Beiträge

Plugin-Tipps: diese Plugins sind für jede WordPress-Installation empfehlenswert

Heutzutage sind viele Funktionen bereits in Themes integriert. Es gibt aber Plugins, die unersetzlich sind – nachfolgend die wichtigsten Tipps.

Sicherheit

Sicherheit ist ein wichtiges Thema. Es gilt, unbefugten den Zugriff auf Login und Daten zu verwehren. Manuelle Maßnahmen gibt es viele, Security-Plugins auch. Wir empfehlen das Plugin Wordfence Security. Es schützt den WordPress-Login, scannt Dateien nach Veränderungen und beinhaltet eine Firewall. Das Plugin ist kostenlos, es wird aber auch eine Premium-Version mit weiteren Features angeboten (ab 99 $ je Website und Jahr).

Backups

Ein Thema, welches häufig noch immer zu wenig Beachtung findet: das regelmäßige Sichern von Dateien und Datenbank. Wenn man etwas zerschießt, ein Plugin querschlägt, bei einem Update Probleme auftreten, oder gar wenn man gehackt wird, kann man unbesorgt sein, wenn man Sicherungen hat. Wir empfehlen insbesondere den Dienst VaultPress von Automattic/WordPress.com (ab 39 $ je Website und Jahr). Sicherungen werden automatisch durchgeführt, auf VaultPress-Servern gespeichert, und sind über einen Kalender zurückspiel- oder downloadbar. Das klappt aufgrund der Funktionsweise auch bei sehr großen Websites oder schwachen Servern. Die Daten werden allerdings auf Servern in den USA gespeichert. Eine Plugin-Lösung, die bei ausreichender Server-Performance und bis zu einer bestimmten Datengröße recht gut funktioniert, ist BackWPup (kostenlos, Premium-Version ab 39 € je Website und Jahr).

SEO

WordPress ist zwar gut für Suchmaschinenoptimierung vorbereitet, um ein gutes SEO-Plugin kommt man aber nicht herum. Beliebte Plugins sind Yoast SEO (kostenlos, Premium-Version ab 89 $ je Website und Jahr) und All in One SEO Pack (kostenlos, Premium-Version ab 97 $ je Website und Jahr). Statt der integrierten Sitemap-Funktion kann man Google XML Sitemaps (kostenlos) separat nutzen. Zwar bietet Yoast SEO seit einiger Zeit einen Easy-Mode, eine umfangreiche Konfiguration sollte man aber auf jeden Fall von einem Profi durchführen lassen.

Performance

Websites müssen schnell sein – gerade in Sachen SEO inzwischen ein sehr wichtiger Punkt. Bei Verwendung eines trägen Themes oder vieler Plugins kann eine Optimierung unumgänglich sein. WP Rocket (ab 39 $ je Website und Jahr) ist ein Plugin, welches die wichtigsten Funktionen beinhaltet und auch für Laien recht gut zu bedienen ist. Umfangreiche Profi-Lösungen, die aufwändig konfiguriert und individualisiert werden können, sind W3 Total Cache (kostenlos) und WP Super Cache (kostenlos). Damit lässt sich bei guter Konfiguration das Maximum herausholen.
Wichtig ist auch eine gute (optisch verlustfreie) Komprimierung der Bilder. Das ist zum Beispiel mit Optimus (kostenlose Testversion, Premium-Version ab 29 € je Website und Jahr) möglich – auch für bereits hochgeladene Bilder. Aber Achtung: Nachträgliche Änderungen an bestehenden Bildern (auch Dateigröße) können vorübergehend das Ranking in der Google-Bildersuche beeinflussen.

Formulare

Die meisten Themes bzw. Layout-Builder beinhalten Formulare, mit denen man aber schnell an Grenzen stößt. Eine Top-Lösung ist das Plugin Gravity Forms (ab 59 $ je Website und Jahr). Der Funktionsumfang ist gewaltig, die Bedienung dabei aber noch verständlich. Eine kostenlose Alternative ist Ninja Forms.

Spam

Antispam Bee (kostenlos) bietet praktische Funktionen und schützt zuverlässig vor Spam-Kommentaren.

Wichtig: WordPress 4.7.2 Sicherheitsrelease

Nutzer von WordPress 4.7 (oder 4.7.1) sollten unbedingt überprüfen, ob das automatische Sicherheitsupdate 4.7.2 installiert ist (wurde in der letzten Woche ausgerollt), bzw. bei deaktivierten automatischen Sicherheitsupdates das Update manuell durchführen.

Es wurde nun öffentlich, dass eine als hochkritisch eingestufte Sicherheitslücke behoben wurde. Genaueres dazu wurde in den ersten Tagen bewusst nicht öffentlich kommuniziert, damit Nutzer Zeit zur Aktualisierung haben.

via https://de.wordpress.org/2017/02/wordpress-4-7-2-sicherheitsrelease-update/

Wordfence 6.3: neues Dashboard

wordfence-dashboard

Die beliebte Sicherheitslösung für WordPress, Wordfence, hat ein größeres Update erhalten: Das Wordfence-Dashboard wurde mit Version 6.3 runderneuert. Das war längst überfällig – das Plugin funktioniert zwar gut, war aber immer sehr unübersichtlich.

Die wichtigen Daten werden nun ansprechend und übersichtlich präsentiert: Scan-Status, Benachrichtigungen, Funktions-Status, Abwehr-Feed, Firewall-Daten, geblockte IPs, geblockte Attacken, Top-Länder…

mehr Infos: Announcing Wordfence 6.3.0 – Exciting Improvements

Sicherheit: Updates empfohlen

Update-Check

Leider überschlagen sich momentan die Ereignisse: Die Sicherheitsfirma Sucuri hat zusammen mit dem Security Team von WordPress eine Sicherheitslücke entdeckt, die viele verbreitete Plugins betrifft. Die Entwickler der größten betroffenen Plugins wurden direkt kontaktiert.

Aus diesem Grund trudeln momentan viele Updates ein, die sicherheitstechnisch relevant sind. Auch ein Security Release von WordPress ist erschienen – Edit: und noch eins.

Nicht jedes Update kann sofort und ohne Anpassungen durchgeführt werden – und nicht jedes Update muss durchgeführt werden. Daher ist es empfehlenswert, unter „Aktualisierungen“ im Dashboard nachzuschauen, welche Updates sicherheitstechnisch relevant sind. Auf der Seite „Aktualisierungen“ gibt es bei jedem Update einen Link „Zeige Details von Version X“, der zu den Changelogs führt. Dort ist dann aufgelistet, ob es sich bei dem Update auch um einen Sicherheitsfix handelt.

Weiterführende Infos gibt es hier im Blog:
Fragen & Antworten zu WordPress-Updates und Sicherheit
Sicherheit bei WordPress: automatische Updates (auch für Plugins und Themes)
WordPress-Updates: was man wissen sollte
WordPress-Websites sichern mit VaultPress
WordPress ab Version 3.7 mit automatischer Update-Funktion

Von uns empfohlene Plugins und Dienste:
Wordfence Security
VaultPress

Fragen & Antworten zu WordPress-Updates und Sicherheit

In diesem Artikel möchte ich auf häufig gestellte Fragen unserer Kunden bezüglich Updates (von WordPress, Plugins und Themes) hinsichtlich Sicherheit eingehen. Los gehts!

Wie oft muss ich updaten?

Die Frage ist nicht allgemein zu beantworten: Wenn es nötig ist.

In diesem Zusammenhang möchte ich auch auf unseren Artikel Sicherheit bei WordPress: automatische Updates (auch für Plugins und Themes) verweisen.

Muss ich jedes Update durchführen?

Ganz klar: nein. Nicht jedes Update ist ein Sicherheits-Update. Für Updates gibt es auch andere Gründe, wie die Behebung von Fehlern und die Verbesserung und Erweiterung von Funktionen.

Wie erfahre ich, welches Update (von Plugin oder Theme) sicherheitstechnisch relevant ist?

Über die Changelogs, dem Logbuch der Änderungen. Bei vielen Plugins (und allen aus dem WordPress-Verzeichnis) erreicht man diese ganz einfach: In der Plugin-Liste auf „Details der Version X.X ansehen“ klicken und nachlesen, ob das Update Sicherheitslücken stopft. Bei Plugins, die nicht aus dem Verzeichnis stammen, sowie Themes, muss man beim jeweiligen Entwickler nachsehen.

Betrifft mich jede Sicherheitslücke überhaupt?

Nein. Es gibt Sicherheitslücken, für die ganz bestimmte Voraussetzungen erfüllt sein müssen – die man unter Umständen in der eigenen Installation nicht erfüllt. Man sollte daher auch schauen, welche Lücke ein Update stopft.

Kann ich jedes Update sofort problemlos durchführen?

Nein. Es kann Probleme in Sachen Kompatibilitäten, Abhängigkeiten und getätigten Anpassungen geben. Hier muss man gut abwägen. Ich empfehle hierzu auch die Abschnitte 2. und 3. unseres Artikels WordPress-Updates: was man wissen sollte.

Was muss ich vor einem Update machen?

Unbedingt mindestens die Datenbank sichern, möglichst auch die Dateien per FTP.

Was mache ich, wenn eine Sicherheitslücke in einem Plugin bekannt wurde, es aber noch kein Update gibt, welches diese stopft?

Wenn es nötig ist (siehe „Betrifft mich jede Sicherheitslücke überhaupt?“), das Plugin vorübergehend deaktivieren UND löschen.

Gibt es weitere Fragen? Gerne im Kommentarbereich!