Geschrieben von Kay Molkenthin am 10.09.2014
WordPress ist die technische Standard-Plattform, wenn es um die Erstellung eines Blogs geht. Vielfach werden auch Webseiten wie Online-Shops oder allgemein Unternehmensdarstellungen mit WordPress und entsprechenden Plug-Ins realisiert. Einfach und schnell eine Online-Präsenz zu schaffen ja, das ist die Stärke von WordPress und deshalb wurde auch unsere Webseite ursprünglich mit Hilfe von WordPress gestaltet. Aus heutiger Sicht war das eine gravierende Fehlentscheidung, die wir mittlerweile korrigiert haben.
Die Gründe dafür möchten wir in diesem Beitrag aufzeigen, wobei wir als Ausgangsbasis eine Unternehmenswebseite sehen bzw. eine Webseite über die Geld verdient werden soll. Der fehlerfreie Betrieb der Webseite also geschäftskritisch ist.
Selbstverständlich verursacht jeder Betrieb einer Webseite Aufwand, sei es der technische Betrieb der Webseite oder die Pflege der Inhalte. Der Betrieb der populären Plattform WordPress hingegen verursacht überproportionalen Pflegeaufwand, der nachfolgend beschrieben wird.
Das WordPress Kernsystem (Core) wird regelmäßig aktualisiert und das ist auch gut so. Neben Fehlern in den Systemfunktionen von WordPress werden regelmäßig Verbesserungen und funktionale Erweiterungen in den Kern des Systems eingeführt. Problematisch wird die Sache allerdings in den folgenden beiden Alternativen, denen Sie zwangsweise unterworfen sind:
Welche Variante Sie auch wählen, Aufwand fällt in beiden Fällen an und gerade wenn nach 1. eine Funktionalität oder gar die ganze Webseite nicht mehr funktioniert, können die Prüf- und Korrekturaufwände beliebig hoch sein. Vor allem, wenn auch noch der Einsatz von Plug-Ins hinzukommt.
Das von wordpress.org bereitgestellte WordPress-System beinhaltet das Setup für Zitat a software script called WordPress. WordPress selbst definiert keinen bzw. nimmt für sich keinen konkreten Verwendungszweck oder Anwendungsfall in Anspruch.
Vielmehr bestimmt der Betreiber durch seine Inhalte, das Layout und den Einsatz von Plug-Ins das Aussehen und die konkrete Funktionalität einer WordPress-basierenden Webseite. Solche Plug-Ins gibt es wie Sand am Meer und für alle denkbaren Einsatzbereiche kostenlos oder kostenflichtig zu beziehen. Aufbauend auf dem WordPress-Basissystem werden jetzt weitere Softwarebestandteile (die Plug-Ins) in die Webseite integriert und erhöhen dadurch zwangsweise die Komplexität des technischen Systems.
Diese Komplexität erhöht sich einmal mit zunehmender Anzahl an installierten Plug-Ins und überproportional bei Plug-Ins, die wiederum Abhängigkeiten zu anderen Plug-Ins besitzen. Dies gilt häufig bei sogenannten SEO-Plugins. Selbstverständlich müssen auch Plug-Ins aktualisiert werden, um die bestehende Funktionalität zu gewährleisten, aber viel häufiger, um Sicherheitslücken zu schließen.
Plug-Ins sind (neben Templates) das Haupteinfallstor von Hackerangriffen auf WordPress-basierenden Webseiten. Das erklärt auch die sehr hohe Aktualisierungsfrequenz für populäre Plug-Ins. Der Webseitenbetreiber muss bei der Aktualisierung von Plug-Ins dabei auf folgende Abhängigkeiten achten:
Je nach Anzahl an verwendeten Plug-Ins kann es in diesem Fällen zu sehr komplexen Fragestellungen und umfangreichen Updateprozessen kommen - bis hin zu dem Fall, dass (zumindest zeitweise) bestimmte Funktionalitäten auf der Webseite nicht zur Verfügung stehen.
Sicherheit verursacht Aufwand. Häufig unterschätzt, stellen "Hobby-Webmaster" die Sicherheit von webbasierten Installation häufig hinten an.
"Sicherheit kommt schon irgendwie" ist dabei eine häufig verbreitete Einstellung, genauso wie "Sicherheit, dafür sorgen schon andere". WordPress ist aufgrund seiner immensen und weltweiten Verbreitung als Webseiten-Plattform das Angriffsziel von Hackern schlechthin. Nirgends sonst kann mit einem erfolgreichem Hack mengenmäßig mehr Schaden an und über Werbseiten angerichtet werden. Wobei es sich nicht nur um Fehler im WordPress Core oder Plug-Ins handeln muss, häufig wird auch versucht, eine WordPress-Webseite ganz einfach per Brute-Force zu übernehmen.
Verwendete Standardnutzernamen wie "admin" oder "root" sowie schwache Passwörter tragen das übrige dazu sein. Hierzu ein Beispiel:
> 16 ungültige Anmeldeversuche (4 Sperrung(en)) von IP: 196.196.20.37 > > Letzter Anmeldeversuch erfolgte mit dem Benutzernamen: admin > > IP wurde gesperrt für 24 Stunden.
Bei der Qualitäts- und damit Sicherheitsprüfung der WordPress-Core Funktionen kann man sich auf die weltweite Verbreitung und die aktive Community verlassen, die potentielle Sicherheitslöcher schnell erkennt und behebt (s. Updates weiter oben).
Bei den Plug-Ins, die in der Regel von einer einzelnen Person entwickelt und gepflegt werden, existiert diese "awareness" nicht und auf ein schnelles Update im Ernstfall können Sie sich auch nicht verlassen. Sicherheit verursacht definitiv einen hohen Aufwand. Sei es durch den kontinuierlichen Aktualisierungsprozess Ihrer Webseite, inklusive Plug-Ins oder im worst case, der Bereinigung nach einer Übernahme oder einem Hackerbefall.
Hatten Sie eigentlich ein aktuelles Backup oder müssen Sie ggf. wieder ganz von vorne anfangen?
Wie gesagt, wir reden an dieser Stelle nicht über reine Blog-Webseiten, sondern über Unternehmenswebseiten oder solche, mit denen Geld verdient werden soll. Relevante und legitime Anforderungen an solch eine "Business"-Webseite wären zum Beispiel:
Mit den gewünschten Anpassungen kann man sich an erfahrene Entwickler wenden, die grundsätzlich wissen, was sie tun.
Die bereits genannten Probleme von Komplexität und Abhängigkeiten potentieren sich durch eigene Anpassungen aber ins Unkalkulierbare, denn Ihre Anpassungen müssen nicht nur mit dem WordPress Core, sondern mit allen Plug-Ins und deren Abhängigkeiten funktionieren - das ist als Hobby-Webmaster nicht mehr zu bewerkstelligen bzw. sicherzustellen.
Nicht nur, dass Sie sich in eine weitere Abhängigkeit begeben, theoretisch müssen Sie für jedes WordPress-Update bzw. Plug-In-Update ein funktionales Review Ihrer Webseite durchführen. Ziel des Reviews ist die Feststellung, dass nach einem Update einzelner Komponenten die Webseite als ganzes noch fehlerfrei funktioniert. Sicher können Sie sich vorstellen, dass solche Aufwände ungern betrieben werden oder sich der "wird schon nichts passieren"-Gedanke durchsetzt - wobei wir dann ganz schnell wieder beim Thema Sicherheit sind.
Die oben genannten Punkte haben uns bewogen, unsere Webseite kombas.de komplett - weg von WordPress - umzustellen. Das permanente Sicherheitsrisiko, verbunden mit der nicht vorhandenen Flexibilität, eigene Funktionalitäten einfach umsetzen zu können, haben die klassischen WordPress-Vorteile obsolet werden lassen. Eine Alternative musste her, die folgende Anforderungen erfüllt:
Bei den von uns gestellten Anforderungen fiel die Wahl sehr schnell auf ein relativ unbekanntes CMS namens Kirby. Es handelt sich dabei um ein absolut flexibles Content Management System, welches von einem deutschen Entwickler zur Verfügung gestellt wird.
Der Preis von EUR 79 ist moderat und sollte die Kaufentscheidung in keinster Weise beeinflussen. Man erhält ein System, dass - wenn man sich etwas mit PHP-Programmierung auskennt - völlig frei seinen Erfordernissen entsprechend anpassen und erweitern kann. Dadurch, dass es sich bei Kirby um ein dateibasiertes System handelt, wird keine Datenbank benötigt, was folgende Vorteile hat:
Insgesamt geht die Flexibilität von Kirby soweit, dass man theoretisch jede einzelne Seite einer Webseite mit einem anderen Layout und eigenen Funktionalitäten ausstatten kann - mehr Flexibilität geht einfach nicht. Im Vergleich zu den zahlreichen WordPress-Plug-Ins braucht man auch keine funktionalen Nachteile zu befürchten, ganz ein Gegenteil: Die Umstellung bietet die Chance zu Überdenken, welche Funktionalitäten eigentlich benötigt werden und die meisten Features lassen sich in der Regel "nativ" implementieren, indem man direkt die Funktionen des Herstellers in die eigenen Templates einfügt.
Die Umstellung unserer Webseite, inklusive Einarbeitung in Kirby, Templateerstellung, Programmierung der neuen Funktionalitäten, Redirects, etc. war insgesamt in einem Zeitraum (nicht Aufwand) von zwei Wochen komplett abgeschlossen.
WordPress als technische Plattform hat unbenommen seine Berechtigung. Im professionellen oder geschäftskritischen Businesseinsatz stellen diese Stärken auch zugleich die Schwächen dar. Funktionalität, Sicherheit und der dazu notwendige Aufwand sind Entscheidungskriterien für den Einsatz alternativer CMS-Plattformen.
Für unsere konkreten Anforderungen bietet das Kirby-CMS die beste und zukunftssicherste Plattform, die wir finden konnten. Wer unsere WordPress-basierte Webseite kannte, wird kaum einen visuellen Unterschied bemerken, da wir das bisherige Layout 1:1 übertragen konnten - der technische Unterbau aber wurde komplett ausgetauscht und erspart uns jetzt durch den Einsatz von Kirby viel Ärger und Pflegeaufwand.