komBAS Ltd.
komBAS
Blog / Aufwand und Sicherheit von WordPress-Webseiten

Aufwand und Sicherheit von WordPress-Webseiten

Geschrieben am von Kay Molkenthin

WordPress ist die technische Standard-Plattform, wenn es um die Erstellung eines Blogs geht. Vielfach werden auch Webseiten wie Online-Shops oder allgemein Unternehmensdarstellungen mit WordPress und entsprechenden Plug-Ins realisiert. Einfach und schnell eine Online-Präsenz zu schaffen ja, das ist die Stärke von WordPress und deshalb wurde auch unsere Webseite ursprünglich mit Hilfe von WordPress gestaltet. Aus heutiger Sicht war das eine gravierende Fehlentscheidung, die wir mittlerweile korrigiert haben.

Die Gründe dafür möchten wir in diesem Beitrag aufzeigen, wobei wir als Ausgangsbasis eine Unternehmenswebseite sehen bzw. eine Webseite über die Geld verdient werden soll. Der fehlerfreie Betrieb der Webseite also geschäftskritisch ist.

WordPress verursacht Aufwand

Selbstverständlich verursacht jeder Betrieb einer Webseite Aufwand, sei es der technische Betrieb der Webseite oder die Pflege der Inhalte. Der Betrieb der populären Plattform WordPress hingegen verursacht überproportionalen Pflegeaufwand, der nachfolgend beschrieben wird.

Aktualisierung WordPress Core

Das WordPress Kernsystem (Core) wird regelmäßig aktualisiert und das ist auch gut so. Neben Fehlern in den Systemfunktionen von WordPress werden regelmäßig Verbesserungen und funktionale Erweiterungen in den Kern des Systems eingeführt. Problematisch wird die Sache allerdings in den folgenden beiden Alternativen, denen Sie zwangsweise unterworfen sind:

  1. Automatische Aktualisierung: WordPress bietet die Möglichkeit eines automatischen Updates. Was sich sehr komfortabel anhört hat allerdings den Nachteil, dass das Update ohne Ihre Kontrolle und Zustimmung erfolgt - nach erfolgtem Update stehen Sie vor der Situation "friß oder stirb". Entweder Ihre Webseite läuft noch wie vorher, oder im worst case Fall nicht. Zumindest müssen Sie prüfen, ob Ihre Webseite nach dem Update noch genauso funktioniert wie vorher - auch das ist Aufwand.
  2. Manuelle Aktualisierung: Bei der manuellen Aktualisierung sind Sie vermeintlich Herr der Lage, haben Zeit, vor der manuellen Aktualisierung ein Backup anzufertigen und den Zeitpunkt der Aktualisierung selbst festzulegen, aber genau das ist auch der Nachteil - Sie müssen es auch machen! Gerade bei Webseiten, die vielleicht nicht primär im Fokus des Webseitenverantwortlichen liegen, werden Updates gerne vergessen oder augeschoben.

Welche Variante Sie auch wählen, Aufwand fällt in beiden Fällen an und gerade wenn nach 1. eine Funktionalität oder gar die ganze Webseite nicht mehr funktioniert, können die Prüf- und Korrekturaufwände beliebig hoch sein. Vor allem, wenn auch noch der Einsatz von Plug-Ins hinzukommt.

Die Notwendigkeit und das Problem von WordPress Plug-Ins

Das von wordpress.org bereitgestellte WordPress-System beinhaltet das Setup für Zitat a software script called WordPress. WordPress selbst definiert keinen bzw. nimmt für sich keinen konkreten Verwendungszweck oder Anwendungsfall in Anspruch. Vielmehr bestimmt der Betreiber durch seine Inhalte, das Layout und den Einsatz von Plug-Ins das Aussehen und die konkrete Funktionalität einer WordPress-basierenden Webseite. Solche Plug-Ins gibt es wie Sand am Meer und für alle denkbaren Einsatzbereiche kostenlos oder kostenflichtig zu beziehen.

Aufbauend auf dem WordPress-Basissystem werden jetzt weitere Softwarebestandteile (die Plug-Ins) in die Webseite integriert und erhöhen dadurch zwangsweise die Komplexität des technischen Systems. Diese Komplexität erhöht sich einmal mit zunehmender Anzahl an installierten Plug-Ins und überproportional bei Plug-Ins, die wiederum Abhängigkeiten zu anderen Plug-Ins besitzen. Dies gilt häufig bei sogenannten SEO-Plugins.

Selbstverständlich müssen auch Plug-Ins aktualisiert werden, um die bestehende Funktionalität zu gewährleisten, aber viel häufiger, um Sicherheitslücken zu schließen. Plug-Ins sind (neben Templates) das Haupteinfallstor von Hackerangriffen auf WordPress-basierenden Webseiten. Das erklärt auch die sehr hohe Aktualisierungsfrequenz für populäre Plug-Ins.

Der Webseitenbetreiber muss bei der Aktualisierung von Plug-Ins dabei auf folgende Abhängigkeiten achten:

  • Passt die Plug-In Version zu meiner WordPress Core Version?
  • Passt die Plug-In Version zu meinem verwendeten WordPress-Template?
  • Falls eine Abhängig zu einem anderen Plug-In besteht, ist die Plug-In Version zu diesem anderen Plug-In (weiterhin) kompatibel?

Je nach Anzahl an verwendeten Plug-Ins kann es in diesem Fällen zu sehr komplexen Fragestellungen und umfangreichen Updateprozessen kommen - bis hin zu dem Fall, dass (zumindest zeitweise) bestimmte Funktionalitäten auf der Webseite nicht zur Verfügung stehen.

Das leidige Thema Sicherheit

Sicherheit verursacht Aufwand. Häufig unterschätzt, stellen "Hobby-Webmaster" die Sicherheit von webbasierten Installation häufig hinten an. "Sicherheit kommt schon irgendwie" ist dabei eine häufig verbreitete Einstellung, genauso wie "Sicherheit, dafür sorgen schon andere".

WordPress ist aufgrund seiner immensen und weltweiten Verbreitung als Webseiten-Plattform das Angriffsziel von Hackern schlechthin. Nirgends sonst kann mit einem erfolgreichem Hack mengenmäßig mehr Schaden an und über Werbseiten angerichtet werden. Wobei es sich nicht nur um Fehler im WordPress Core oder Plug-Ins handeln muss, häufig wird auch versucht, eine WordPress-Webseite ganz einfach per Brute-Force zu übernehmen. Verwendete Standardnutzernamen wie "admin" oder "root" sowie schwache Passwörter tragen das übrige dazu sein. Hierzu ein Beispiel:

16 ungültige Anmeldeversuche (4 Sperrung(en)) von IP: 196.196.20.37

Letzter Anmeldeversuch erfolgte mit dem Benutzernamen: admin

IP wurde gesperrt für 24 Stunden.

Bei der Qualitäts- und damit Sicherheitsprüfung der WordPress-Core Funktionen kann man sich auf die weltweite Verbreitung und die aktive Community verlassen, die potentielle Sicherheitslöcher schnell erkennt und behebt (s. Updates weiter oben). Bei den Plug-Ins, die in der Regel von einer einzelnen Person entwickelt und gepflegt werden, existiert diese "awareness" nicht und auf ein schnelles Update im Ernstfall können Sie sich auch nicht verlassen.

Sicherheit verursacht definitiv einen hohen Aufwand. Sei es durch den kontinuierlichen Aktualisierungsprozess Ihrer Webseite, inklusive Plug-Ins oder im worst case, der Bereinigung nach einer Übernahme oder einem Hackerbefall. Hatten Sie eigentlich ein aktuelles Backup oder müssen Sie ggf. wieder ganz von vorne anfangen?

Eigene funktionale Anpassungen in WordPress

Wie gesagt, wir reden an dieser Stelle nicht über reine Blog-Webseiten, sondern über Unternehmenswebseiten oder solche, mit denen Geld verdient werden soll. Relevante und legitime Anforderungen an solch eine "Business"-Webseite wären zum Beispiel:

  • Die Einbindung von vorhandenen Kundendaten aus einer Datenbank in Form eines Kundenbereichs.
  • Eigene funktionale Seiten mit PHP oder JavaScript erweitert, in denen etwas berechnet oder visualisiert wird.
  • Erweiterte Formularfunktionen mit Eingabe- und Logikprüfungen, etc.

Mit den gewünschten Anpassungen kann man sich an erfahrene Entwickler wenden, die grundsätzlich wissen, was sie tun. Die bereits genannten Probleme von Komplexität und Abhängigkeiten potentieren sich durch eigene Anpassungen aber ins Unkalkulierbare, denn Ihre Anpassungen müssen nicht nur mit dem WordPress Core, sondern mit allen Plug-Ins und deren Abhängigkeiten funktionieren - das ist als Hobby-Webmaster nicht mehr zu bewerkstelligen bzw. sicherzustellen.

Nicht nur, dass Sie sich in eine weitere Abhängigkeit begeben, theoretisch müssen Sie für jedes WordPress-Update bzw. Plug-In-Update ein funktionales Review Ihrer Webseite durchführen. Ziel des Reviews ist die Feststellung, dass nach einem Update einzelner Komponenten die Webseite als ganzes noch fehlerfrei funktioniert.

Sicher können Sie sich vorstellen, dass solche Aufwände ungern betrieben werden oder sich der "wird schon nichts passieren"-Gedanke durchsetzt - wobei wir dann ganz schnell wieder beim Thema Sicherheit sind.

Business-Anforderungen umsetzen mit WordPress-Alternativen

Die oben genannten Punkte haben uns bewogen, unsere Webseite kombas.de komplett - weg von WordPress - umzustellen. Das permanente Sicherheitsrisiko, verbunden mit der nicht vorhandenen Flexibilität, eigene Funktionalitäten einfach umsetzen zu können, haben die klassischen WordPress-Vorteile obsolet werden lassen. Eine Alternative musste her, die folgende Anforderungen erfüllt:

  • Das Basissystem muss Logik und Oberfläche trennen.
  • Das System muss auf PHP basieren (damit es angepasst werden kann).
  • Idealerweise verzichtet das System auf eine Datenbank (für ein paar Seiten und regelmäßige Blogbeiträge benötigt man keine Datenbank, die wiederum ein Angriffspunkt ist).
  • Das ganze System ist "einfach zu managen" (KISS, Keep it Simple and Smart [oder Stupid]).

Kirby ein dateibasiertes CMS

Bei den von uns gestellten Anforderungen fiel die Wahl sehr schnell auf ein relativ unbekanntes CMS namens Kirby. Es handelt sich dabei um ein absolut flexibles Content Management System, welches von einem deutschen Entwickler zur Verfügung gestellt wird. Der Preis von EUR 79 ist moderat und sollte die Kaufentscheidung in keinster Weise beeinflussen. Man erhält ein System, dass - wenn man sich etwas mit PHP-Programmierung auskennt - völlig frei seinen Erfordernissen entsprechend anpassen und erweitern kann.

Dadurch, dass es sich bei Kirby um ein dateibasiertes System handelt, wird keine Datenbank benötigt, was folgende Vorteile hat:

  • Die gesamte Funktionalität steckt in Dateien, ist einsehbar und damit frei editierbar.
  • Ein Backup besteht aus dem reinen Kopieren und Rückspielen von Dateien.
  • Geringste Anforderungen an die Systemumgebung, schnellste Ladezeiten.

Insgesamt geht die Flexibilität von Kirby soweit, dass man theoretisch jede einzelne Seite einer Webseite mit einem anderen Layout und eigenen Funktionalitäten ausstatten kann - mehr Flexibilität geht einfach nicht. Im Vergleich zu den zahlreichen WordPress-Plug-Ins braucht man auch keine funktionalen Nachteile zu befürchten, ganz ein Gegenteil: Die Umstellung bietet die Chance zu Überdenken, welche Funktionalitäten eigentlich benötigt werden und die meisten Features lassen sich in der Regel "nativ" implementieren, indem man direkt die Funktionen des Herstellers in die eigenen Templates einfügt.

Die Umstellung unserer Webseite, inklusive Einarbeitung in Kirby, Templateerstellung, Programmierung der neuen Funktionalitäten, Redirects, etc. war insgesamt in einem Zeitraum (nicht Aufwand) von zwei Wochen komplett abgeschlossen.

Zusammenfassung

WordPress als technische Plattform hat unbenommen seine Berechtigung. Im professionellen oder geschäftskritischen Businesseinsatz stellen diese Stärken auch zugleich die Schwächen dar. Funktionalität, Sicherheit und der dazu notwendige Aufwand sind Entscheidungskriterien für den Einsatz alternativer CMS-Plattformen.

Für unsere konkreten Anforderungen bietet das Kirby-CMS die beste und zukunftssicherste Plattform, die wir finden konnten. Wer unsere WordPress-basierte Webseite kannte, wird kaum einen visuellen Unterschied bemerken, da wir das bisherige Layout 1:1 übertragen konnten - der technische Unterbau aber wurde komplett ausgetauscht und erspart uns jetzt durch den Einsatz von Kirby viel Ärger und Pflegeaufwand.

Tags: sicherheit, wordpress, kirby



Login

Suche

Blog Kategorien


komBAS Newsletter abonnieren

ArticleSpinningWizard2

ArticleSpinningWizard2 - Text Spinning Software

ContentCreationWizard

ContentCreationWizard - Texte ganz einfach erstellen

eBooks

ScrapeBxo Master Guide eBook