WordPress ist mit einem Marktanteil von 60% eines der beliebtesten Open Source Produkte der Welt. Auch wir setzen das Content-Management-System intern als auch bei anderen Projekten, wie z.B. als erstes unterstützest CMS von webZunder  ein. Selbst Global Player wie Facebook, Coca Cola oder Sony setzen das CMS für ihre Kampagnen ein. Heute möchten wir zehn Fehler aufzeigen, die Sie beim Einsatz von WordPress vermeiden sollten.

1. WordPress Updates ignorieren

Dieser Punkt steht zu recht auf unserer Liste auf Platz 1. Wie bei jedem Software Produkt sind Softwareupdates wichtig. Durch neue Updates werden nicht nur neue Funktionen eingeführt oder Fehler behoben. In den meisten Fällen werden auch Sicherheitslücken geschlossen. Daher sollte großer Wert auf Aktualität gelegt werden.

2. Sicherheit vernachlässigen

Schon bei der Installation von WordPress gibt es sicherheitsrelevante Punkte, die Sie beachten sollten. Wenn Sie WordPress auf die klassische Methode installieren, also die wp-config.php Datei manuell anlegen, achten Sie darauf, dass die Sicherheitsschlüssel ausgefüllt wurden. Am Besten nehmen Sie dazu den Key-Generator von WordPress zu Hilfe. Wenn Sie die moderne Methode, also den Installationsassistenten nutzen, brauchen Sie sich um die Sicherheitsschlüssel keine Sorgen machen. Diese werden automatisch unter Nutzung des Generators befüllt.

Achten Sie auch darauf, dass Sie nicht den vordefinierten Tabellenpräfix nutzen. Dieser wp_-Präfix mindert den Aufwand, den ein Angreifer hat um ihre Datenbank und ihre Seite anzugreifen. Ebenfalls achten Sie bitte darauf, dass Ihr Administrationszugang nicht admin oder administrator lautet. Am besten Sie legen sich nach erfolgreicher Installation einen zweiten Zugang als Redakteur an. Alles was Administrationstätigkeiten sind, führen Sie mit dem Administrations-Accout aus. Alle redaktionellen Arbeiten mit dem neuen Account. So haben es Angreifer schwerer, einen Zugang mit Administrationsrechten anzugreifen. Das Thema „Passwort“ sparen wir uns hier an dieser Stelle. WordPress hat was dieses Thema betrifft, gut nachgebessert. Neue Passwörter, die über das Backend eingetragen werden, werden auf ihre Stärke geprüft. Somit sehen Sie auf einen Blick ob Ihr Passwort gut oder unbenutzbar ist.

3. Backups vergessen

Sollte mal irgendwas schiefgehen, sind Backups die Retter in der Not. Es gibt einige Plugins, die das Leben rund um Datensicherungen einfacher machen und es gibt reichlich Blogartikel zu diesem Thema, daher verweisen wir auf einen sehr guten Beitrag von Elmastudio.

4. Alles auf dem Livesystem machen

In der Softwareentwicklung ist es bereits in vielen Fällen gang und gäbe, dass neben dem eigentlichen Livesystem noch ein Testsystem, oft sogar noch ein Entwicklungssystem besteht. Mit Hilfe eines Testsystems können neue WordPress Versionen oder Pluginupdates getestet werden, bevor diese auch im Livesystem eingespielt werden. Man spart sich im besten Fall viel Ärger. Auch bei der Suche nach dem passenden Plugin ist das Testsystem goldwert. Es können alle Plugins getestet werden bis man das Richtige gefunden hat. Somit hält man auch die Datenbank des Livesystems sauber. Das Testsystem kann online sowohl als auch offline betrieben werden.

5. Zu viele unnötige Plugins installieren

Aktuell gibt es 31888 Plugins (Stand 27.06.2014) im Plugin Verzeichnis von WordPress. Zudem gibt es noch viele andere Pluginquellen. Leider auch viele dubiose Abieter. Daher empfiehlt es sich nur die Nötigsten zu nutzen. Zu viele, vor allem schlecht programmierte, Plugins machen WordPress nur langsam und schwerfällig. Außerdem ist jedes Plugin ein weiteres potentielles Angriffsziel für Angreifer.

6. Themes aus dubiosen Quellen installieren

Auch hier kommt das Testsystem wieder zu gute. Leider gibt es auch bei Themes, wie auch bei Plugins, Quellen den man nicht ohne weiteres trauen sollte. Es gibt unzählige Möglichkeiten an ein hübsches neues WordPress Theme zu gelangen. Daher gilt: Erst auf dem Testsystem installieren und nach Unregelmäßigkeiten schauen. Vielleicht auch mal einem Fachmann über den Code drüber schauen lassen. Letzteres gilt auch für den Punkt 5.

7. Beispieldaten nicht entfernen

Jedes frisch installierte WordPress besitzt bereits einen Blogeintrag mit einem Kommentar, eine Beispielseite, eine “Uncategorized”-Kategorie sowie “Just another WordPress Blog” als Standard Untertitel. Entfernen Sie alle Beispieldaten und ändern Sie den Seitenuntertitel. Das klingt vielleicht nach einem Thema, welches man vernachlässigen könnte aber schauen Sie mal mit Hilfe von Google, wie viele Seite im Netz mit der Beispielseite unterwegs sind.

8. Spam-Kommentare auf der Webseite veröffentlichen

Ein Plugin welches Sie mit Sicherheit brauchen werden, ist ein Anti-Spam Plugin. Wir empfehlen Antispam Bee von Sergej Müller. Das Plugin hält sich an das deutsche Datenschutzgesetz und hilft Ihnen dabei, die Spam-Kommentare in den Griff zu bekommen.

9. Das Thema SEO unterschätzen

Es gibt viele SEO Basics die man mit wenig Handgriffen umsetzen kann. Dazu gehört unter anderem auch die Permalink Struktur. Stellen Sie in Ihrem WordPress die Struktur von Ihredomain.de/?p=23 auf Ihredomain.de/ihrArtikel um. Außerdem achten Sie darauf, dass Sie klare K