WordPress 5.3: Was ist neu?

WORDPRESS:5.3 Was ist neu?
WORDPRESS:5.3 Was ist neu?

WordPress 5.3 ist da! Was ist neu?

Das vor kurzem veröffentliche neue Update zu WordPress 5.3 bietet zu allererst mehr Komfort und Gestaltungsmöglichkeiten. Dazu tragen vor allem neue Möglichkeiten im nicht unumstrittenen Gutenberg-Editor bei. Auch das neue Theme „Twenty Twenty“ nutzt diesen Editor. 

Das Ziel der neuen Version war, laut Matt Mullenberg, Chef der  Fa. Automatic, die das Projekt „WordPress“ stemmt, die weitere Entwicklung des Projektes Gutenberg Editor , einem Blog-Editor voranzutreiben und zum Durchbruch zu verhelfen.

So wurden mehr als 150 neue Funktionen und Verbesserungen den Benutzung hinzugefügt um so Skeptikern weniger Argumente gegen dieses Tool zu geben und letztendlich mehr Akzeptanz zu erreichen.

WordPress 5.3: mehr Verbesserung für den normalen User!

Im Endergebnis kann Otto der Normaluser einiges Neues von WordPress 5.3 erwarten. Beispielsweise kann jetzt der Nutzer beim Upload von Bildern aus seinem Smartphone Hilfe bei der Optimierung erfahren. Das geschieht jetzt automatisch mit der Funktion web-optimized maximum size, die nun zur Anwendung kommt.

Das bedeutet aber nicht, dass eine sinnvolle Komprimierung der Bilder vor den Upload generell unnötig oder gar überflüssig ist. Es ist nur gut für Upload aus dem Smartphone und so können solche Plugin, wie Smushit bzw. ähnlich Tools durchaus sinnvoll sein.

Des weiteren wird jetzt die Wiederaufnahme von abgebrochenen Uploads unterstützt. Das heißt, endlich weniger Probleme beim Hochladen größerer Dateien.

Ein weiterer neuer Punkt ist, dass jetzt Bilder an Hand ihrer enthaltenen Exif-Daten, automatisch im Hoch oder Querformat dargestellt werden.

WordPress 5.3: Verbesserung Barrierefreiheit und Nutzung der Tastatur

Was eine große Verbesserung ist, ist die Tatsache, das jetzt im Backend endlich auch an diejenigen gedacht wurde, die Probleme mit den Augen haben und so wurde jetzt im Backend durch eine deutliche Umrandung der Buttons und Elemente eine bessere Sichtbarkeit erzielt. 

Das ist für mich eine der besten Neuerungen.

Zudem kann man jetzt mit der Tabulator-Taste von Block zu Block springen und muss nicht mehr spezielle Navigationselemente nutzen.

WordPress 5.3: Verbesserung & neues im Gutenberg-Editor

Das Design wird jetzt auch ohne Pagebuilder flexibler. Der Gutenberg-Editor macht den Weg frei zu mehr und interessanter Gestaltung. Jetzt kann man Blöcke gruppieren und weiter Gestaltungselemente wie Hintergrundfarben zuweisen. Überschriftenblöcke können Hintergrund- und Textfarben ändern. Blöcke mit festen Breiten sind verfügbar. Ebenso gibt es fertige Layouts zur schnellen Gestaltung. Aber auch hier gilt, wie überall, Übung macht den Meister.

WordPress 5.3: Neues Theme TwentyTwenty als Standard

Das neue Theme, wartet mit einer neuen Schriftart auf. Diese sorgt für mehr Leistung und deutlicherer Lesbarkeit. Der Font nennt sich Inter und kommt aus der Hand des Schriftenentwicklers Rasmus Anderson und braucht nur wenig Resoursen.

WordPress 5.3: Bessere Sicherheit

Aber auch die Sicherheit ist gerade für den normalen Nutzer, gerade in Zeiten des globalen Netzes ein elementares Thema. Dem haben sich die mehr als 650 Entwickler auch angenommen. So muss der Admin alle 6 Monate seine aktuelle E-Mail-Adresse bestätigen. Warum? So soll vermieden werden, dass sich Administratoren selbst aussperren. Denn über eine nicht mehr verfügbare, weil ungültige Mailadresse kann ja kein neues, weil vergessenes Passwort angefordert werden. Über den speziellen Filter: admin_email_check_interval kann die Periode angepasst werden. 

Zudem wurde das schon in der Version 5.2 eingeführte Site-Health-Tool weiter optimiert. So lassen sich Probleme mit inkompatiblen, veralteten Plugins und fehlenden Modulen besser aufspüren.

Fazit:

WordPress 5.3 bietet wieder zusätzliche, notwendige und weitere Entwicklungen, die es notwendig machen, das Update, falls noch nicht automatisch geschehen, schnellst möglich durchzuführen.

Wie man seine WordPress-Seite absichert

Wie man seine WordPress-Seite absichert

Wie man seine WordPress-Seite absichert

WordPress ist sehr anfängerfreundlich und leicht zu erlernen, aber viele Anwender vergessen oft einen Faktor – die Sicherheit. In diesem Artikel gehen wir die Vor- und Nachteile von WordPress-Sicherheit im Detail durch und geben Ihnen Tipps, wie Sie Ihre Webseite sicherer machen können.

Wie man seine WordPress-Seite absichert

Die Erstellung einer eigenen WordPress-Seite ist sowohl spannend als auch großartig. Es gibt viel zu tun, um alles einzurichten, von der Auswahl eines Themas bis zum Schreiben Ihres ersten Blog-Posts. Doch der eine Faktor, den viele Menschen vernachlässigen, ist die Sicherheit.

WordPress ist sehr anfängerfreundlich und leicht zu erlernen, aber es kommt mit einigen Einschränkungen. Hacker nutzen gerne die Vorteile relativ unerfahrener Benutzer und versuchen neue Webseiten zu anzugreifen. Sie tun dies, um Zugang zu sensiblen Informationen zu erhalten oder diese Ihre Webseite zu nutzen, um Malware an ahnungslose Besucher zu verbreiten.

Schließlich betreibt WordPress fast 35% des Internets. Das bedeutet, dass mehr als ein Drittel aller Webseiten ähnliche Schwachstellen aufweisen, was es zu einem lukrativen Ziel für Hacker macht. Ist WordPress also immer noch wirklich die Verwendung wert? Öffnen wir so nicht einfach eine Tür, um dann von Hacker  gekidnappt zu werden? Es ist natürlich die WordPress-Seite gemeint!

Die Wahrheit ist, mit dem richtigen Wissen, dass die Verwendung von WordPress wohl genauso sicher, wenn nicht sogar sicherer ist, als die Erstellung einer eigenen Webseite. Es ist unmöglich, eine unüberwindbare Webseite zu entwickeln, die nie wieder verletzt wird. Selbst wenn Sie versuchen, Ihre eigene Webseite von Grund auf neu zu erstellen, denken Sie daran, dass Sie auf sich allein gestellt sind.

WordPress-Benutzer haben Zugriff auf Hunderte von Ressourcen, wie diese, die helfen können, Sicherheitslücken zu schließen, was sie fast undurchdringlich macht. Lassen Sie uns die Vor- und Nachteile der WordPress-Sicherheit im Detail durchgehen und einige Tipps geben, wie Sie Ihre Webseite sicherer machen können.

WordPress: Ist ein Open-Source-Produkt wirklich sicher?

WordPress ist Open Source, was bedeutet, dass der Code, der Ihre Webseite betreibt, frei ist und von jedem überprüft werden kann, der dies möchte. Dazu gehören auch Hacker, die nach Schwachstellen suchen, die sie ausnutzen können. Ist es in diesem Zusammenhang sicher, Open-Source-Plattformen zu verwenden?

Die Verwendung von Open-Source-Plattformen kann viel sicherer sein als die Erstellung einer eigenen Webseite, insbesondere wenn Sie keine Ahnung haben, was Sie tun. Viele Programmierer werden verstehen, wie man ein sicheres System erstellt, aber oft müssen Sie einen Sicherheitsingenieur beauftragen, um vollständig geschützt zu sein. Und selbst dann müssen Sie Ihren eigenen Code pflegen und aktualisieren und das ist teuer.

WordPress – Code wird nicht nur von Hackern durchsucht. Es wird auch vom WordPress-Sicherheitsteam, freiwilligen Entwicklern, ethischen White Hat Hackern (das sind die Guten) und anderen interessierten Parteien mit guten Absichten gepflegt. Selbst wenn also etwas durchschlüpft, besteht eine gute Chance, dass es schnell gefunden wird.

Die meisten Sicherheitsverletzungen werden nicht einmal durch eine Schwachstelle in einer aktuellen WordPress-Installation verursacht. Sie entstehen, weil Menschen WordPress und seine Plugins nicht auf dem neuesten Stand halten, bösartige Software versehentlich installieren oder unsichere Passwörter verwenden. Wenn Sie gute Praktiken befolgen, stehen die Chancen gut, dass Sie vollkommen sicher sind.

Lassen Sie uns jedoch auf einige der Dinge eingehen, die Sie zum Schutz Ihrer WordPress-Seite tun können.

Wählen Sie SICHERES Hosting

Ein Hauptfaktor für diese Sicherheitsschwachstellen ist das qualitativ schlechte Hosting.

Investieren Sie in einen Hosting-Anbieter, der großen Wert auf Sicherheit legt. Sie tun sich selbst keinen Gefallen, wenn Sie das Gefühl haben, dass die billigere Hosting-Kosten die Sicherheit überwiegen. Ein Teil Ihrer Marktforschung muss die Überprüfung der Sicherheitsdaten des Hosting-Unternehmens beinhalten. Sind sie sicherheitsbewusst? Setzen sie auf neueste Technologien und Standards?

Dies gilt auch für Shared Hosting. Es ist zwar eine preiswertere Option, bedeutet aber auch, dass Sie sich den Serverplatz mit anderen Kunden teilen. Leider reicht es aus, wenn eine Website infiziert wird und sich die Malware über alle Standorte im Netzwerk verbreitet.

Aus diesem Grund sollten wir ein Upgrade auf Cloud, VPS oder Dedicated Hosting in Betracht ziehen, wenn Sie es sich leisten können.

Darüber hinaus sollten Sie nach einem Host suchen, der die folgenden Dienstleistungen anbietet:

  • Modernste Serversoftware – Zu viele Hosts laufen noch auf PHP 5, das lange keinen Support mehr hat. Zu diesem Zeitpunkt sollten Server mindestens PHP 7.0+ verwenden. Das Gleiche gilt für andere Software wie cPanel, Plesk, MySQL oder andere Datenbankprogramme und das Betriebssystem.
  • Malware-Überwachung und -Entfernung – Wählen Sie einen Host, der sich aktiv darum bemüht, Malware-Infektionen zu erkennen und zu verhindern, und bietet möglicherweise Malware-Scans und -Entfernung für den Fall, dass Sie verletzt werden. Nicht alle Webhosts haben eine Richtlinie zum Entfernen von Malware von einer infizierten Webseite, und unter denjenigen, die dies tun, werden einige zusätzliche Gebühren für diesen Dienst erheben.
  • Firewalls und andere Sicherheitsmaßnahmen – Es gibt viele Möglichkeiten, wie Hosting-Provider ihre Serversicherheit erhöhen können. Möglicherweise ist die effektivste unter ihnen, sich auf eine Firewall zu verlassen, da sie den unbefugten Zugriff von außen auf den Server verhindert. Es könnte eine gute Idee sein, vor einer Entscheidung zu prüfen, ob ein Anbieter über dieses und andere Präventionsmittel verfügt.

Ein SSL-Zertifikat installieren

Ein Secure Sockets Layer (SSL)-Zertifikat verschlüsselt die zwischen dem Benutzer und Ihrer Website bereitgestellten Daten. Dies ist etwas, das vielleicht entscheidend für Websites ist, auf denen Benutzer Zahlungsinformationen austauschen, und weniger relevant für informative Blogging-Websites.

SSL gewährt Ihnen eine HTTPS-URL und ein dazugehöriges Zertifikat, ohne das Benutzer beim Besuch unserer Website eine rote „Nicht gesicherte“ Benachrichtigung in der Adressleiste erhalten. Tech-bewusste Besucher werden wissen, dass dies kein Risiko darstellt, wenn sie nur surfen, aber es wird definitiv viele andere abschrecken.

Im Laufe der Jahre haben SSL-Zertifikate Vertrauen unter den Benutzern aufgebaut und sagen ihnen praktisch, dass unsere Identität von einem vertrauenswürdigen Anbieter verifiziert und authentifiziert wird. Es wird uns nicht direkt daran hindern, gehackt zu werden, aber es ist trotzdem gut zu haben. Wenn Ihre Website Informationen über Formulare, für Zahlungen usw. sammelt, müssen Sie unbedingt eine erhalten.

Let’s Encrypt! ist derzeit der beliebteste und kostenlose Anbieter von SSL-Zertifizierungen und bei vielen Providern bereits zu bekommen. Plugins wie Really Simple SSL können Ihnen helfen, das Zertifikat einzurichten und HTTPS zum Laufen zu bringen.

Grün = Sicher

Sichern Sie Ihre Website

Bevor Sie überhaupt anfangen, Änderungen an Ihrer Webseite vorzunehmen, bevor Sie WordPress aktualisieren oder ein Plugin installieren, sollten Sie als allererstes Ihre Backups einrichten. Auf diese Weise, egal was der schlimmste Fall ist, eine versehentliche Änderung des Codes, WordPress-Fehler, eine beschädigte Datenbank – wir haben eine Lösung.

Selbst wenn unsere Webseite gehackt wird und der Schaden irreparabel ist, müssen wir sie nicht von Grund auf neu bauen.

Manuelle Backups, das Kopieren von Dateien und deren manuelle Übertragung auf Festplatte oder Cloud sind kostenlos, aber zeitaufwändig. Stimmt, wir können dies so oft (einmal am Tag) oder so selten tun, wie wir wollen. Obwohl ein Backup, das alle 6 Monate durchgeführt wird, ein wenig riskant sein kann.

Überprüfen Sie, ob Ihr Host wöchentliche, monatliche oder tägliche automatische Backups anbietet. Dieser Service ist in der Regel kommerziell, aber gelegentlich kostenlos. Wenn dies der Fall ist und Ihr Host sowohl Ihre Dateien als auch Ihre Datenbank sichert, müssen Sie nichts anderes tun. Obwohl es eine gute Idee sein kann, ein paar manuelle Backups für alle Fälle aufzubewahren.

WordPress Backup Plugins

Updraft-Plus

Wenn Ihr Host keine Webseiten-Backups anbietet oder wenn das von Ihrem Host bereitgestellte Backup Dateien oder Ihre Datenbank ausschließt, können Sie sich auch auf Plugins verlassen.

Es ist eine gute Idee, zumindest eine solide Lösung für jede Webseite zu haben, die Sie besitzen oder verwalten, und WordPress Backup-Plugins können diese zusätzliche Sicherheit bieten.

iThemes ist ein gutes Beispiel dafür. Dieses Sicherheits-Plugin bietet kostenlose Datenbank-Backups sowie eine Reihe von Tools und Patches. Das zugehörige kostenpflichtige Plugin BackupBuddy ermöglicht es Ihnen, auch ein vollständiges Standortbackup durchzuführen.

Kostenlose oder Freemium-Plugins wie UpdraftPlus, BackUpWordPress erledigen die Arbeit ebenfalls effizient und sind einen Besuch wert.

Denken Sie daran, dass Sie auch dann, wenn Sie sich für ein Backup-Plugin entscheiden, ein Sicherheits-Plugin benötigen, z.B. WP-Cerber, iThemes-Security oder Wordfence, wenn Sie sicher bleiben wollen.

Warten Sie nicht, bis es zu spät ist. Die Einrichtung Ihrer Sicherheit in letzter Sekunde ist so effektiv wie die Reparatur der Löcher in Ihrem Dach während eines Regensturms.

Wenn Sie etwa eine Stunde damit verbringen, Ihre Backups und Ihre Sicherheit einzurichten, sparen Sie Monate, vielleicht sogar Jahre an Arbeit.

Halten Sie Ihre Plugins und Ihr Design auf dem neuesten Stand.

Wenn Sie einen guten Host ausgewählt haben und Ihre Backups eingerichtet sind, verfügen Sie über eine ziemlich gute Sicherheitsinfrastruktur. Aber es gibt noch ein paar weitere Dinge, die Sie tun sollten, um Ihre Webseite vollständig zu schützen.

Ein veraltetes Plugin oder ein unsicheres Design ist das riesige Einfallstor für die Infiltration von Schadsoftware in Ihrer Webseite. Sie auf dem neuesten Stand zu halten, hilft, potenzielle Lücken zu schließen und verhindert so, dass dies geschieht.

Das Aktualisieren Ihrer Webseiten-Komponenten ist so einfach wie das Aufrufen Ihres WP-Admin-Dashboards und das Suchen nach Update-Benachrichtigungen unter Dashboard > Updates.

Markieren Sie alle Themen oder Plugins, die Sie aktualisieren möchten, indem Sie die Kästchen ankreuzen und dann auf die Schaltfläche oben/unten klicken, um mit der Aktualisierung zu beginnen. Wenn Sie es sich zur Gewohnheit gemacht haben, diese Warnungen zu ignorieren, ist es an der Zeit, aufzuhören.

Wie Sie wissen, können Plugins und Designs über die Registerkarten Plugins und Themes aktualisiert werden. Jedoch nicht alle Themen von Premium-Drittanbietern unterstützen automatische Updates, so dass Sie vielleicht ab und zu ihre Webseite überprüfen sollten.

Wichtiger als das Aktualisieren Ihrer Plugins und Designs ist es, WordPress selbst auf dem neuesten Stand zu halten.

39% der gehackten WordPress-Seiten waren veraltet. Manchmal müssen Sie ein Update entfernen, weil es ein von Ihnen verwendetes Plugin stören kann, aber irgendwann müssen Sie das Plugin löschen, um Ihre Webseite zu speichern. WordPress monatelang veraltet zu lassen, ist möglicherweise das Schlimmste, was Sie tun können.

(Profi-Tipp: Sichern Sie Ihre Webseite immer, bevor Sie Updates einführen. Nur für den Fall, dass es Probleme gibt.)

Wenn Sie schon dabei sind, sollten Sie vielleicht die Versionsnummer aus Ihrem Quellcode entfernen.

Standardmäßig enthalten WordPress-Webseiten ein Meta-Tag mit der WordPress-Versionsnummer, welche die Website verwendet. Wir sind uns mit den Sicherheitsspezialisten darüber einig sein, dass dies Hackern das Leben zu einfach macht.

Sie können die Versionsnummer von WordPress manuell entfernen, indem Sie einen einfachen Code in Ihre functions.php-Datei einfügen. Wenn Sie, wie von uns vorgeschlagen, ein WordPress-Sicherheitsplugin verwenden, verstecken viele von ihnen Ihre WP-Version automatisch. Wenn Sie die Verwendung eines Performance-Plugins in Betracht ziehen, bietet das Perfmatters-Plugin auch die Möglichkeit, die WP-Version zu verstecken.

Plugins und Themes aus zuverlässigen Quellen installieren

Ein weiterer riesiger Fehler der meisten WordPress-Benutzern ist es, ihre Plugins und Designs von unzuverlässigen Anbietern zu holen. Ein schlechtes Design oder Plugin kann Malware in Ihre Seiten eindringen lassen, sie beschädigen oder verunstalten.

Webseiten und Entwickler von Drittanbietern werden von WordPress nicht unterstützt und so weiß man nie, was man erhält. Es wäre sehr zuverlässig, alles zu vermeiden, was von unbekannten Webseiten kommt. Wenn das betreffende Plugin viele positive Bewertungen hat und beliebt zu sein scheint, sollte es sicher genug sein, um installiert zu werden.

Schlechte Plugins können leicht mal durch das Raster rutschen.

Auch wenn sich ein Plugin im offiziellen Verzeichnis von WordPress befindet, ist es nicht garantiert sicher. Bevor Sie etwas aus dem Repository herunterladen, werfen Sie einen Blick auf die Statistiken, die in der Seitenleiste rechts auf der Seite aufgelistet sind. So vermeiden Sie es, Plugins herunterzuladen, die im letzten Jahr nicht aktualisiert wurden oder wichtiger noch, weniger als ein paar hundert Installationen haben oder niedrige Bewertungen erhalten haben.

WordPress-Plugins-Statistik

Das vorher gesagte gilt natürlich ebenso für Themen. WordPress bietet einige Themen im Themen-Repository an (einschließlich des Elementor eigenen Hello-Themes, welches extrem einfach ist). Wenn Sie wie viele andere Benutzer nach mehr Vielfalt suchen, sollten Sie Ihre Designs nur von Anbietern und Entwicklern kaufen, die in der Community vertrauenswürdig und bekannt sind.

Sie sollten „nulled“ WordPress Plugins und Themes vermeiden. Nulled Software ist ein Begriff für Premium-Plugins, die kostenlos und ohne Genehmigung verteilt werden.

Abgesehen davon, dass sie fragwürdig und möglicherweise illegal sind, stellen nulled Themen und Plugins ein großes Sicherheitsrisiko dar. Indem man sich auf einen Entwickler verlässt, der bereits unethisch handelt, um Malware nicht in den Code aufzunehmen, ist es ungefähr so sinnvoll wie eine Maus zu bitten, auf Ihren Käse auf zu passen.

Einige ausgesonderte Händler verwenden Code, der dazu führt, dass übermäßige Anzeigen auf Ihrer Webseite erscheinen, Malware verbreitet oder Ihre Datenbank völlig beschädigt wird. Außerdem haben Sie keinen Zugriff auf Updates, was Sie anfällig für Angriffe machen kann, wenn die Software veraltet ist.

Alles in allem ist es in Ihrem eigensten Interesse, nulled Plugins zu vermeiden und nur Software aus dem WordPress Repository oder von vertrauenswürdige Anbieter zu installieren.

Dateibearbeitung durch den Code-Editor deaktivieren

WordPress wird mit teilweise einer Reihe von leicht zugänglichen Themen- und Plugin-Editoren geliefert. Sie finden sie unter Erscheinungsbild > Theme Editor und Plugins > Plugin Editor. Diese ermöglichen den direkten Zugriff auf den Code Ihrer Webseite. 

Allerdings wird die Bearbeitung vielfach heute schon komplett ausgeschlossen. es sei denn Sie verwenden ein WordPress-Standard-Theme.

Ich selbst habe bei meinen ca. 50 WordPress-Webseiten den Zugang zum Editor nicht mehr gefunden.

Während diese Tools für einige Spezialisten eventuell nützlich sind, sind viele WordPress-Benutzer keine Programmierer und müssen und sollten hier nie etwas verändern. Mit diesem Code herumzuspielen, ohne zu wissen, was Sie tun, ist ein sicherer Weg, um Teile Ihrer Webseite zu zerstören oder gar unbrauchbar zu machen. Wenn Sie ein  einfacher Nutzer sind, ist es am besten, die Dateibearbeitung einfach zu deaktivieren, da Hacker den Datei-Editor verwenden können, um schnell schädlichen Code auszuführen oder ganze Teile Ihrer Webseite zu löschen. Wenn Sie den Editor, falls noch vorhanden, deaktivieren, werden sie langsamer.

Sie können auch den Theme- und Plugin-Editor mit einer Zeile Code in Datei wp-config.php, auf Ihrem Server deaktivieren. Wenn Sie Ihre Webseite oder Plugins bearbeiten müssen, schalten Sie sie einfach vorübergehend wieder ein. Alternativ können Sie sie auch über einen FTP-Client bearbeiten.

Das Deaktivieren der Dateibearbeitung verhindert nicht unbedingt, dass Angreifer Schaden anrichten, aber es kann weniger erfahrene Hacker verwirren und sie aufhalten. Zumindest wird es das für sie etwas schwieriger machen und uns mehr Zeit geben, zu erkennen, dass etwas nicht stimmt.

Sichern Sie Ihren Login-Prozess zusätzlich ab.

WordPress-Login zusätzlich mit 2-Faktor Autorisierung

Wenn jemand Ihr Passwort herausfindet, ohne auf die Nutzung des Codes der Webseite zurückzugreifen, ist es höchstwahrscheinlich das Ergebnis von Brute-Force-Angriffen. Dabei werden verschiedene Kombinationen von Buchstaben und Zahlen gewaltsam ausprobiert, bis das Passwort stimmt.

Manchmal versucht ein potenzieller Angreifer häufige Kombinationen, bevor er zur Verwendung von Programmen übergeht, führt er einen automatisierten Prozess aus, der mehrere zufällige Passwortkombinationen pro Sekunde ausprobiert.

Wenn Sie anfangen, sich so zu fühlen, als ob Sie genauso gut jede Hoffnung aufgeben könnten, Ihre Seiten sicher zu machen, dann tun Sie es nicht. Es gibt unzählige Möglichkeiten, Hacker zu abzustoppen, abzuschrecken und sogar Angreifer daran zu hindern, Dinge wie Brute-Force-Angriffe durchzuführen.

Die Standardinstallation von WordPress basiert jedes Mal auf einem ähnlichen Anmeldepfad. Dies ist ein primäres und einfaches Ziel für Hacker, die gängigsten oder leicht zu erratenden Passwörter ausprobieren.

Der Grund, warum so viele Menschen WordPress weiterhin verwenden, ist, dass viele dieser Probleme ganz leicht zu beheben sind.

Erstellen Sie eine starke, sichere Login-Kombination

Der erste und wichtigste Schritt ist die Wahl eines geeigneten Benutzernamens und Passworts. Wir könnten die Anmeldeseite unter einer anderen URL verstecken, aber wenn Ihr Login etwas so Alltägliches wie admin/password ist, würde es keinen Unterschied machen, da es Hacker schnellstens herausfinden.

Hier ist eine Liste von Benutzernamen, die Sie unbedingt vermeiden sollten.

  • Admin – Dies war früher der Standardbenutzername für WordPress und ist daher einer, der definitiv bei einem Brute-Force-Angriff ausprobiert wird.
  • Aus meiner Sicht ist, so zeigt es meine Erfahrung er letzten Jahre, ist der zweithäufigste Begriff [login].
  • Darüber hinaus Ihr richtiger Name oder Spitzname – Das sind sowohl öffentliche Informationen als auch so leicht zu erraten wie „admin“. Darüber hinaus kann es sinnvoll sein, ein eigenes Profil ohne Administratorrechte für die Veröffentlichung von Inhalten zu erstellen. Auf diese Weise erscheint der Benutzername des Haupt-Logins nicht auf der Website.
  • Alle persönlichen Daten – einschließlich Geburtstag, etc. Verwenden Sie ein persönliches Detail nur dann, wenn es etwas ist, das niemand je erfahren könnte.
  • Der Titel Ihrer Webseite, oder etwas, das offensichtlich damit zusammenhängt – „Kätzchen“ für eine Katzenpatenschaft, etc.

Sie müssen auch ein sicheres Passwort wählen. Die allgemeine und wichtigste Aussage dabei ist dieselbe: Vermeiden Sie persönliche Informationen, offensichtliche Entscheidungen wie „Passwort“ oder alles, was eindeutig mit Ihrer Webseite zu tun hat.

Ein sicheres Passwort besteht aus mehr als 10 Zeichen, besser 18 Zeichen, verwenden Sie eine Vielzahl von Zeichen, wie Groß-, Kleinschreibung, Zahlen, Sonderzeichen und vermeiden Sie häufige Wörter und Phrasen. Die besten Passwörter sind eine lange Reihe von völlig zufälligen Buchstaben, Zahlen und Symbolen, die niemand erraten konnte.

Experten haben errechnet, dass bei einem sicheren Passwort ab 8 Zeichen mit einer Kombination aus Zahlen und Groß- sowie Kleinbuchstaben ein Computer-Angreifer bei zehn Angriffe pro Sekunde – 692.352 Jahre brauchen würde, um sämtliche Kombinationen durchzuprobieren.

Dienste wie Secure Password Generator können Ihnen helfen, diese zu erstellen.

Wenn es Ihnen schwer fällt, sich an Ihre Login-Daten zu erinnern, sollten Sie einen Dienst wie LastPass in Betracht ziehen.

Diesen Dienst nutze ich seit Jahren und er ist kostenlos auf Ihrem Rechner nutzbar. Es gibt auch einen kostenpflichtigen Account, der dann überall auf  Handy und Tablet zu nutzen ist. Ich bin damit sehr zufrieden und halte es für das beste Tool. Seit diesem Tag habe ich keine Probleme mehr mit schwachen Passwörter und keiner meiner zahlreichen Accounts wurde bisher geknackt. Also TOP und WICHTIG.

Sperren Sie Ihre Login-Seite.

Standardmäßig kann sich jeder auf Ihrer Website anmelden, indem er zu ihre-Webseite.de/wp-admin geht. Sie können sie  ihren Spuren verwischen, indem Sie die URL komplett ändern. WPS Hide Login ermöglicht es Ihnen beispielsweise, das zu ändern, wenn Sie das wollen. Installieren Sie es einfach und gehen zu den Plugin-Einstellungen, um es zu ändern.

Ich persönlich kann sagen zahlreiche Hacker nutzen einen anderen Weg zu Ihrem Login. Nur die zahlreichen kleinen Lichter nutzen den Weg so oder so und da hilft nur ein sehr gutes Passwort. Aber ganz wie Sie wollen, ist hier der Weg.

Sie sollten einen Login-Pfad verwenden, der nicht offensichtlich ist. Es könnte die Hacker ein wenig abschrecken, wenn Sie es in etwas wie /login oder /new-login ändern, aber wenn sie entschlossen sind, werden sie das ziemlich schnell herausfinden. Daher ist es besser, etwas sehr schwer zu erratendes wie /Dukommsstmir danichtrein zu wählen.

Als nächstes installieren Sie ein Plugin, um die Anmeldeversuche zu begrenzen. Jede Person kann Ihren Server mit Hunderten von Anfragen per Spam versenden, bis sie es für richtig hält. Ein Plugin, das Anmeldeversuche einschränkt, gibt ihnen nur wenige Chancen, bevor sie gesperrt werden. Es kann auch Bots erkennen und von Ihrer Login-Seite wegleiten.

Alternativ können Sie auch ein CAPTCHA aktivieren, um sie noch weiter zu verlangsamen.

An dieser Stelle werden die meisten Hacker nach einfacheren Zielen suchen. Sie können es weiter versuchen, sobald ihre Zeit abgelaufen ist, aber in dieser Zeit konnten wir unsere Serverprotokolle überprüfen, ihre Versuche, hineinzukommen, bemerken und ein IP-Verbot erlassen.

Sie können auch versuchen, die Cloudflare Rate Limiting zu nutzen. Diese erkennt automatisch Brute-Force- sowie DDoS-Angriffe und blockiert die dafür zuständigen IP-Adressen.

Der letzte Schritt besteht darin, eine zweistufige Authentifizierung mit einem Plugin einzurichten. Neben einem Benutzernamen und einem Passwort, um hineinzukommen, fragt es den Besucher nach einem dritten Authentifikator. Am häufigsten ist eine Textverifizierung einer Nachricht, die an Ihr Telefon gesendet wird. Ein Hacker könnte in der Lage sein, Zugriff auf Ihre E-Mail zu erhalten, aber es ist sehr unwahrscheinlich, dass sie Ihr Handy stehlen könnten.

TOP-Tip vom Profi: Ich setze dafür wp-Cerber erfolgreich ein. Das Plugin bietet fast alle gängigen Methoden an, wie Ip-Aussperrung, Login verändern, Aussperrung bei Brute-Force- sowie DDoS-Angriffe und vieles mehr.

Halten Sie WordPress sicher

Eine unberührte Installation von WordPress steht Angreifern offen. Die Vernachlässigung der Sicherheit macht Sie anfällig für Hacker, die Ihre Website verunstalten, löschen oder sogar mit Malware infizieren wollen.

Allerdings könnte ein Tag mit der Installation und Einrichtung der richtigen Security-Plugins und dem Ausfüllen all dieser kleinen Lücken den Ausschlag geben.

Indem Sie den Ratschlägen folgen, die wir Ihnen gegeben haben, wird Ihre Website weitaus sicherer vor Angreifern sein. Der große Teil ist, dass viele dieser Methoden „Set-it-and-forget-it“-Aktionen sind. Ändern Sie einfach eine Einstellung und Sie müssen nicht lange darüber nachdenken.

Zusammenfassend: Wählen Sie einen vertrauenswürdigen Host mit sicheren Servern, installieren Sie ein SSL-Zertifikat, wenn Sie Benutzerdaten sammeln, halten Sie Ihre Website gesichert und Ihre Installation und Themen auf dem neuesten Stand, und stellen Sie sicher, dass Sie über ein sicheres Login verfügen. Tun Sie all dies und Hacker, insbesondere Amateur-Hacker, werden am Tor gestoppt.

Wurde Ihre WordPress-Seite jemals gehackt? Wie haben Sie es geschafft, Ihre Website zurückzugewinnen und zu bereinigen? Wir würden uns freuen, Ihre Geschichte in den Kommentaren zu hören.

Visual Composer Website Builder vs. Elementor; Aus Entwicklersicht

Elementor & Visual Composer

Visual Composer Website Builder vs. Elementor; aus der Sicht eines WordPress-Webseitenentwicklers

Der Visual Composer Website Builder und der Elementor PageBuilder sind großartige, moderne Plugins für die Gestaltung einer WordPress-Webseite und deren Inhalt. Sie bieten fast die gleichen Funktionen und funktionieren auf sehr ähnliche Weise. So können Benutzer die Struktur und das Layout von WordPress-Seiten und -Postings entwerfen, ohne dass sie die Funktion und die Codierung in irgend einer Art und Weise verstehen müssen.

Elementor wurde im Jahr 2016 veröffentlicht und verfügt über mehr als 2 Millionen aktive Installationen, während der Visual Composer Website Builder (ab hier VCWB ) im Jahr 2017 veröffentlicht wurde und über mehr als 100.000 aktive Installationen verfügt. Beide Plugins bieten großartige UX-, Interaktions- und superschnelle Leistung. 

Elementor & Visual Composer
Elementor & Visual Composer

Schauen wir uns an, wie Entwickler diese beiden Produkte als Teil eines WordPress-Themas verwenden können.

1. Lizenz

Sowohl VCWB als auch Elementor sind als kostenlose und Premium-Version erhältlich. Die Theme-Integration ist nur mit den kostenlosen Versionen möglich. Sie können die Premium-Versionen nicht zu Ihrem Thema hinzufügen oder weiterverkaufen – es gibt keine sogenannte „Lagerlizenz“ -, auch wenn Sie eine Entwicklerlizenz erworben haben (was mehrere Lizenzen für Agenturen ermöglicht). Sie können Benutzer jedoch jederzeit zu einem Upgrade ermutigen, wenn Sie der Meinung sind, dass diese von den erweiterten Funktionen profitieren würden.

Die kostenlose Version von Elementor wird WordPress.org gehostet, sodass Sie sie nicht in Ihr Theme-Pack aufnehmen müssen. Die kostenlose Version von Visual Composer Website Builder ist jedoch auf WordPress.org nicht verfügbar. Sie müssen entweder die kostenlose Version herunterladen und in Ihr Theme-Pack aufnehmen oder den Download-Link mit dem TGM-Plugin-Aktivator verwenden.

TGM Plugin Activation
Durch die Aktivierung des TGM-Plugins können neue Theme-Käufer empfohlene Plugins direkt herunterladen

Die Premium-Versionen enthalten in beiden Fällen Header- und Footer-Builder sowie Template-Systeme. Sie können Funktionen der Pro-Version für Ihre eigenen Projekte verwenden, aber Sie können kein Thema für den Verkauf entwickeln, falls Sie darauf angewiesen sind und damit Geld verdienen möchten. Mit der kostenlosen Version können Ihre Kunden die schnellen Editoren, großartigen Oberflächen, ein paar kostenlose Widgets und Module sowie die Früchte der großartigen Entwickler-APIs genießen (Sie können und sollten Ihr Thema mit benutzerdefinierten Elementen erweitern).

2. Anforderungen

Elementor benötigt nicht mehr als die allgemeinen Anforderungen für WordPress, aber mit Visual Composer Website Builder müssen Sie auch die folgenden technischen Anforderungen erfüllen:

  • Webpack 4.0 oder höher
  • Node 8.0

Und hier fangen die Unterschiede zwischen diesen beiden Produkten an.

3. Entwickler-APIs

Im Gegensatz zu WP Bakery Page Builder werden die Elemente in Visual Composer Website Builder und Elementor nicht mehr auf  der Basis von Shortcodes benutzt.  Ein Element wird als unabhängiger Teil des Systems beschrieben. Ein HTML-basierter Block, der Medien und dynamische Inhalte ausgeben kann.

In Visual Composer Website Builder arbeitet der Editor mit Elementen als React-Komponenten. Diese Komponenten müssen mit Webpack erstellt und per API in die Warteschlange gestellt werden. Jedes Element verfügt über ein Vorschaubild, ein Miniaturbild, eine Kategorie und eine reaktionsbasierte Komponente. Der beste Weg, diese Elementstruktur zu verstehen, ist das Klonen des VCWB Boilerplate-Repository auf GitHub.  Jedes Element umfasst einen Ordner mit JavaScript-, JSON-, PHP-, CSS- und Mediendateien. Das VCWB-Elementsystem ist etwas kompliziert und Sie sollten mit React vertraut sein, um es besser zu verstehen.

Das Erstellen eines benutzerdefinierten Elementor-Widgets unterscheidet sich nicht wesentlich vom Erstellen eines nativen WordPress-Widgets. Erstellen Sie zunächst eine Klasse, die die Widget_Base Klasse erweitert, und füllen Sie alle erforderlichen Methoden aus

Wordpress Einführung

WORDPRESS
Einführung in die Erstellung Ihrer ersten WordPress-Webseite

Jörg Rothhardt

Dieser Ansatz ist jedem WordPress-Entwickler vertraut, und ich persönlich finde es viel einfacher, neue Elemente für Elementor zu erstellen als für VCWB.

Fazit

Im Folgenden finden Sie eine kurze tabellarische Bewertung dieser beiden Plugins aus Entwicklersicht, die zum Zeitpunkt der Veröffentlichung aktuell war:

Gegenüberstellung Elementor - Visual Composer

Hier hast du es; meine subjektive Einschätzung, basierend auf meiner Erfahrung als Entwickler mit diesen beiden WordPress Page Builder Plugins.

Sie fragen sich vielleicht, warum ich diese beiden Plugins verglichen habe, da Elementor der Marktführer ist und viel mehr aktive Installationen hat. Nun, ich glaube, dass jedes großartige Produkt großartige Konkurrenten haben sollte. VCWB verwendet neue Technologien, die bei der Entwicklung von Themen sehr beliebt sein können. Es hat ein sehr fortgeschrittenes und leistungsfähiges Starter-Thema ohne Einschränkungen . Die Entwickler von VCWB haben uns bereits ein großartiges Produkt in Form von WPBakery Page Builder zur Verfügung gestellt. Ich glaube fest an ihre professionelle Strategie.

Auf der anderen Seite ist Elementor ein sehr beliebtes Produkt, das sich durch hervorragende Leistung auszeichnet und sehr einfach zu verarbeiten ist. Elementor hat auch ein Starter-Theme, das die Styling-Umgebung in WordPress zurücksetzt. Als Entwickler sehe ich jetzt, dass Elementor der fortschrittlichere und mehr genutzte Builder für Webseiten ist, und ich empfehle dringend, mit diesem Plugin Webseiten zu entwickeln. Behalten Sie jedoch den Visual Composer Website Builder im Auge!

Kompatible Designs auf Themeforest

Im Jahr 2018 wuchsen die Elementor-kompatiblen Themen auf Themeforest von 90 auf 350. Derzeit sind es über 450.

Bitte denken Sie immer daran

Informationen nützen nur dem, der Sie auch bekommt.

Ihr Jörg Rothhardt

Jörg Rothhardt

Das Unternehmen

Rechtliches und mehr

Unser Newsletter