Sicherheit: höchste Zeit für PHP 7

Die Programmiersprache PHP, auf der WordPress basiert, ist in Version 7 zwar bereits seit Ende 2015 verfügbar, in vielen Fällen allerdings war das Warten aus Kompatibilitätsgründen empfehlenswert, beziehungsweise nötig. Zwar ist WordPress schon lange kompatibel mit PHP 7, bei vielen Themes und Plugins sah das aber anders aus. Inzwischen hat auch der langsamste Entwickler die Kompatibilität hergestellt. Solange man keine alten Themes oder Plugins nutzt, bei denen die Entwicklung komplett eingestellt ist, ist ein Wechsel nun in der Regel sicher möglich. Prüfen sollte man trotzdem, zum Beispiel mit dem PHP Compatibility Checker.

Aktuell stellt ein Hoster nach dem anderen PHP 5 ab, da es für PHP 5 ab Anfang 2019 keine Sicherheitsupdates mehr geben wird (PHP 6 gibt es nicht, die Versionsnummer wurde übersprungen). PHP 5 wird zu einem Sicherheitsrisiko. Eine Umstellung sollte, wenn noch nicht geschehen, unbedingt in den nächsten Wochen durchgeführt werden.

Hier ein guter Artikel von Wordfence zu dem Thema.

Google Maps wird nicht mehr angezeigt: Infos zu API und Preismodell

In der letzten Zeit erhalten wir wieder verstärkt Anfragen, weil eingebettete Karten von Google Maps nicht mehr angezeigt werden. 2016 waren noch fehlende API-Keys der Grund, nun liegt es am neuen Preismodell.

Die Nutzung von Google Maps auf Websites ist kostenpflichtig. Google fordert von jedem Website-Betreiber, der Google Maps einsetzt, dass dieser:

  1. ein Rechnungskonto anlegt
  2. Kreditkartendaten hinterlegt
  3. den API-Key einsetzt

In der Praxis verursacht die Regelung aber nur bei größeren Websites tatsächliche Kosten. Man erhält monatlich kostenlos ein Budget von 200$, welches laut Google für bis zu 28.000 Ladevorgänge reicht. Übersteigt man das Budget, wird von der Kreditkarte abgebucht.

Stark vereinfacht wurde der Einrichtungsprozess:

Hier oben rechts auf „Jetzt starten“ klicken, ggf. mit dem Google-Konto einloggen, Produkt auswählen, Angaben für die Abrechnung hinterlegen, Projekt anlegen. Danach erhält man den API-Key, den man in WordPress einsetzen muss. Je nachdem, wo die Karten herkommen, in Theme- oder Plugin-Einstellungen.

nützliche Links zur DSGVO

Die Datenschutzgrundverordnung (DSGVO) wird am 25. Mai 2018 wirksam. Die Umsetzung ist mit weitreichenden Pflichten verbunden, unter Androhung von hohen Sanktionen bei Zuwiderhandlung.

Kritisch sind vor allem:

  1. Impressum und Datenschutzerklärung
  2. Analysetools
  3. Plugins (insbesondere Analyse, Social Media, Sharing, Antispam)
  4. Kommentarfunktion
  5. Formulare
  6. Newsletter
  7. User-Registrierung
  8. Schnittstellen (Zahlungsprovider etc.)
  9. Websites ohne SSL

Zu dem Thema gibt es eine Flut an Informationen und Beiträgen. Einen sehr guten Überblick bieten diese:

„DSGVO – Änderungen für Verbraucher und Unternehmen“ bei datenschutz.org

„WordPress rechtssicher nutzen: Datenschutz & Co.“ bei datenschutz.org

„DSGVO Checkliste für Blogger: Wie setze ich die Datenschutz-Grundverordnung für mein Weblog um?“ bei datenschmutz.net

„Datenschutz Grundverordnung: Alles was Sie zur DSGVO wissen müssen“ bei e-recht24.de

„DSGVO: Diese Änderungen kommen auf dein Online-Business zu“ bei t3n.de

PHP 7: Turbo (nicht nur) für WordPress-Websites

Die Programmiersprache PHP, auf der WordPress basiert, ist in Version 7 zwar bereits seit Ende 2015 verfügbar, in vielen Fällen allerdings war das Warten aus Kompatibilitätsgründen empfehlenswert, beziehungsweise nötig. Zwar ist WordPress schon lange kompatibel mit PHP 7, bei vielen Themes und Plugins sah das aber anders aus. Inzwischen hat auch der langsamste Entwickler die Kompatibilität hergestellt. Solange man keine alten Themes oder Plugins nutzt, bei denen die Entwicklung komplett eingestellt ist, ist ein Wechsel nun in der Regel sicher möglich. Prüfen sollte man trotzdem, zum Beispiel mit dem PHP Compatibility Checker.

Die Umstellung auf PHP 7 erfolgt beim Hoster, in der Regel kann man sie im Kundenbereich selbst durchführen. Nach wenigen Minuten (bei manchen Hostern Stunden) wird man merken, wenn es soweit ist: Durchschnittlich halbiert sich die Ladezeit der Website. Das stellen wir bei vielen Kunden fest, aber auch bei WP-Agentur.de – nun sind Ladezeiten von unter einer Sekunde möglich, wir haben sogar bereits 0,6 Sekunden gemessen, das wohlgemerkt ohne Caching oder Minification!

Mit PHP 7 verbrauchen PHP-Operationen deutlich weniger Ressourcen. Mit der gleichen Serverleistung sind also mehr Operationen möglich, was sich an der Ladezeit bemerkbar macht.

Google Chrome 56: Warnung bei nicht verschlüsselten Websites

chrome56ssl

Eine SSL-Verschlüsselung (https://) ist nicht nur ein Ranking-Kriterium für die Google-Suche und rechtlich in vielen Fällen empfehlenswert. Seit Google Chrome 56 wird auf Login- und Zahlungsseiten, die nicht verschlüsselt sind, ein Warnhinweis angezeigt (siehe Screenshot).

Google plant langfristig, alle unverschlüsselten Verbindungen mit einem roten Warndreieck zu versehen. Eine Umstellung ist daher empfehlenswert.

siehe auch: SSL-Verschlüsselung für WordPress-Websites