Wer das erste Mal eine WordPress-Website in Betrieb nimmt, wundert sich vielleicht, dass die Arbeit daran nicht mit der erstmaligen Einrichtung getan ist. Vielmehr muss eine Website fortlaufend gewartet und betreut werden, um ihren störungsfreien und sicheren Betrieb zu gewährleisten. In diesem Artikel wird kurz erklärt, was dahintersteckt.
„Ist WordPress so unsicher?“
WordPress ist das Content-Management-System mit der weltweit größten Verbreitung: Über ein Drittel aller Websites werden von WordPress angetrieben. Diese Beliebtheit beruht – neben der kostenlosen Verfügbarkeit der zentralen Software – auf der enormen Vielseitigkeit und Erweiterbarkeit des Systems: Fast jedes erdenkliche Website-Projekt lässt sich mit WordPress realisieren.
Die freie WordPress-Software wird von einer großen Gemeinschaft von Freiwilligen stetig weiterentwickelt und aktualisiert. Hierbei werden nicht nur neue Funktionen hinzugefügt und bestehende verbessert, sondern es werden auch Sicherheitslücken geschlossen. Allein im Jahr 2019 waren insgesamt zwölf Updates vorzunehmen, um auf dem aktuellen Stand zu bleiben (darüber hinaus wurden weitere Updates für ältere Versionen veröffentlicht).
Während die zentrale WordPress-Software als weitgehend sicher gelten kann, so birgt die Vielseitigkeit von WordPress ein gewisses Risiko. Eine typische WordPress-Website setzt sich aus mehreren Komponenten zusammen: der WordPress-Software an sich, dem als Theme bezeichnete äußere Erscheinungsbild sowie zumeist mehreren funktionellen Erweiterungen – die sogenannte Plugins. Die meisten Themes und Plugins werden nicht von der großen WordPress-Gemeinschaft entwickelt und gewartet, sondern zumeist von kleineren Anbietern und Einzelpersonen. Und hier können sich Risiken auftun, wenn etwa Erweiterungen fehlerhaft programmiert wurden und gefundene Fehler nicht bzw. nicht schnell genug behoben werden.
Und schließlich kann die unsachgemäße Implementation von WordPress ein Risiko darstellen: Wenn etwa schlechte Passwörter vergeben oder bestimmte Schnittstellen nicht geschlossen werden, die nur während der (Offline-)Entwicklung der Website zugänglich sein sollten, kann dies ausgenutzt werden.
„Wer will mich schon hacken?“
Der Vorgang des Hacking entspricht (in den allermeisten Fällen) nicht dem weit verbreiteten Klischee: Am anderen Ende sitzt kein bleicher Ganove im schwarzen Kapuzenpulli zwischen Pizzakarton-Stapeln, der gezielt in eine bestimmte Website einbrechen und deren Besitzer*innen persönlich schaden will.
Hacken läuft weitgehend automatisiert ab: Flächendeckend werden Websites nach Schwachstellen abgesucht und automatisch infiltriert, wenn Einfallstore gefunden werden. Ziel ist (fast) nie, den Eigentümer*innen zu schaden. Die Intention liegt vielmehr darin, die Rechenleistung des Servers anzuzapfen oder unerwünschte Inhalte abzulegen – wie etwa Phishing-Seiten. (Wer mehr wissen möchte: „10 Reasons why your Website is being hacked“ von Bert Gogoglin.)
Ein Hack kann (vorerst) unbemerkt bleiben, wenn etwa Links platziert wurden, die nur für Suchmaschinen sichtbar sind. Ein Hack ist aber umso offensichtlicher, wenn die Website nicht mehr erreichbar ist, zweifelhafte Inhalte anzeigt oder auf einmal Spam-Mails verschickt. Auch wenn ein Hack nicht persönlich gemeint ist: Der persönliche Schaden für Website-Besitzer*innen kann immens sein.
„On-Page-Wartung?“
Neben den Problemen, die durch veraltete und fehlerhafte Software „unter der Haube“ entstehen, hat eine Website aber auch an ihrer Oberfläche einige
So sollte fortwährend überprüft werden, ob die Inhalte einer Website erreichbar sind oder ob es etwa fehlerhafte Verlinkungen gibt. Diese können durch Tippfehler entstehen, vor allem aber auch, wenn sich die URLs von Inhalten (gewissermaßen: die Adressen, die in der Adresszeile des Browsers auftauchen) nach Veröffentlichung wieder ändern. Wenn etwa die Adresse einer „Kontakt“-Seite von meinetollewebsite.de/kontaktiere-uns später auf meinetollewebsite.de/kontakt geändert wird, laufen Aufrufe womöglich ins Leere. Dies ist nicht nur für Besucher*innen ärgerlich, sondern wird auch von Suchmaschinen abgestraft.
Ein Auge muss auch immer den Inhalten und Funktionen gelten, die nicht auf dem eigenen Server laufen, sondern durch Drittanbieter bereitgestellt werden. Diese Anbieter können die Rahmenbedingungen für ihre Angebote mitunter auch sehr abrupt ändern und die Funktionalität von Websites so stark beeinflussen. Ein gutes Beispiel hierfür sind die weitverbreiteten Karten von Google Maps. Die Einbettung dieser Karten auf der eigenen Website war bis Juli 2018 kostenlos möglich, seitdem ist sie grundsätzlich kostenpflichtig. Zwar sind auch nach wie vor eine bestimmte Anzahl von Aufrufen frei, Website-Besitzer*innen müssen dennoch von Beginn an ihre Zahlungsdaten hinterlegen, um die Karten anzeigen zu können. Dies muss auch für bereits bestehende Karten vorgenommen werden – andernfalls wird nur noch eine Fehlermeldung angezeigt. Und diese Fehlermeldung ist bis heute auch auf größeren Websites anzutreffen.
Auch die rechtlichen Rahmenbedingungen, unter denen Website-Besitzer*innen ihre Inhalte veröffentlichen (und Daten von Website-Besucher*innen sammeln) können, unterliegen einem stetigen Wandel. Nicht nur einschneidende gesetzliche Maßnahmen wie die neue Datenschutz-Grundverordnung (DSGVO), die seit dem 25. Mai 2018 Anwendung findet, verdeutlichen diesen Wandel. Die Rahmenbedingungen werden auch laufend durch Urteile ausgeformt, mit denen Gerichte bestimmte Unklarheiten in Gesetzestexten ausräumen. Hier gilt es, immer auf dem neuesten Stand zu sein, um Rechtsverstöße zu vermeiden.
Fazit: Wo ist das Gegengift?
Angesichts dieser vielen Stellschrauben und ewigen Baustellen (und da gibt es noch einige mehr) lässt sich eines festhalten: WordPress-Websites brauchen einige Aufmerksamkeit von ihren Besitzer*innen. Dies erfordert durchaus eine eingehende Beschäftigung mit der Materie. Wem das zu viel Aufwand bedeutet: Einiges kann von Hosting-Anbieter abgedeckt werden, die etwa sog. Managed Hosting anbieten und zumindest die Software-Aktualisierungen abdecken, zumeist gegen höhere Gebühren als bei den Standard-Angeboten. Gleichfalls bieten viele WordPress-Entwickler*innen und Agenturen an, Websites zu betreuen und können hierbei auch individueller auf bestimmte Konfigurationen eingehen.
Welche Aspekte erscheinen dir bei der Wartung von Website besonders wichtig? Was habe ich nicht erwähnt? Welche Erfahrungen hast du mit einer WordPress-Website gemacht? Ich freue mich auf deinen Kommentar hier unter diesem Beitrag! 👇
Die Illustration oben stammt von Icons8.com.
Danke für den guten Überblick.
Kannst Du auch eine Alternative zu WP empfehlen, die für Shopbesitzer weniger aufwendig wäre?
Gruß Kai
Hallo Kai, gerne! Und sorry für die späte Antwort.
Zu deiner Frage: Hier gibt es in meinen Augen zwei Möglichkeiten. Einmal bieten viele Hoster ein sog. Managed Hosting an, bei dem sie die Wartung und vieles weitere übernehmen. Ein Beispiel, ohne es persönlich zu kennen: https://www.hostpress.de/blog/woocommerce-hosting/.
Die andere Richtung wäre, sich in der SAAS-Welt umzuschauen: Squarespace, Shopify und Jimdo fallen mir da spontan ein. Hier wird einem wirklich alles abgenommen, Nachteile sind jedoch u.a.: proprietäre Software und die eingeschränkte Hoheit über Inhalte und Daten.
Viele Grüße
Alex
Hallo Alex,
super gut erklärt, ein guter erster Überblick auch für nicht Techies.
Vielen Dank für diesen Artikel 🙂
Judith
Hallo Judith, vielen Dank! Das freut mich wirklich. Viele Grüße, Alex