WordPress ist eines der meistgenutzten Content Management Systemen (CMS) weltweit. Seit seiner ersten Version die im Jahr 2004 erschienen ist hat sich der Funktionsumfang deutlich erweitert.
Die einfache Bedienung dieses CMS ermöglicht auch technisch nicht versierten Personen, mit wenig Aufwand einen professionellen Webauftritt zu betreiben. Jedoch gibt es einige Gefahren und Fehlerquellen die es zu beachten und zu vermeiden gilt. In diesem Artikel stelle ich dir die 10 größten (und auch häufigsten) WordPress Fehler vor und verrate auch, wie du sie vermeiden kannst.
Schwache Passwörter für Benutzer mit Admin-Rolle
Schwache Passwörter sind ein gefundenes Fressen für Cyber-Angriffe durch Hacker. Das trifft nicht nur auf WordPress zu, kommt aber dennoch sehr häufig vor. Ein starkes Passwort ist mindestens 8 Zeichen lang und besteht aus keinen zusammenhängenden Wörtern oder Phrasen. Zusätzlich ist es ein Mix aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen.
Gerade bei Admin-Benutzern sollte darauf geachtet werden, dass sehr schwer zu knackende Passwörter gesetzt werden. “1234567” oder “Admin” sind definitiv unpassend und sollten schleunigst geändert werden.
Um sich komplexe Passwörter zu merken gibt es mittlerweile einige sehr gute Passwort-Safe Apps die sensitive Passwörter verschlüsselt speichern können.
Es ist kein Firewall Plug-In im Einsatz
Der zweite häufige Fehler, den ich bei WordPress Installationen immer wieder sehe ist unzureichender Schutz vor Cyberangriffen. Oft werden die gehackten Webseiten für das Versenden von SPAM-Emails verwendet, es werden Daten ausspioniert und falsche Informationen verbreitet. All das lässt sich leicht verhindern, indem man eine Firewall auf seiner WordPress Instanz installiert.
Mein Favorit unter diesen Plug-Ins ist WordFence, das bereits in der kostenlosen Version vor unerlaubten Logins schützt. Zusätzlich bietet es noch 2-Faktor Authentifizierung und scannt den Code der Webseite regelmäßig auf Malware und Schadcode.
Die kostenpflichtige Version bietet noch besseren Schutz vor sogenannten Brute-force Attacken und blockiert Zugriffe von IP-Adressen die aufgrund bereits bekannter Cyberangriffe auf der Blacklist stehen. Mit einfach zu erstellenden Regeln lassen sich zusätzliche Sperren konfigurieren. Beispielsweise kann man in der Pro-Version das Login in die Verwaltungsoberfläche aus bestimmten Ländern unterdrücken.
Kontaktformulare ohne SPAM-Schutz
Wer eine Webseite betreibt möchte seinen Interessenten oft auch die Möglichkeit einer einfachen Kontaktaufnahme bieten. Formulare die ein E-Mail absenden können, sind hier häufig im Einsatz. Jedoch bergen sie auch die Gefahr, dass eine unerwünschte E-Mail Flut oder SPAM ins angegebene Ziel-Postfach kommt. Wichtige Nachrichten können dann leicht in der Masse untergehen, abgesehen von der zusätzlichen Arbeit die man durch das ausfiltern der relevanten E-Mails im Postfach dann hat.
Google bietet hier mit Google Captcha eine kostenlose Möglichkeit, sich vor unerwünschten Nachrichten zu schützen. Die neueste Version reCaptcha v3 bietet sogar eine automatische Erkennung bei der man nicht wie in den vorhergehenden Versionen Bilder anklicken oder einen Buchstabencode eingeben musste.
Fast alle WordPress Kontaktformular-Plug-Ins bieten hier bereits eine eingebaute Unterstützung von Google Captcha, bei einigen ist hier jedoch die kostenpflichtige Premium-Version dafür erforderlich.
Nicht benötigte Plug-Ins sind installiert
Ein sehr häufiger Zustand bei WordPress Webseiten sind deaktivierte Plug-Ins. Wenn man auf der Suche nach der passenden Erweiterung für WordPress ist, kann es schon vorkommen, dass man einige Plug-Ins ausprobieren muss bis die ideale Erweiterung gefunden ist. Oft werden dann die zuvor installierten Plug-Ins nicht wieder deinstalliert und der Code bleibt im Installations-Verzeichnis erhalten.
Um bei Angriffen so wenig Angriffsfläche wie möglich zu bieten, sollten nicht verwendete Plug-Ins nicht nur deaktiviert, sondern komplett vom Filesystem deinstalliert werden.
Nicht benötigte Themes sind installiert
Ähnlich wie bei den Plug-Ins sollten auch nicht benützte Themes / Templates vom System entfernt werden da auch sie eine potentielle Angriffsfläche für Hacker bieten können. In einer Standard-Installation von WordPress sind schon einige Themes mit dabei, auch diese sollten wenn man sie nicht verwendet vom System gelöscht werden. Sollte es dennoch einmal notwendig sein, eines dieser Standard Themes zu verwenden, können diese relativ leicht wieder zur Webseite hinzugefügt werden.
Plug-Ins werden nicht regelmäßig aktualisiert
Genauso wie nicht benützte Erweiterungen sind auch veraltete Plug-Ins ein Sicherheitsrisiko. Aktualisierungen gibt es nicht nur wenn neue Funktionen hinzugefügt werden, meist werden Fehler ausgebessert und Sicherheitslücken geschlossen. Eine gute Herangehensweise wäre hier eine regelmäßige Aktualisierung auf die jeweils neuesten Versionen der Erweiterungen, mindestens einmal pro Monat wäre empfehlenswert.
Es ist kein Backup vorhanden
Schief gehen kann immer etwas. Deshalb ist es gut, ein Sicherheitsnetz mit doppeltem Boden zu haben. Eine gute Backup-Lösung bietet eine einfache Möglichkeit nicht nur die Daten am Webserver wie Bilder und Code zu sichern, sondern auch die für WordPress erforderliche Datenbank.
Nichts ist schlimmer, als Monate- oder Jahrelang zusammengetragenen Inhalt erneut erfassen zu müssen, wenn aus unerfindlichen Gründen wirklich etwas passiert.
Ein gutes Backup-Plug-In sichert die Daten nicht nur automatisiert und regelmäßig, sondern bietet auch eine einfache Möglichkeit im Bedarfsfall die gesicherten Daten wiederherzustellen.
Je nachdem wie umfangreich eine Webseite ist und wie häufig Daten darin verändert werden, empfehle ich meinen Kunden zumindest eine wöchentliche Sicherung. Bei sehr intensiv genutzten Webseiten kann auch eine tägliche Sicherung Sinn machen. Zusätzlich sollte man sich ausreichend alte Backup-Daten aufbehalten, hier wäre meine Empfehlung ein Zeitraum von 2-6 Wochen abhängig vom Backup-Intervall und der erforderlichen Datenmenge.
WordPress Permalinks im Default belassen
Ein sehr leicht zu vermeidender WordPress Fehler betrifft die vom System erzeugten Links für neue Blogposts. WordPress bietet hier mehrere Möglichkeiten, nach einer neuen Installation wird die ID des jeweiligen Beitrags als Link verwendet. Grundsätzlich funktioniert das gut, will man jedoch seine Inhalte in Suchmaschinen besser positionieren, dann sollte man die Standardeinstellung verändern.
Empfehlenswert ist es, zumindest den Titel des Blogposts in die URL mit aufzunehmen. Besser noch, wenn auch die Kategorie der Posts mit in der URL steht. So können Suchmaschinen den Inhalt besser zu wichtigen Keywords zuordnen.
Zu viele Plug-Ins installiert
Bei der Wahl der Plug-Ins sollte man darauf achten, keine Überschneidungen in der Funktionalität zu haben. Je mehr Plug-Ins in einer WordPress Instanz installiert sind, umso langsamer wird sie. Ein guter Richtwert sind hier maximal 10 – 15 Plug-Ins, wobei hier aktive wie auch inaktive hinein zählen.
Hat man mehr als 10 Plug-Ins installiert, sollte man sich überlegen, ob man wirklich jede einzelne Erweiterung benötigt oder ob es Alternativen gibt. Wie schon vorhin beschrieben, sollten inaktive Plug-Ins gelöscht werden.
Theme nicht für Mobilgeräte optimiert
In der heutigen Zeit sind wir fast immer online, es gibt nur mehr wenige Situationen in denen man offline ist. Kein Wunder also, dass mittlerweile mehr als 50% der Benutzer das Mobiltelefon oder Tablet zum Internetsurfen verwenden. Eine Webseite die nicht für Mobilgeräte optimiert ist, ist definitiv weniger erfolgreich als eine Webseite mit responsive Design.
Demnach sollte auch dein WordPress Theme für Mobilgeräte optimiert sein um möglichst viele Benutzer zu erreichen.