Da das Tempo bei der Modifizierung bei Open Source Software Versionen erheblich zugenommen hat und jeder Provider unterschiedliche Servereigenschaften zur Verfügung stellt, müssen einige Punkte beachtet werden.
Der Vorteil einer Open-Source Software hat leider auch Nachteile.
Der nachfolgenden Checkliste können Sie entnehmen, welche Punkte sie beachten sollten und welche zusätzlichen Wartungen Sie auf ihrer Webpräsenz regelmäßig durchführen sollten. Zusätzlich gibt diese Liste Ihnen einen Überblick, was auch vor der Erstellung zu beachten wäre:
Wahl eines zuverlässigen und schnellen Providers für WordPress
Ausreichende Speicherkapazität auf dem Server (min. 20 GB empfehlenswert)
Genügend Arbeitsspeicher im Rahmen des Providers oder ihrer Webseite.
Unterschiedliche PHP-Versionen zur Auswahl
PHP-Versionen immer auf einem etwas neueren Stand halten
Word Press Plugins und Themes immer auf aktuellem Stand halten.
Website häufiger besuchen, um Ausfälle festzustellen
Datenbankgröße regelmäßig beobachten bei Bedarf minimieren
Regelmäßiges Backup durchführen und auf einer Cloud oder auf Festplatte abspeichern.
Word Press Version immer auf den aktuellen Stand halten
Keine einfachen Benutzernamen und Passwörter vergeben
Zusätzliche Firewall oder Malware Programm installieren
Sicherungssystem des Providers nutzen.
Passwörter und Zugangsdaten bereithalten oder abspeichern
Rechtliche Angelegenheiten wie Datenschutz, Impressumspflicht und Cookie Richtlinien oder auch AGB von einer fachkundigen Person überprüfen zu lassen
Es ist nicht immer nachzuvollziehen: Warum eine Webseite warten oder pflegen? Die Webseitenelemente in WordPress werden fortlaufen modifiziert und erweitert. Deswegen ist es hier wichtig immer auf dem Neuesten Stand zu bleiben. Sollte man hier ein paar Monate nichts gemacht haben tritt ein hoher Aufwand auf. Manchmal kann es auch dazu führen, dass die Webseite nicht mehr richtig funktioniert oder Fehlermeldungen erscheinen. Ob ein PHP Update oder ein WordPress Update ist hier dann ziemlich egal. Alles muss kompatibel zueinander sein. Bei manchen Hosting-Unternehmen bezahlen Sie zudem noch höhere Beiträge, wenn Sie nicht auf eine höhere PHP-Version umsteigen und er noch die alte Version (Supported Version) bereitstellen muss.
Oft treten Fehler auf wie z.B. die SSL Verschlüsselung ist nicht mehr gültig. Das ist dann besonders peinlich wenn sie unbedingt eine verschlüsselte Seite wie einen Online-Shop betreiben. Dann ist schnell eine Aktion notwendig, die unnötigen Stress verursacht.
Sicherheit hat Vorrang
Häufig fragen Kunden, was kriminelle Hacker für ein Interesse haben können, auch eine kleinere WordPress-Webseiten zu hacken. Welchen Nutzen haben sie, wenn sie Webseiten von Vereinen und kleinen Firmen angreifen?
Diebstahl von Daten / Handel mit Daten – Das Erspähen von Benutzernamen und den dazugehörigen Passwörtern kann ein Hacker zum Einbruch auf Amazon, Ebay, PayPal und anderen Verkaufsplattformen verwenden – häufig werden ja immer die gleichen Passwörter und Mailadressen verwendet. Kreditkarteninformationen und persönliche Daten sind für jeden Hacker interessant und werden sehr oft weiterverkauft.
Deswegen hier schon der Tipp: Nehmen Sie für jede Verkaufsplattform ein anderes Passwort und nicht das gleiche für andere Zugänge wie z.B. WordPress.
E-Mails die man vom Provider bekommt lassen schon erahnen das dies nicht auf die leichte Schulter zu nehmen ist.
Kosten der Wartung und Pflege von WordPress
Rechnen Sie beim Erstellen einer neuen Webseite ebenso mit diesen Kosten, die sich ca. auf 10-50€ netto monatlich belaufen. Dies ist natürlich abhängig vom Seiten- und Funktionsumfang ihrer Webseite. Man sollte sich jedoch auf wenigstens den Minimumaufwand festlegen. Eine Webseite ist mittlerweile wie ein Computer zu betrachten. Ohne die entsprechenden aktualisierten Programmelemente kann es zu Sicherheitslücken und Funktionsschwierigkeiten kommen. Dies kann dann gerade in einem Online-Shop zu Umsatzausfällen führen. Oder im Bereich von Sicherheitslücken sogar ein kompletter Ausfall der Webseite unter Umständen von Tagen.
Damit diese Probleme nicht auftreten, machen sie und ihr Webseiten-Administrator einen Plan, wann und wie die Webseite in regelmäßigen Abständen zu aktualisieren ist. In vielen Fällen können Sie dies auch bei einer Aktualisierung des Inhalts in die Wege leiten.
Backup- der Datenbank und der Webseite in regelmäßigen Abständen
WordPress Checkliste vor Projektbeginn
Da das Tempo bei der Modifizierung bei Open Source Softwareversionen erheblich zugenommen hat und jeder Provider unterschiedliche Servereigenschaften zur Verfügung stellt, müssen die WordPress Versionen, Plugins, Themes, Firewall und Backup Programme immer wieder rechtzeitig überprüft und aktualisiert werden, um die korrekte Funktion der Webseite sicherzustellen und die Sicherheitslücken älterer Versionen zu schützen.
Der Vorteil einer Open-Source Software hat leider auch Nachteile.
Der nachfolgenden Checkliste können Sie entnehmen, welche Punkte sie beachten sollten und welche zusätzlichen Wartungen Sie auf ihrer Webpräsenz regelmäßig durchführen sollten. Zusätzlich gibt diese Liste Ihnen einen Überblick, was auch vor der Erstellung zu beachten wäre:
Wahl eines zuverlässigen und schnellen Providers für WordPress
Ausreichende Speicherkapazität auf dem Server (min. 20 GB empfehlenswert)
Genügend Arbeitsspeicher im Rahmen des Providers oder ihrer Webseite.
Unterschiedliche PHP-Versionen zur Auswahl
PHP-Versionen immer auf einem etwas neueren Stand halten
Word Press Plugins und Themes immer auf aktuellem Stand halten.
Website häufiger besuchen, um Ausfälle festzustellen
Datenbankgröße regelmäßig beobachten bei Bedarf minimieren
Regelmäßiges Backup durchführen und auf einer Cloud oder auf Festplatte abspeichern.
Word Press Version immer auf den aktuellen Stand halten
Keine einfachen Benutzernamen und Passwörter vergeben
Zusätzliche Firewall oder Malware Programm installieren
Sicherungssystem des Providers nutzen.
Passwörter und Zugangsdaten bereithalten oder abspeichern
Rechtliche Angelegenheiten wie Datenschutz, Impressumspflicht und Cookie Richtlinien oder auch AGB von einer fachkundigen Person überprüfen zu lassen
Anmerkungen:
Das Backup stellt eine Sicherungsvariante da, die absolut notwendig ist. Informieren Sie sich bei Ihrem Provider über die Sicherungsszenarien. Bitte führen Sie auch ein manuelles Backup durch. Oder stellen Sie sich ein automatisiertes Backup ein. Wenn Ihre Webseite nicht regelmäßig geändert wird, lassen Sie sich monatlich ein Update machen. Ihr Text- und Bildinhalt ändert sich zwar nicht, aber die Plugins und WordPress-Versionen ständig. Das bedeutet ein Backup, was vor zwei Jahren erstellt wurde, ist schlecht wieder herzustellen, wenn sich zwischenzeitlich das WordPress Core (WordPress CMS Basissystem) und auch dazugehörige Plugins mehrmals geändert haben.
Wenn eine Datenbank-Sicherung oder die aktuelle Datenbank auf der Webseite mit Malware oder Fehlern infiziert ist, sind diese nur schwer zu reparieren und kostet viel Zeit und Geld!
Auswahl der Plugins Nehmen Sie nur so viele Plugins, die sie auch tatsächlich brauchen. Löschen Sie überflüssige Plugins oder wenn Sie nur temporär brauchen, deaktivieren Sie diese. Wenn kostenpflichtige Plugins zu kaufen sind, überprüfen Sie, ob der Plugin-Hersteller bekannt und gut bewertet wurde. https://wordpress.org/plugins/. Alter des Plugins bzw. letzte Aktualisierung überprüfen. Manche gekauften Plugins können auch nur manuell aktualisiert werden.
Themes und Vorlagen der Wordpress Seiten
Auch die Themes bzw. Vorlagen entwickeln sich ständig weiter. Auch hier sollte man die Themes regelmäßig aktualisieren. Alte Themes bzw. PHP-Vorlagen können dazu führen, dass man bei PHP-Updates (PHP Open Source Skript-Sprache auf der die Basis-Webprogrammierung aufgebaut ist) PHP Fehler angezeigt bekommt oder auch Funktionalitäten der Webseite eingeschränkt sind. Dann ist der Aufwand erheblich groß, diese PHP-Fehler zu finden und diese wieder zu isolieren. Erfahrungswerte zeigen, dass die Vorlagen ca. 2 bis 4 Jahre problemlos eingesetzt werden können. Danach ist es reine Glückssache, ob die Vorlage bei neueren PHP-Versionen noch funktioniert. Auch hier sollte man bei der Auswahl darauf achten, ob das Theme bereits sehr lange auf dem Markt ist und weiterentwickelt wird. Leider sollte man auf persönliche programmiertechnische Anpassungen verzichten, da später diese Dateien bei einem Update überspielt werden. Stilistische Vorlagen (CSS Cascading Stylesheets) können separat abgesichert werden und stellen nur geringfügige Probleme dar.
Rechtliches Nehmen Sie die rechtlichen Pflichten einer Webseite nicht auf die leichte Schulter. Überprüfen Sie regelmäßig neue Gesetzes-Richtlinien wie:
Impressumspflicht
Datenschutz
Copyright-Rechte
Cookie Richtlinien
AGB
Bei Bedarf lassen Sie sich fachmännisch von einer Rechtsanwaltskanzlei einmalig beraten oder schließen ein ABO ab. Kopierte Seiten von anderen Webseiten bringen keinen Erfolg, da bei Ihren Webseiten andere technische Plugins, Cookies oder Sonstiges eingesetzt wird. Der Webseiten-Betreuer kann nur technische Tools installieren, die unterstützen, die richtigen Angaben kommen aber von Ihnen. Leider stehen Sie als Verantwortlicher im Impressum.
Wichtigsten Checkpunkte WordPress Seiten:
Wie sind die Zugangsdaten des Providers oder meine WordPress-Admin Bereichs
Wo sind die Backups der Webseite und wie häufig sieht das Sicherungs-Szenario aus?
Wo und wie kann ich diese Backup-Dateien wiederherstellen?
Ist mein System auf einem neueren Stand? WordPress-Version, Plugins, Themes, PHP-Version des Providers, Datenbankgröße
Aktualisierung WordPress-Versionen
Aktualisierung Plugins
Aktualisierung Themes bzw. Vorlagen
Aktualisierung PHP-Serverversionen
Beobachtung Datenbankgröße bzw. Reinigung der Datenbank bei langjähriger Verwendung
Haben sich Rechtliche Änderungen bei der Gesetzeslage ergeben: Betreiben von Webseiten oder Shops?
Impressum, Datenschutz, Cookie-Richtlinien, AGB
Überprüfen Sie täglich oder wöchentlich Ihre Präsenz
Nehmen Sie sich für diese Sachen Zeit oder beauftragen Sie einen verantwortungsvollen Mitarbeiter mit Internetkenntnissen. „Internet ist Chefsache“ und verhindern Sie Datenverlust oder zusätzliche Kosten durch Versäumnisse.
Warum einen Firewall- und Malwarescanner für WordPress benutzen?
In der Computersicherheit ist eine Vulnerability eine Schwachstelle, die von einem Angreifer, wie z. B. einem Hacker, ausgenutzt werden kann, um Funktionen innerhalb eines Computersystems zu erhalten (d. h. nicht autorisierte Aktionen auszuführen). Um eine Schwachstelle auszunutzen, muss ein Angreifer über mindestens ein anwendbares Tool oder eine Technik verfügen, die eine Verbindung zu einer Systemschwäche herstellen kann. Schwachstellen werden in diesem Rahmen auch als Angriffsstellen bezeichnet.
Unter Schwachstellenmanagement versteht man das Ermitteln aller Assets, Priorisieren von Assets, Bewerten oder Durchführen eines vollständigen Schwachstellenscans, Berichte über Ergebnisse, Beheben von Schwachstellen, Überprüfen der Behebung – Wiederholen. Diese Praxis bezieht sich im Allgemeinen auf Software-Schwachstellen in Computersystemen. Agiles Schwachstellenmanagement bezieht sich auf das Verhindern von Angriffen, indem alle Schwachstellen so schnell wie möglich identifiziert werden.
Ein Sicherheitsrisiko wird oft fälschlicherweise als Schwachstelle eingestuft. Es gibt Schwachstellen ohne Risiko: zum Beispiel, wenn die betroffenen Daten wertlos sind.
Das Schließen einer Sicherheitslücke bedeutet somit etwas mehr als eine Schwachstelle. Hier wurde definitiv erkannt, dass mit gewissen Prozessen eine für den Besitzer der Webseite nicht gewünscht autorisierte Aktion durchgeführt werden kann, z.B. Linkeinbindung von Werbung in die Webseite bis hin zum Datenklau von Benutzerdaten der Anwender.
Beispiel einer XSS Vulnerability
Cross-Site Scripting (XSS)-Angriffe sind eine Art der Injektion, bei der bösartige Skripts in ansonsten harmlose und vertrauenswürdige Websites eingeschleust werden. XSS-Angriffe treten auf, wenn ein Angreifer eine Webanwendung verwendet, um bösartigen Code, im Allgemeinen in Form eines browserseitigen Skripts, an einen anderen Endbenutzer zu senden. Schwachstellen, die den Erfolg dieser Angriffe ermöglichen, sind weit verbreitet und treten überall dort auf, wo eine Webanwendung Eingaben von Benutzern innerhalb der von ihr generierten Ausgabe verwendet, ohne sie zu validieren oder zu codieren.
Ein Angreifer kann XSS verwenden, um ein bösartiges Skript an einen ahnungslosen Benutzer zu senden. Der Browser des Endbenutzers kann nicht wissen, dass das Skript nicht vertrauenswürdig ist, und führt das Skript aus. Da es davon ausgeht, dass das Skript von einer vertrauenswürdigen Quelle stammt, kann das schädliche Skript auf alle Cookies, Sitzungstoken oder andere vertrauliche Informationen zugreifen, die vom Browser gespeichert und mit dieser Website verwendet werden. Diese Skripte können sogar den Inhalt der HTML-Seite umschreiben.
Es gehört schon etwas dazu einen Shop richtig zu aktualisieren, zumal ein Update des Woocommerce Plugins sehr oft eine Datenbankoptimierung nach sich zieht. Wird diese dann nachgezogen sollte alles o.k. sein. Aber was machen, wenn dann bestimmte Shop-Funktionen, die vielleicht mit einem Plugin erfolgt sind nicht mehr funktionieren?
Dafür gibt es oft keine Hilfestellung. Die normale Reihenfolge der Aktualisierung sollte so aussehen:
Sicherung der kompletten Webseite inkl. Datenbank
Aktualisierung des Themes
Sicherung der alten Plugin-Files
Aktualisierung der betreffenden Plugins bis auf das Woocommerce Plugins
Testen der Funktionalitäten des Online-Shops
Wenn erfolgreich und die Plugins alle funktionieren, Aktualisierung der Woocommerce Version
Bei Aufforderung unbedingt Woocommerce Datenbank optimieren!
Testen der Funktionalitäten des Online-Shops
Wenn erfolgreich kann zuletzt noch bei Bedarf die WordPress-Version aktualisiert werden und auf den aktuellsten Stand gebracht werden, wenn die Woocommerce Version dafür kompatibel ist.
Einer der nützlichsten Aspekte beim Erstellen einer Website mit WordPress sind die Tausenden von Plugins von Drittanbietern. Es gibt ein Plugin für fast alles, was Sie tun müssen. Leider schafft diese riesige Auswahl von Plugins auch viele Variationen bei Elementen wie Versionen und Sicherheit. Die bei weitem am häufigsten gemeldeten WordPress-spezifischen Probleme beziehen sich auf Plugins.
Einige häufige Probleme, die durch Plugins verursacht werden, können sein:
Website wird als leere Seite angezeigt
Website läuft langsam
Seiten der Website zeigen Fehlermeldungen an
Sowie andere unterschiedliche Probleme
Deswegen sollte man den Einsatz der Plugins überprüfen, ob diese tatsächlich aktiv bleiben müssen. Manchmal benötigt man Plugins nur kurzzeitig um etwas zu testen, eine Datenbanktabelle zu säubern oder kurzzeitig ein Backup zu erstellen. Häufig kann man auch einen Scanner für die Wartung oder Suche von Hacks einsetzen. Aber ist es notwendig hier alle Plugins aktiviert zu lassen? Sicherlich nicht, denn vor dem nächsten Einsatz kann das Plugin dann wieder kinderleicht aktiviert werden. So kann man vulnerable Plugins vermeiden oder in aller Ruhe aktualisieren, wenn die Funktion nicht unbedingt gerade notwendig oder verfügbar sein muss.
In letzter Zeit treten vermehrt Versuche aus unterschiedlichen Ländern auf den WP-Admin Bereich zu attackieren. Zum einen versuch wohl ein Roboter verschiedene admin Namen und Passwörter auszuprobieren. Sehr oft werden hierbei die Domain-Namen oder “admin”, “user” als Benutzernamen versucht. Sie sollten ihre Firewall so einstellen, dass sie Benutzer IP´s die mit nicht registrierten Benutzernamen versuchen anzumelden gleich ausschließen und für mehrere Stunden zu sperren. Bitte beachten Sie aber, dass Sie dann auch die gleichen Probleme haben, wenn Sie den falschen Benutzernamen eingeben, ein Vertippen reicht da schon um mehrere Stunden ausgesperrt zu bleiben, da ihre IP Adresse von der Firewall gesperrt ist. Trotzdem sollte man diese Einstellungen vornehmen. Natürlich ist mir auch bewusst, dass man mit einem VPN-Zugang die IP-Adresse verändern kann und den Zugang erneut angreifen kann. Man sieht dass im Protokoll, dass dann WordPress-Zugänge ca. alle 10 Minuten angegriffen werden, meistens für ca. 24 Stunden bevor der Angreifer dann andere Seite auswählt. Es sieht dann nach einer systematischen Angriffswelle über alle WordPress-Webseiten weltweit aus.
Mögliche Maßnahmen gegen ein Angriff auf der Login-Seite:
Keine Benutzernamen verwenden, die leicht zu erraten sind oder in Verbindung mit dem Domainnamen gebracht werden können.
Firewall so einstellen, dass unberechtigte Benutzernamen und die dazugehörige IP-Adresse ausgesperrt werden
reCAPTCHA Verfahren installieren, damit Roboter keine Anmeldeversuche durchführen können. (Bitte denken Sie daran, dass dies beim Umzug oder Webseiten Restore Probleme bereiten kann, somit muss das Plugin vielleicht umbenannt oder vorübergehend deaktiviert werden.)
WP-Header bereinigen und WP-Informationen im Header auf ein Minimum reduzieren.
Die Maßnahme die WordPress Login Seite umzubenennen oder zu verschieben, verbirgt später beim Umzug oder Datensicherung evtl. Probleme.
Wir verwenden Cookies, um unsere Website und unseren Service zu optimieren.
Funktional
Immer aktiv
Die technische Speicherung oder der Zugriff ist unbedingt erforderlich, um die Nutzung eines bestimmten Dienstes zu ermöglichen, der ausdrücklich vom Abonnenten oder Benutzer angefordert wurde, oder um die Übertragung einer Kommunikation über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Voreinstellungen erforderlich, die nicht vom Abonnenten oder Nutzer beantragt wurden.
Statistiken
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt.Die technische Speicherung bzw. der Zugriff dient ausschließlich anonymen statistischen Zwecken. Ohne Vorladung, freiwilliges Einverständnis Ihres Internet Service Providers oder zusätzliche Aufzeichnungen von Dritten sind allein zu diesem Zweck gespeicherte oder abgerufene Informationen in der Regel nicht zu Ihrer Identifizierung verwendbar.
Marketing
Die technische Speicherung bzw. der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder den Nutzer auf einer Website oder über mehrere Websites hinweg für ähnliche Marketingzwecke zu verfolgen.