Kategorien
Optimierung Sicherheit

Word­Press-Instal­lation aufräumen

Bravo! Du hast es geschafft: Alle Schritte beim Aufsetzen, Individualisieren und Befüllen Deiner Website sind abgehakt. Jetzt möchtest Du Dich zurücklehnen und die Früchte Deiner Arbeit genießen. Das heißt womöglich: Eigentlich willst Du Dich ab sofort gar nicht mehr um Deine Internetpräsenz kümmern. Die sollte doch jetzt bitte ein Selbstläufer sein. Mögen die Besucher kommen und Dein Werk bewundern!

Leider muss ich Dir sagen, dass diese Vorstellung reines Wunschdenken ist. Jede Internetpräsenz benötigt Pflege. Was Du nun alles tun solltest, erkläre ich in diesem Beitrag. Und auch, was Du tun kannst, um künftig möglichst wenig Arbeit mit der Website zu haben.

Prinzipiell gibt es vier Aufgabenbereiche, die sinnvoll, wenn nicht unabdingbar sind:

  1. Aufräumen aller Überbleibsel aus der Zeit der Entwicklung
  2. Dokumentieren aller Zugangsdaten
  3. Automatismen festlegen, die Dir Arbeit ersparen
  4. Regelmäßige Prüfungen

Aufräumen aller Überbleibsel

Sehr wahrscheinlich hast Du beim Herumprobieren und Vergleichen eine ganze Menge Elemente installiert, ausprobiert und dann doch wieder verworfen, die nun in den Gedärmen Deiner Word­Press-In­stal­la­tion herumliegen. Das könnten zum Beispiel sein:

  • Bilder (oder sonstige Medien), die Du testweise hochgeladen und letztlich doch durch andere ersetzt hast,
  • Textinhalte auf Seiten oder Beiträgen, die irgendwann nicht mehr gebraucht wurden und dann entweder im Papierkorb gelandet sind oder noch immer in den Listen aller Word­Press-Sei­ten und Word­Press-Bei­trä­gen liegen; selbst dann, wenn gar nicht mehr auf sie verlinkt wird,
  • WordPress-Themes, mit denen Du experimentiert hast, die dann doch nicht für die Gestaltung herangezogen wurden,
  • WordPress-Plugins, die Du irgendwann installiert hast, die aber am Ende doch nicht gebraucht werden,
  • eventuell Inhalte, die Du mit einem FTP-Programm auf Deinen Webspace hochgeladen hast, die jedoch letztlich nicht zum Einsatz kommen; zum Beispiel spezielle Schriftarten.

All diese Elemente, die Du nicht mehr brauchst, solltest Du jetzt aus drei Gründen entfernen. Zum einen belegen sie Platz auf Deinem Webspace, den Du teuer bezahlst. (Und selbst wenn Du ausreichend Platz hast, werden solche nutzlosen Elemente in jedem Backup gesichert, das Du machst. Das ist nicht nur Platzverschwendung sondern erschwert Dir auch die Arbeit, wenn Du einmal ein Backup nach einem Katastrophefall wiederherstellen musst. Bewahre keinen Müll auf!)

Zum anderen gibt es bestimmte Einfallspforten, die Hackern das Eindringen in Deine Installation erleichtern. Solche Pforten finden sich oft in Themes und Plugins, die von den Anbietern nicht gewartet und aktualisiert werden. Deshalb solltest Du hier unbedingt ausmisten:

  1. Lösche alle Themes, die Du nicht mehr brauchst.
  2. Deinstalliere alle Plugins, die für den Betrieb Deiner Website nicht notwendig sind.

Und zum dritten solltest Du an eine mögliche Zukunft denken. Vielleicht wird irgendwann einmal ein Profi Wartung und/oder Gestaltung der Seiten übernehmen? Oder bei speziellen Problemen helfen? Wenn Du dann eine aufgeräumte Umgebung vorweisen kannst anstelle eines Datenchaos, wirst Du bares Geld sparen. – Also:

  1. Lösche alle Texte und Bilder, die nicht verwendet werden, leere die Papierkörbe und überprüfe alle Entwürfe, die (noch) nicht veröffentlicht wurden.
  2. Sieh im Administrator-Menü unter Benutzer nach, ob es dort vielleicht noch Testeinträge gibt, die wahrscheinlich auch noch mit schwachen Passwörtern versehen sind. Beachte dazu auch meine Hinweise unter Im Team arbeiten.
  3. Sichte noch einmal alle übrig gebliebenen Plugins. Gibt es zu diesen vielleicht noch alte Vorlagen, die nicht mehr benötigt werden. (Ich denke dabei beispielsweise an veraltete Entwürfe für Kontaktformulare oder Newsletter, die nicht zum Einsatz kommen.)
  4. Vielleicht hast Du bei der Gestaltung Deiner Website CSS-Code über den sogenannten Customizer Deines Themes integriert? Jetzt wäre der richtige Moment, solchen Gestaltungscode in eine CSS-Datei zu überführen. Warum das sinnvoll sein kann, habe ich in einem separaten Beitrag erklärt.

Mach Dich selbst zur Marie Kondō Deiner Website!

Wichtig: Erstelle nicht nur nach, sondern vor allen Dingen vor diesen Aufräumarbeiten ein Backup, damit Du im Notfall wieder zurück zum Urzustand kommst, falls Du in Deinem Eifer zuviel gelöscht hast.

Dokumentieren aller Zugangsdaten

Natürlich ist Dein Gedächtnis über alle Zweifel erhaben und Du kannst Dir den ganzen organisatorischen Kram merken. Ganz sicher trifft das zu, solange Du regelmäßig an Deiner Website arbeitest. Aber wird das auch noch so sein, wenn Du einmal ein halbes Jahr nicht mehr dazu gekommen bist, Dich um die Internetpräsenz zu kümmern? Oder wenn Du nach Jahren auf einem neuen PC den FTP-Zu­gang zu Deinem Webspace einrichten musst, weil der alte Rechner den Geist aufgegeben hat? – Und was passiert, wenn Du im Urlaub bist, eine Katastrophe eintritt und sich irgendjemand dringend um die Website kümmern muss?

Tu Dir selbst (und Deinen Mitstreitern oder Nachfolgern) den Gefallen und schreibe auf, was man alles braucht, um die Internetpräsenz zu verwalten:

  • Kundennummer, Deine E-Mailadresse und Dein Passwort für den Login bei Deinem Webhoster
  • Servername, Portnummer, Benutzerkennung und Passwort für den Zugriff auf den Webspace per FTP
  • Name der Datenbank, Benutzername, Dein Da­­ten­­bank-Pass­­wort und die Da­­ten­­bank-Ser­­ver­­adres­­se, die Du beim Einrichten der Word­Press-Da­ten­bank verwendet hast
  • Benutzername, E-Mail­adres­se und Passwort des Ersten Administrators Deiner Word­Press-In­stal­la­tion; siehe dazu auch meine Hinweise unter Im Team arbeiten
  • Gegebenenfalls die Goo­gle-Zu­gangs­da­ten, mit denen Du Zugriff auf die Goo­gle-Kon­so­le und Goo­gle-Re­zen­sio­nen zu Deiner Website hast; also Gmail-Adres­se und Passwort
  • Gegebenfalls die Zugangsdaten zu einem Cloudspeicher, auf den Du Back­up-Da­tei­en Deiner Website ablegen lässt
  • Gibt es sonst noch Dienste, bei denen Du die Website angemeldet hast und für die man Zugangsdaten braucht, um Einstellungen zu verändern etc.? (Ich denke dabei an Af­fi­lia­te-Mar­ke­ting-Netz­wer­ke; an Bloglisten; an Dachorganisationen für Branchen oder Vereine; an So­cial-Me­dia-Platt­for­men, die an Deine Website gekoppelt sind, wie Instagram, Facebook, Twitter; an technische Dienste wie Newsletteranbieter, Kalenderplugins, Videodienste …)

SCHREIB – DAS – AUF !

(Und halte all diese Notizen stets aktuell, wenn sich mal irgendetwas ändert.)

Automatismen, die Arbeit sparen

In meinem Beitrag über Aktualisieren, aktualisieren, aktualisieren! weise ich bereits darauf hin: Die Sicherheit Deiner Word­Press-In­stal­la­tion hängt maßgeblich davon ab, alle Komponenten wie das Kernsystem, Themes und Plugins stets aktuell zu halten. Wenn Du diesen Text gelesen hast, weißt Du, dass man all diese Soft­­ware-Ele­­men­­te automatisiert aktualisieren lassen kann. Wenn man diese automatische Lösung wählt, werden zeitnah nach allen Updates die betroffenen Komponenten durch die jeweils neusten Versionen ersetzt.

Bei der automatischen Aktualisierung könnten allerdings Programmierfehler in diesen Updates im schlimmsten Fall zum Absturz Deiner Website führen. Und zwar ohne dass Du es bemerkst, weil Du in diesem Moment wahrscheinlich auf La Gomera Gänseblümchen pflückst nicht gerade auf die Erreichbarkeit Deiner Website achtest. Die Wahrscheinlichkeit, dass so etwas passiert, ist zwar gering, wenn Du nur Komponenten zuverlässiger Anbieter einsetzt. Aber wenn Du exotische Themes oder Plugins installiert hast, ist ein Totalausfall keinesfalls ausgeschlossen.

Überlege deshalb, ob und welche Automatismen Du aktivieren willst. Ich halte es in der Regel so, dass ich das Word­Press-Kern­sys­tem und bewährte Themes und Plugins stets automatisch aktualisieren lasse. Neue und unbekannte Plugins oder Themes aktualisiere ich hingegen manuell. (Bis ich irgendwann zu der Überzeugung gelange, dass sie ebenfalls zuverlässig sind. Diese Einschätzung hängt maßgeblich davon ab, ob und wie oft solche Elemente im Beobachtungszeitraum aktualisiert werden.)

Wenn Du automatische Updates aktivierst, ist es umso wichtiger, regelmäßig nach dem Rechten zu sehen. (Siehe nächster Abschnitt: Regelmäßige Prüfungen)

Ein Automatismus der nicht nur unbedenklich sondern sogar unerlässlich ist, sind automatische Back­up-Läu­fe. Es ist sehr wichtig, die eigene Website in regelmäßigen Abständen zu sichern. Wie und wie oft man das macht, beschreibe ich in einem separaten Beitrg.

Regelmäßige Prüfungen

Wie Du sicher längst erkannt hast, ist es nicht ratsam, eine WordPress-Installation über Wochen, Monate oder gar Jahre unbewacht sich selbst zu überlassen. Denn dann können sich Probleme anhäufen und letztlich zu einem Totalausfall führen, nach dem die Website überhaupt nicht mehr erreichbar ist. Oder der eine oder andere Hacker findet seinen Weg in Deine Installation und macht aus Deiner Website einen Linkhub (Sammlung von externen Links) auf gesetzeswidrige Inhalte oder einen Bot, der für konzentrierte Angriffe auf Hackerziele missbraucht wird.

Hinzu kommt, dass das Word­Press-Kern­sys­tem etwa einmal im Jahr ungebeten ein neues Word­Press-eige­nes Theme ausliefert. Solche WP-The­mes werden immer automatisch in allen Installationen integriert, unabhängig davon, ob man sie nutzen will oder nicht. Etwa im Sinne von: „Kuck mal, was wir hier haben!“ – Unerwünschte WP-The­mes können und sollten entfernt werden.

Deshalb ist es eine außerordentlich gute Idee, sich regelmäßig als Administrator anzumelden und nachzusehen, ob alle Updates aktuell sind und die Seite noch funktioniert. Man könnte auch Firewallsysteme als Plugins installieren, die Alarm per E-Mail schlagen, sobald Bedenkliches passiert. Über die Vor- und Nachteile einer solchen Lösung habe ich einen separaten Beitrag verfasst.

Ich halte es so, mich einmal pro Woche bei allen von mir betreuten Internetpräsenzen anzumelden und kurz nach dem Rechten zu sehen: Ist alles aktuell? Gibt es Fehler beim Seitenaufruf? Gibt es da etwa unbekannte Seiten oder Beiträge, die früher nicht vorhanden waren? Wie steht es um Besucherkommentare, wenn solche erlaubt sind? – Zwei Minuten pro Website. Dann weiß ich, dass alles gut ist. Oder eben auch mal nicht.

PHP-Updates

Man sollte bei Prüfungen im Hinterkopf behalten, dass WordPress mit der Programmiersprache PHP erstellt ist und auf den Funktionen dieser Sprache aufsetzt. Wie jede Software wird auch PHP weiterentwickelt. Etwa im Drei-Jah­res-Zyk­lus gibt es neue Versionen mit substanziellen Änderungen. Die meisten Webhoster bieten ihren Kunden drei oder vier der aktuellsten Versionen zur Auswahl für ihre Webseiten an.

Ab und zu verschicken Webhoster Nachrichten an ihre Kunden, wenn endgültig veraltete PHP-Versionen auslaufen und nicht mehr unterstützt werden. Dann muss man sich auf die Kundenseite seines Webhosters begeben und eine der aktuelleren PHP-Versionen auswählen. In der Regel ist ein solcher Update unkritisch. Manchmal allerdings ergeben sich Probleme. Zuletzt war dies der Fall, nachdem die PHP-Version 8.0 zum Jahreswechsel 2020/21 in Umlauf kam. Darin waren erhebliche Neuerungen enthalten, die nicht wenige Themes und Plugins älteren Datums auf fatale Fehler laufen ließen. Betroffene Websites waren nach dem Update nicht mehr erreichbar.

Deshalb ist es enorm wichtig, die eigene Website zu überprüfen, sobald man von einer alten PHP-Version zu einer neueren wechselt. Wenn danach offensichtliche Fehler auftreten sollte man:

  • Zunächst beim Webhoster wieder auf die vorherige PHP-Version zurückwechseln, damit die Website weiterhin erreichbar ist, und
  • Kontakt zu einem Spezialisten aufnehmen, der einem beim weiteren Vorgehen behilflich sein kann.

Schritt für Schritt: Der oben stehende Text ist ein Ratschlag, der an 24.Stelle der logischen Reihenfolge bei der Einrichtung einer Word­Press-In­stal­la­tion steht. Die komplette Reihenfolge zweckmäßiger Aktionen findest Du in meinem Inhaltsverzeichnis. Wenn Du wissen möchtest, welche Schritte direkt vor oder nach diesem Ratschlag sinnvoll sind, findest Du hier Vorgänger- und Nachfolgebeitrag:

davor
danach

Von Ulf Brossmann

Betreiber von und Autor der Beiträge auf WordPress fassbar. Eine Kurzbiografie von Ulf findest Du am unteren Ende der Seite über diese Website. Hier folgen nun alle Artikel, die Ulf bisher verfasst hat, in umgekehrt chronologischer Reihenfolge, also der neuste zuoberst:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert