Beiträge

Plugin-Tipps: diese Plugins sind für jede WordPress-Installation empfehlenswert (Update)

Viele Funktionen sind bereits in WordPress oder Themes integriert. Es gibt aber Plugins, die unersetzlich sind – nachfolgend die wichtigsten Tipps, aktualisiert zuletzt im September 2020.

Sicherheit

Sicherheit ist ein wichtiges Thema. Es gilt, unbefugten den Zugriff auf Login und Daten zu verwehren. Manuelle Maßnahmen gibt es viele, Security-Plugins auch.

Wir empfehlen das Plugin Wordfence Security. Es schützt den WordPress-Login, beinhaltet eine Firewall und scannt Dateien nach Veränderungen. Das Plugin ist kostenlos, es gibt aber auch eine Premium-Version (99 $ je Website und Jahr).

Backups

Ein Thema, welches häufig noch immer zu wenig Beachtung findet: das regelmäßige Sichern von Dateien und Datenbank. Wenn man etwas zerschießt, ein Plugin querschlägt, bei einem Update Probleme auftreten, oder gar wenn man gehackt wird, kann man unbesorgt sein, wenn man Sicherungen hat.

Eigentlich ganz hervorragend ist der Dienst VaultPress von Automattic / WordPress.com (ab 120 $ je Website und Jahr). Sicherungen werden automatisch durchgeführt, auf VaultPress-Servern gespeichert, und sind über einen Kalender zurückspiel- oder downloadbar. Das klappt aufgrund der Funktionsweise auch bei sehr großen Websites oder schwachen Servern. Die Daten werden allerdings auf Servern in den USA gespeichert, was datenschutzrechtlich problematisch ist.

Eine Plugin-Lösung, die bei ausreichender Server-Performance und bis zu einer bestimmten Datengröße recht gut funktioniert, ist BackWPup (kostenlos, Premium-Version 59 € je Website und Jahr).

Eine Alternative ist Updraft Plus. Damit sind inzwischen – wie auch bei VaultPress – inkrementelle Backups möglich, allerdings nicht in der kostenlosen Version (Premium-Version knapp 80 € für zwei Websites pro Jahr).

SEO

WordPress ist zwar gut für Suchmaschinenoptimierung vorbereitet, um ein gutes SEO-Plugin kommt man aber nicht herum.

Absoluter Standard ist inzwischen Yoast SEO (kostenlos, Premium-Version ab 89 € je Website und Jahr). Zwar bietet Yoast SEO seit einiger Zeit einen Easy-Mode, eine umfangreiche Konfiguration sollte man aber auf jeden Fall von einem Profi durchführen lassen.

Wenn man Umstrukturierungen an der Website durchführt, kann man mit Redirection (kostenlos) einfach suchmaschinenfreundliche Umleitungen einrichten.

Performance

Websites müssen schnell sein – gerade in Sachen SEO inzwischen ein sehr wichtiger Punkt. Bei Verwendung eines trägen Themes oder vieler Plugins kann eine Optimierung unumgänglich sein.

WP Rocket (49 $ je Website und Jahr) ist ein Plugin, welches die wichtigsten Funktionen beinhaltet und auch für Laien recht gut zu bedienen ist. Kostenlose, aber sehr komplexe Alternativen sind W3 Total Cache und WP Super Cache.

Wichtig ist auch eine gute (optisch verlustfreie) Komprimierung der Bilder. Das ist zum Beispiel mit Optimus (kostenlose Testversion, Premium-Version 29 $ je Website und Jahr) möglich – auch für bereits hochgeladene Bilder. Aber Achtung: Nachträgliche Änderungen an bestehenden Bildern (auch Dateigröße) können vorübergehend das Ranking in der Google-Bildersuche beeinflussen.

Datenschutz

Es gibt zahlreiche kostenlose Plugins für Cookie-Hinweise, die oftmals aber nicht mehr ausreichend sind. Borlabs Cookie hat sich durchgesetzt, wenn es kompliziert wird (Opt-in, Gruppen, Medien). Es gibt keine kostenlose Version (39 € je Website und Jahr).

Mit Shariff Wrapper lassen sich DSGVO-kompatible Sharing-Buttons für soziale Netzwerke einbinden (kostenlos).

Spam

Antispam Bee bietet praktische Funktionen und schützt zuverlässig vor Spam-Kommentaren (kostenlos).

Formulare

Die meisten Themes bzw. Layout-Builder beinhalten Formulare, mit denen man aber schnell an Grenzen stößt.

Eine Top-Lösung ist das Plugin Gravity Forms (ab 59 $ je Website und Jahr). Der Funktionsumfang ist gewaltig, die Bedienung dabei aber noch verständlich. Eine kostenlose Alternative ist Ninja Forms.

Sicherheit: Aktualisierungen, Ausmisten und Schutz empfohlen, aktuell Häufung von Attacken

Die Zahl der Straftaten im Internet steigt in allen Bereichen stetig. Aktuell gibt es jedoch eine besonders massive Häufung von Attacken auf Websites.

Hier nur drei von vielen Schlagzeilen der letzten Tage aus dem Wordfence-Blog:

Bei diesem Beispiel handelt es sich nur um einen Angreifer:

Ab dem 28. April haben wir das 30-fache des Cross-Site-Scripting-Angriffsvolumens festgestellt, das von einem einzelnen Angreifer stammt und auf über eine Million WordPress-Sites abzielt.

Ab dem 12. Mai 2020 haben Angriffe dieses Bedrohungsakteurs alle anderen Angriffe auf Schwachstellen im gesamten WordPress-Ökosystem übertroffen.

Quelle

Die Attacken haben insbesondere das Ziel, ältere Sicherheitslücken auszunutzen (XSS / Cross-Site-Scripting).

In unserem Umfeld waren die Attacken bisher scheinbar nicht erfolgreich, allerdings haben bei mehreren Projekten die Firewalls auffällig viel zu tun.

Gegenmaßnahmen

  1. Aktualisierungen: WordPress, Themes, Plugins (und PHP)
  2. Ausmisten: nicht genutzte Themes und Plugins löschen (nicht nur deaktivieren!), nicht mehr weiterentwickelte austauschen
  3. Schutz: es gibt mehrere Security-Plugins, wir empfehlen insbesondere Wordfence

weitere Beiträge zum Thema Sicherheit in unserem Blog:
Fragen & Antworten zu WordPress-Updates und Sicherheit
Sicherheit bei WordPress: automatische Updates (auch für Plugins und Themes)
Hilfe: WordPress gehackt – was nun?
20 Tipps: WordPress sicherer machen

aktuell: Hack-Welle, unter anderem Weiterleitungen auf unseriöse Seiten

Aktuell scheint es eine größere Hack-Welle zu geben: In Seiten, Beiträgen, Produkten und ggf. anderen Post-Types von gehackten Websites befinden sich im Texteditor (nur sichtbar im Text- oder Code-Modus) Scripte, die Weiterleitungen auf (unseriöse) Gewinnspiel-Seiten verursachen.

Update 09.11.2019:

Weiterleitungen finden nicht nur auf unseriöse Gewinnspielseiten statt, sondern auch auf andere fragwürdige Seiten (möglicherweise Scam / Phishing).
Die Schadcodes befinden sich häufig schon länger auf den Websites, feuern offenbar aber erst seit Donnerstag besonders stark, also auffällig. Allerdings meistens nur auf Mobilgeräten, mit einigen Sekunden Verzögerung und nicht zu jeder Tageszeit (vor allem abends und nachts).

Ermöglicht wurden die Hacks scheinbar nicht durch eine Sicherheitslücke in WordPress: Es scheint sich um Datenbank-Hacks zu handeln. Auch Websites, die nicht mit WordPress betrieben werden, sind betroffen, sogar Ad-Server von Vermarktern. Dort gibt es das Problem schon länger (gelegentlich unseriöse Weiterleitungen auf eigentlich seriösen Nachrichtenportalen). Neu scheint das Problem, zumindest in dieser Stärke, auch auf normalen Websites zu sein. Leider werden diese Hacks (noch) nicht von gängigen Security-Plugins erkannt.

Alle uns bekannten Website-Hacks haben dieselbe Script-Source (URL), allerdings teils mit anderen IDs.

Zu dieser Script-Source sind im Web noch nicht viele Informationen zu finden. Google liefert zwar bereits knapp 1.000 Ergebnisse, dabei handelt es sich aber fast ausschließlich um indexierte gehackte Websites mit exakt dieser Source. Generell scheint es noch verhältnismäßig wenig diskutiert zu werden. Mehr dürften wir in den nächsten Tagen erfahren.

Zudem stellen wir momentan eine auffällige Häufung an weiteren Hacks fest, teils leider sogar in Kombination.

Update 11.11.2019:

Zitat von Sucuri, übersetzt:

In dieser Woche haben wir eine neue Welle von Website-Infektionen beobachtet, die sich hauptsächlich auf WordPress- und Magento-Websites auswirken. Wir haben festgestellt, dass Hacker Skripte von scripts.trasnaltemyrecords[.]com in mehrere Dateien und Datenbanktabellen eingefügt haben.

Quelle: https://blog.sucuri.net/2019/11/vulnerable-versions-of-adminer-as-a-universal-infection-vector.html

Laut Sucuri soll eine Sicherheitslücke im Datenbank-Tool Adminer die Ursache sein, wodurch das Auslesen der Konfigurationsdateien von CMS möglich wurde. Damit konnten sich die Hacker Zugriff auf Datenbanken verschaffen, dort Schadcode einfügen, Plugins installieren, Fake-Admins anlegen und Schadcode in Dateien einfügen.

Sucury empfiehlt folgende Schritte:

  1. Adminer entfernen
  2. das Datenbank-Passwort ändern
  3. das Plugin „Super Socialat“ löschen
  4. unbekannte WordPress-Administratoren löschen
  5. alle Passwörter von Administratoren ändern
  6. alle infizierten PHP-, JS- und HTML-Dateien löschen bzw. bereinigen
  7. Infektionen in der Datenbank entfernen

Wir betreuen aktuell fünf Fälle (mit der o.g. Script-Source), haben bisher aber noch kein Plugin „Super Socialat“ oder Fake-Admins gesehen. Die Hacks machen einen auffällig chaotischen und individuellen Eindruck. Es ist durchaus denkbar, dass mit den Zugängen gehandelt wurde. Ob immer die Sicherheitslücke in Adminer die Ursache ist, ist nicht abschließend geklärt.

Wordfence 6.3: neues Dashboard

wordfence-dashboard

Die beliebte Sicherheitslösung für WordPress, Wordfence, hat ein größeres Update erhalten: Das Wordfence-Dashboard wurde mit Version 6.3 runderneuert. Das war längst überfällig – das Plugin funktioniert zwar gut, war aber immer sehr unübersichtlich.

Die wichtigen Daten werden nun ansprechend und übersichtlich präsentiert: Scan-Status, Benachrichtigungen, Funktions-Status, Abwehr-Feed, Firewall-Daten, geblockte IPs, geblockte Attacken, Top-Länder…

mehr Infos: Announcing Wordfence 6.3.0 – Exciting Improvements

Sicherheit: Updates empfohlen

Update-Check

Leider überschlagen sich momentan die Ereignisse: Die Sicherheitsfirma Sucuri hat zusammen mit dem Security Team von WordPress eine Sicherheitslücke entdeckt, die viele verbreitete Plugins betrifft. Die Entwickler der größten betroffenen Plugins wurden direkt kontaktiert.

Aus diesem Grund trudeln momentan viele Updates ein, die sicherheitstechnisch relevant sind. Auch ein Security Release von WordPress ist erschienen – Edit: und noch eins.

Nicht jedes Update kann sofort und ohne Anpassungen durchgeführt werden – und nicht jedes Update muss durchgeführt werden. Daher ist es empfehlenswert, unter „Aktualisierungen“ im Dashboard nachzuschauen, welche Updates sicherheitstechnisch relevant sind. Auf der Seite „Aktualisierungen“ gibt es bei jedem Update einen Link „Zeige Details von Version X“, der zu den Changelogs führt. Dort ist dann aufgelistet, ob es sich bei dem Update auch um einen Sicherheitsfix handelt.

Weiterführende Infos gibt es hier im Blog:
Fragen & Antworten zu WordPress-Updates und Sicherheit
Sicherheit bei WordPress: automatische Updates (auch für Plugins und Themes)
WordPress-Updates: was man wissen sollte
WordPress-Websites sichern mit VaultPress
WordPress ab Version 3.7 mit automatischer Update-Funktion

Von uns empfohlene Plugins und Dienste:
Wordfence Security
VaultPress