle Prozesse eindeutig geklärt?
• Gibt es ein Budget für das Marketing?
• Die meisten Menschen sind an bekannte Marktplätze wie Amazon, Ebay und weitere große Shops gewöhnt und haben dort schon ihre Daten hinterlegt. Ist es sinnvoller, dort die Produkte zu platzieren?
• Habe ich genügend Geld, um den eigenen Shop auch zu bewerben? Von alleine kommen keine Besucher auf die Webseite
• Habe ich wirklich genügend relevante Produkte, die fotografiert und ausführlich beschrieben sind?

Einen einfachen Shop kannst Du mit Versacommerce umsetzen. Für einen komplexen Shop mit einem Konfigurator ist es nicht das richtige System.

Du willst selber ein Forum in Deinem WordPress einrichten?

Asgaros Forum

https://www.lecturio.de/magazin/wordpress-forum/

Du suchst ein Forum um eine Frage zu WordPress zu stellen?

https://de.wordpress.org/support/forum/allgemeine-fragen/

https://forum.wpde.org/

Und unter WordPress

WordPress ist eine quelloffene Content-Management-System-Software (CMS), die es Nutzern ermöglicht, Websites und Blogs einfach und schnell zu erstellen. Die Software wurde 2003 von Matt Mullenweg und Mike Little ins Leben gerufen und hat sich seither zu einem der beliebtesten CMS der Welt entwickelt. Im Jahr 2021 wurden laut einer Studie von W3Techs etwa 41% aller Websites, die ein CMS verwenden, mit WordPress erstellt.

https://wordpress.org/

Plugins:

https://de.wordpress.org/plugins/

Themes:

https://de.wordpress.org/themes/

Entscheidungshilfe zur Frage Kaufen oder Kostenlos

Kann kostenlos etwas? Eindeutig Ja! Durch den Ansatz kostenlos ist WordPress sehr verbreitet und zahlreiche Entwickler arbeiten an der Weiterentwicklung. Auch bei Plugins und Themes ziehe ich die kostenlose Variante vor, die – wenn es nicht ausreicht – erweitert wird. Bei Themes entwickle ich ein Child-Theme mit eigenen Farben und Formen, muss aber nicht alle Räder neu erfinden. Das hilft dabei, Webseiten schneller fertigzubekommen.

Es gibt Themes zu kaufen, meist bringen die aber einen Funktionsumfang mit, den ich gar nicht brauche oder die Themes sind nicht 100 % für WordPress gemacht, hebeln den eigentlichen Arbeitsfluss von WordPress aus und machen den Aufruf der Webseite langsam.

Von daher bleibe beim Original und freue  Dich über eine schlanke, schnelle Webseite.

Wie verdient WordPress Geld?

Automattic, die Firma die WordPress erstellt, ist auch Hosting-Anbieter. Zu finden unter WordPress.com. Dort ist es möglich WordPress mit einem Domain-Namen zu verbinden und (gegen Geld) auch werbefrei zu schalten. Allerdings ist die Nutzung der Hosting Dienste für kommerzielle Zwecke in Europa aufgrund der Datenschutzgrundverordnung (DSGVO) nicht zu empfehlen.

Lieber die Software als solche herunterladen, installieren und auf einem Server in Europa nutzen.

WordPress wird – wie jedes System – immer weiterentwickelt. Seit Dezember 2018 ist WordPress in der Version 5 erschienen und bietet zahlreiche Detailverbesserungen und vor allem einen neuen Texteditor namens Gutenberg.

Mit diesen ist es möglich Textblöcke zu generieren und so Inhalte interessanter darzustellen.
Elmastudio hat dazu ein Video gemacht.

WordPress selber bietet dazu ebenfalls Informationen:
https://de.wordpress.org/gutenberg/

Und Blogmojo ebenfalls:
https://www.blogmojo.de/gutenberg-wordpress-editor/