Performance verbessern, Seite absichern. Eine Anleitung

Performance verbessern, Seite absichern. Eine Anleitung

Warum überhaupt Verbesserungen?

WordPress ist grundsätzlich ziemlich sicher und schnell.

Ein paar Worte zu Sicherheit:

Ja, WordPress ist sicher! Darüber gibt es nix zu diskutieren.
Denn der Kern von WordPress ist quelloffen, es gibt genügend Menschen, die daran arbeiten und ihn einsehen können.
Es gibt viele Motive, as Märchen vom unsicheren WordPress hochzuhalten. Auf die niederen gehe ich nicht ein.

Ein Knackpunkt der Sicherheit sind Plugins, das ist Code, der von irgendjemanden geschrieben wird, und der kein so starkes Auditing durchläuft, wie der WordPress-Core selbst.

Ein paar Worte zu Performance:

Auch beim Punkt Performance steht WordPress nicht schlecht da.

Im Core sind einige Caching-Mechanismen eingebaut, um Datenbank-Abfragen zu reduzieren bzw wiederzuverwenden.

Bilder werden zb mit Scrsets ausgeliefert, damit bekomen mobile Geräte angepasste Bilder.

Auch lazy loading von Bildern und iFrames ist eingebaut.

Out of the box also schon mal nicht schlecht!

 

Aber es geht natürlich immer mehr 🙂

Der Vorteil von WordPress ist die einfache und billige Erweiterbarkeit.

Es gibt genügend Plugins, die beim Thema Sicherheit und Performance sehr stark weiterhelfen!

 

Mehr Sicherheit – ein paar Tipps:

Nicht als Admin angemeldet sein

Das ist ein Grundsatz, der für alle PC-Systeme gilt, vor allem für Windows-Systeme.

Für die täglichen Arbeiten sollte ein weiteres Benutzerkonto angelegt werden. Dieses Konto braucht keine Administrationsrechte. Warum auch? Wie oft kommt es vor, dass Programme installiert werden?

Die beste Firewall sitzt hinter den Augen! Wer ohne Admin-Rechte arbeitet, bekommt eine Passwort-Eingabe, wenn am System etwas geändert werden sollte. Das ist immer ein Warnzeichen und man sollte sich überlegen, warum zb beim Einstecken eines USB-Sticks auf einmal die Admin-Passwort-Abfrage am System kommt. Das sollte nämlich nicht passieren!

Nie mit Admin-Rechten angemeldet sein!

Es gibt so viele Techniken, um einen WordPress-Blog zu übernehmen. Viele davon gehen in’s Leere, wenn man zb mit einem Redakteur-User angemeldet ist.

Also was tun?

Einfach einen zweiten Benutzer anlegen, der weniger Rechte hat, also zb ein Redakteur.

Großer Vorteil ist auch die Geschwindigkeit im Backend, weil die Benachrichtigungen für Admins wegfallen. Auch Menüpunkte, die nur Admins betreffen, fallen weg. Damit ist das Backend auch übersichtlicher!

 

Plugins aktuell halten

WordPress kann Plugins automatisch aktuell halten. Diese Option sollte man nutzen, denn in den meisten Fällen macht das keine Probleme und erhöht die Sicherheit.

Kein programmierter Code ist sicher, es stehen (noch) immer Menschen dahinter, die nicht unfehlbar sind. Daher wird es immer Updates geben, um diese Probleme zu beheben.

Updates beheben daher oft Bugs oder Einfalltore und sind so schnell wie möglich einzuspielen!

 

SSL-Zertifikate und DKIM verwenden – Der Welt zeigen, wer ich bin.

Der Punkt ist ein wenig sperrig.

SSL-Zertifikate sollten eher bekannt sein, der Punkt dürfte also für viele klar sein. Die meisten Hoster bieten kostenlose SSL-Zertifikate an. Diese sind unbedingt zu nutzen, damit man der Welt zeigen kann, dass die eigene Homepage auch wirklich „zu mir“ gehört.

Man kennt das auch bei Banken, die früher ein grünes Symbol in der Adressleiste hatten.

Der Sinn von SSL-Zertifikaten ist der verschlüsselte Transport der Daten vom Server zum Seitenbsucher bzw von der Seitenbesucherin zum Server.

DKIM hingegen sind ein schwierigeres Thema. Mit DKIM kann man bei der eigenen Domain Schlüssel hinterlegen. Diese Schlüssel werden beim Mail-Versand verwendet um der Welt zu zeigen, dass die Mail wirklich von mir (bzw von meiner Domain) kommt.

Dadurch wissen andere Mailserver, dass es sich nicht um SPAM handelt, dass die E-Mail wirklich von der Domain kommt.

Dadurch werden Absender als gültige absender erkannt:

 

Backend (wp-admin Verzeichnis) mit htaccess zusätzlich absichern

Das Backend ist zu finden unter wp-admin, zb https://wpaustria.org/wp-admin.

Wenn ich auf das Verzeichnis von außen gar nich (so einfach) zugreifen kann, weil mit htacces abgesichert, dann gehen die meisten automatischen Angriffe aus dem Internet ebenfalls in’s Leere!

Eine Absicherung mittels htaccess ist die einfachste und sicherste Möglichkeit, um WordPress abzusichern. Bringt aber auch Probleme mit, wenn AJAX oder die JSON-API verwendet werden soll.

 

Den Datei-Editor im Backend deaktivieren

WordPress bietet im Backend an, die Theme- und Plugin-Dateien zu ändern. Das sollte man unbedingt deaktivieren!

Erfahrene Nutzer gehen in die wp-config.php und setzen die Konstante DISALLOW_FILE_EDIT auf true!

 

Backups!

Es kann immer etwas passieren, daher sollte man darauf vorbereitet sein.

Die Datenbank und die WordPress-Dateien sollten daher regelmäßig gesichert werden.

Es gibt genug Backup-Plugins und auch Hoster bieten ein Backup-Service an.

Das sollte man nutzen.

Lokale Backups auf dem eigenen PC sollten regelmäßig gespeichert werden, damit man nicht von Online-Diensten abhängig ist.

Performance-Plugins

Bilder in moderne Formate (webP) bringen

Bilder zu optimieren bringt am Meisten. Bei Bildern lassen sich sehr schnell einige 100 KB an Größe einsparen, was die Performance immens erhöht.

Ein gutes Plugin ist WebP Converter for Media

Caching

Caching hilft, den Server zu entlasten und Seiten schneller auszuliefern.

Es wird eine URL/eine Seite zb als statisches HTML abgespeichert, und dadurch werden keine Datenbank-Abfragen beim Seitenaufruf getätigt.

Sehr gut und einfach ist Cache Enabler

Wer es umfangreicher mag, möge zu W3 Total Cache greifen.

Umfangreicher ist hier die Untertreibung des Jahres, denn W3 Total Cache bietet seeeeeeeeeeeeeehr viel Einstellungsmöglichkeiten.

Für so ziemlich jedes erdenkliche Thema gibt es ein Stellrädchen.

Wer tief in W3 Total Cache eintaucht, kann immense Verbesserungen herausholen.

Und das nicht nur für normale Webseiten, sondern auch für Webanwendungen, die auf WordPress basieren. Wo Caching auch für angemeldete Benutzer und Benutzerinnen greifen soll.

JavaScript- und CSS-Dateien zusammenfassen

Viele Caching-Plugins können das auch, wir verwenden dafür aber gern Autoptimize , um die Anzahl der ausgelieferten Dateien zu verringern.

Das ist nicht nur für Performance wichtig, das hat auch SEO Vorteile, weil Google dich dadurch besser bewertet

 

Plugins für verbesserte Sicherheit

Firewall-Plugins

Firewall als Begriff darf man hier nicht so eng sehen.

Es gibt einige Plugins, die Seitenaufrufe analysieren und nicht durchgehen lassen.

Achtung, in sehr seltenen Fällen können Benutzer-Eingaben durch Firewall-Plugins geblockt werden, manche LMS sind auch schlecht programmiert und werden von Firewall-Plugins geblockt.

In den meisten Fällen sind solche Plugins aber sehr sinnvoll. Als Einstieg empfiehlt sich BBQ Firewall:

Sicherheitsplugins

Sicherheitsplugins sind thematisch oft ein Minenfeld.

Manche verteufeln diese Plugins, weil sie angeblich mehr schaden als helfen.

Natürlich kann man die meisten Dinge es Plugins auch selbst lösen bzw WordPress-Umsetzungen so gestalten, dass vieles schon berücksichtigt wird.

Es ist aber halt auch immer eine Budgetfrage, daher sind Sicherheitsplugins ein guter Kompromiss.

Als schnelle Empfehlung lasse ich mal iThemes Security hier stehen:

 

Weiterführende Links