Webseite wird geladen!

Plugin Aktualisierung ohne Backup

Wer kennt das nicht?
Ein WordPress Plugin ist modifiziert worden und das Update sollte schnellst möglich eingespielt werden, weil dies auch noch ein Security-Update ist. Handelt es sich um ein Plugin, das vielleicht nur zusätzliche Funktionalitäten bereitstellt, kann dies sicherlich problemlos aktualisiert werden. Handelt es sich aber um größere Plugins wie Site-Editoren oder Woocommerce sollte man sich überlegen, ob dies sinnvoll ist schnell zu handeln. Ein Backup der Datenbank und der WordPress-Dateien sollte auf jeden Fall gemacht werden, denn nach der Aktualisierung wird man oft dazu aufgefordert, die Woocommerce-Datenbank oder Elementor-Datenbank Aktualisierung durchzuführen (Hinweis im Dashboard oder Plugin-Board). Dies bedeutet dann auch schon einen Eingriff in das WP Datenbanksystem bzw. der Datenbank-Tabellen.

Nach einer Fehlfunktion des Plugins oder anderen Problemen (Kompatibilitätsproblemen mit anderen Plugins oder der WordPress-Version) das alte Plugin einfach zurückzuspielen wird häufig zu Problemen führen. So bietet es sich an wichtige Plugins die z.B. auch auf die Berechnungen des Preises oder die Funktionalitäten in einem Online-Shop auswirken, auf einem Testserver auszuprobieren. Das kostet zwar mehr Zeit, aber wenn da etwas schief läuft, kann man dann auf das Update der Live-Seiten verzichten und wartet bis zur nächsten Ausgabe der Plugin-Version.

WordPress - Creative Publisher

Kontaktformulare

Kontaktformulare sollten nur verwendet werden, wenn dies auch unbedingt notwendig ist. Es sollten also gezielte Informationen über ein Formular abgefragt werden, die einem später die Kontaktaufnahme erleichtern. Nur Informationen, die man über auch sehr leicht über eine E-Mail senden kann, wie z.B. E-Mailadresse, Text usw. erfordern kein Kontaktformular. Denken Sie daran, dass man ein Plugin installieren muss und zudem die Einstellungen für den Server bzw. auch Rücksende-Mails mit dem Inhalt des Kontaktformulars dem Besucher zu Verfügung stellt. Zusätzlich erheben Sie persönliche Daten über die Webseite, die SSL-verschlüsselt sein müssen und müssen Sorge für die erhobenen Daten tragen. Also nur ein Kontaktformular, wenn Sie spezielle Daten vorab schon benötigen um den Arbeitsprozess zu erleichtern.

WordPress - Creative Publisher

WordPress Site Editoren

WordPress Page Editoren, können bei einer komplexen Webseite mit unterschiedlichsten Layouts und Landing Pages durchaus Sinn haben. Handelt es sich um eine einfache Webseite, sollte man mit den einfachen Bordmitteln von WordPress auskommen oder wenn man mit dem bordeigenen Gutenberg-Editor nicht zurecht kommt, kann der Visual Editor installiert werden. Damit entfallen die Updates der Plugins und evtl. Kompatibilitätsproblemen mit dem Theme.
Zudem, wenn das Site Editor Plugin nicht mehr weiterentwickelt wird, darf man die ganze Seite mit einem anderen Editor umbauen. Ein richtiges Tool zum Konvertieren gibt es leider noch nicht.

WordPress - Creative Publisher

Seiten und Beitrags-Revisionen begrenzen!

Viele Funktionen, die Performance oder Speicherplatz kosten können somit vereinfacht werden, um die Seite schlanker zu machen. Wenn alle Revisionen beibehalten werden, bläht sich die Datenbank unnötig auf und die Seite wird langsamer.

Nur eine bestimmte Anzahl an Revisionen bzw. Wiederherstellungen der Beiträge und Seiten zu lassen:

define( ‘WP_POST_REVISIONS’, 10 );

oder gar komplett Abschalten

define( ‘WP_POST_REVISIONS’, false );

 

WordPress - Creative Publisher

Disable Comments

Erlauben oder verbieten Sie sofort Kommentare von jedem Beitragstyp in WordPress (Seiten, Beiträge oder Medien), um lästige Spammer zu stoppen und die vollständige Kommentar-Kontrolle über Ihre gesamte Website zu erlangen. WP-CLI Support & Control Kommentare über XML-RPC und REST-API auch!

Kontrolle über die WordPress-Site
Überschreiben Sie alle kommentarbezogenen Einstellungen auf Ihrer Website und verwalten Sie Ihre Kommentare so, wie Sie es möchten.

Kommentare zu Beiträgen, Seiten und Medien deaktivieren  
Wählen Sie aus, welche Beiträge, Seiten oder Medien Kommentare von Website-Besuchern zulassen sollen, und konfigurieren Sie Kommentare entsprechend deaktivieren

Bestimmte Kommentartypen löschen
Löschen Sie dauerhaft bestimmte Kommentartypen von Ihrer WordPress-Website, einschließlich WooCommerce-Produktbewertungen sowie generischer Kommentare.

Ein Plugin, dass es von mehreren Anbietern gibt und dass unbedingt notwendig ist, wenn Sie keine Kommentare auf Ihrer Webseite benötigen.

 

WordPress - Creative Publisher

Anwachsen der Datenbank

Überprüfen Sie in regelmäßigen Abständen den Website Zustand der Datenbank. Es kommt schon einmal vor, dass bestimmte Plugins, entweder aus Fehlergründen oder für Monitoring-Daten die Datenbank vollschreiben können. Dies kann sogar dazu führen, dass die Webseite langsamer wird oder keine Backup-Sicherung mehr möglich ist, da der Server beim Backup voll ausgelastet ist.
Besonders gefährdet sind Firewall-Programme, die Protokolle abspeichern sog. Log-Dateien und andere Aufzeichnungsdaten, die für die Funktion der Webseite keine Bedeutung haben.

Ist dies der Fall, muss mit einem Database-Cleaner die Datenbank bereinigt werden. Das ist ein sehr aufwendiger Prozess und nur für Profis zu empfehlen, die wissen in welchen Tabellenzellen der Datenbank auch Daten gelöscht oder genullt werden.

WordPress - Creative Publisher

Vulnerability

Warum einen Firewall- und Malwarescanner für WordPress benutzen?

In der Computersicherheit ist eine Vulnerability eine Schwachstelle, die von einem Angreifer, wie z. B. einem Hacker, ausgenutzt werden kann, um Funktionen innerhalb eines Computersystems zu erhalten (d. h. nicht autorisierte Aktionen auszuführen). Um eine Schwachstelle auszunutzen, muss ein Angreifer über mindestens ein anwendbares Tool oder eine Technik verfügen, die eine Verbindung zu einer Systemschwäche herstellen kann. Schwachstellen werden in diesem Rahmen auch als Angriffsstellen bezeichnet.

Unter Schwachstellenmanagement versteht man das Ermitteln aller Assets, Priorisieren von Assets, Bewerten oder Durchführen eines vollständigen Schwachstellenscans, Berichte über Ergebnisse, Beheben von Schwachstellen, Überprüfen der Behebung – Wiederholen. Diese Praxis bezieht sich im Allgemeinen auf Software-Schwachstellen in Computersystemen. Agiles Schwachstellenmanagement bezieht sich auf das Verhindern von Angriffen, indem alle Schwachstellen so schnell wie möglich identifiziert werden.

Ein Sicherheitsrisiko wird oft fälschlicherweise als Schwachstelle eingestuft. Es gibt Schwachstellen ohne Risiko: zum Beispiel, wenn die betroffenen Daten wertlos sind.

Das Schließen einer Sicherheitslücke bedeutet somit etwas mehr als eine Schwachstelle. Hier wurde definitiv erkannt, dass mit gewissen Prozessen eine für den Besitzer der Webseite nicht gewünscht autorisierte Aktion durchgeführt werden kann, z.B. Linkeinbindung von Werbung in die Webseite bis hin zum Datenklau von Benutzerdaten der Anwender.

Beispiel einer XSS Vulnerability

Cross-Site Scripting (XSS)-Angriffe sind eine Art der Injektion, bei der bösartige Skripts in ansonsten harmlose und vertrauenswürdige Websites eingeschleust werden. XSS-Angriffe treten auf, wenn ein Angreifer eine Webanwendung verwendet, um bösartigen Code, im Allgemeinen in Form eines browserseitigen Skripts, an einen anderen Endbenutzer zu senden. Schwachstellen, die den Erfolg dieser Angriffe ermöglichen, sind weit verbreitet und treten überall dort auf, wo eine Webanwendung Eingaben von Benutzern innerhalb der von ihr generierten Ausgabe verwendet, ohne sie zu validieren oder zu codieren.

Ein Angreifer kann XSS verwenden, um ein bösartiges Skript an einen ahnungslosen Benutzer zu senden. Der Browser des Endbenutzers kann nicht wissen, dass das Skript nicht vertrauenswürdig ist, und führt das Skript aus. Da es davon ausgeht, dass das Skript von einer vertrauenswürdigen Quelle stammt, kann das schädliche Skript auf alle Cookies, Sitzungstoken oder andere vertrauliche Informationen zugreifen, die vom Browser gespeichert und mit dieser Website verwendet werden. Diese Skripte können sogar den Inhalt der HTML-Seite umschreiben.

WordPress - Creative Publisher

Der Fluch der Plugins

Teilweise kommt man mit den normalen Bordmitteln von WordPress nicht aus und muss Plugins installieren. Nicht selten wächst der Plugin-Bestand bei umfangreichen Funktionalitäten von Shops oder Webseiten auf über 20 unterschiedliche Plugins an. Leidig deswegen: Jedes Plugin wird weiterentwickelt und Schwachstellen im Quellcode werden beseitigt oder auch neue Funktionalitäten bereitgestellt. Manchmal fordern sogar wöchentliche Updates ziemlich schnelles Eingreifen und Aktualisieren, damit die Sicherheit einer WP-Seite gegeben ist. Da man viele Kunden-Webseiten auch auf einem Testserver installiert, um Funktionalitäten und Kompatibilitäten zu testen, ist es hier gerade schwierig Übersicht zu behalten, ob nicht eine Subdomain auf dem neuesten und sichersten Stand ist. Manchmal wünscht man sich auch einen alten Stand um vielleicht bei Aktualisierungsschwierigkeiten einen Stand zurückspringen zu können. Deswegen hier nochmal der Rat eine genaue Auswahl der Plugins zu machen und nicht benutze Plugins wenigstens deaktivieren. Vielleicht wäre bei bestimmten WordPress-Projekten eine automatische Aktualisierung einzustellen sinnvoll.
Man sieht schon eigentlich aktualisiert man die Live- und Testserverseite.
(doppelter Aufwand, dafür doppelte Sicherheit)
Und wie schon erwähnt – Datensicherung – Datensicherung – Datensicherung! In regelmäßigen Abständen, damit im Fehlerfall die ganze Präsenz inkl. Datenbank wieder hergestellt werden kann.

Fazit: Nur so viele Plugin wie nötig installieren, regelmäßige Datensicherung, Webseite auf Schadcode (Malware) scannen und eine WordPress Firewall (Firewall-Plugin), zu der vom Provider zusätzlichen eingestellten Schutzfunktionen, installieren.

WordPress - Creative Publisher

Vorsicht Woocommerce Update!

Für alle Shop-Betreiber ist dies wichtig! Ein Woocommerce Update steht an und man kann den Update-Button sehr schnell unbedacht drücken und danach bricht das Chaos aus. Es reicht hier nicht sich auf alle zu verlassen, zumal viele WordPress und Woocommerce-Installationen in Hinblick auf die unterschiedlichen verwendeten Plugins nicht ohne weiteres getestet werden können. Somit sollte man die großen Neuerungen auf jeden Fall auf einem Testserver ausprobieren, bevor man sie auf die Original-Seite loslässt.

Das wichtigste dabei ist nach wie vor ein ausreichendes Backup zu erstellen, dass mir bei Schwierigkeiten die erneute Installation ermöglicht. Ebenso sollten bei Bedarf die Produkte bereits exportiert worden sein, damit man auch bei Bedarf einen neuen Shop erstellen kann und wenigstens die Produktpalette nicht verliert.

Falls Sie nur der Shopbetreiber sind, suchen Sie sich einen erfahrenen WordPress und Woocommerce Admin, der sie unterstützt. Der kennt sicherlich noch ein paar Kniffe, die im Problemfall weiterhelfen können.

WordPress - Creative Publisher