In diesen Beitrag gehe ich auf die Grundeinstellungen ein, welche ich bei einer neuen WordPress Installation verwende. Dabei spielt es keine Rolle, ob ich die Installation für ein Kunden oder für mich selber Umsätze. Die Herangehensweise ist immer die gleiche!
Hierbei ist zu beachten, dass Du entscheiden musst, ob WordPress den Ansprüchen genügt. Leider ist WordPress für nicht jede Geschichte geeignet. Hier ein paar typische Fragen, die mir jeder Kunde beantworten muss. Dadurch kannst Du schneller die Entscheidung fällen, ob WordPress überhaupt für den Kunden geeignet ist.
Wie häufig und wie lange möchte der Kunde neue Inhalte veröffentlichen?
Eine WordPress Installation macht Sinn, wenn der Kunde häufig und regelmäßig Inhalte veröffentlicht. Wenn es ein Beitrag im halben Jahr ist, lohnt sich keine WordPress Installation. Der Aufwand für die Wartung und Pflege ist hier einfach zu groß.
Ist der Kunde häufig unterwegs, wenn er einen neuen Beitrag veröffentlichen möchte?
Sollte der Kunde häufig auf Konferenzen und ständig in öffentliche WLAN Netze aktiv. Dies sollte gleich mit berücksichtigt, dass es erforderlich ist ein SSL Zertifikat einzurichten. Die Sicherheit kann erhöht werden, wenn Du ein SSL Zertifikat bei der WordPress Installation verwendest. Dazu müssen verschiedene Konfigurationen in der wp-config.php durchgeführt werden.
Möchte der Kunde eine Interaktion mit seinen zukünftigen Besucher?
Dies ist ein wichtiger Punkt, wenn der Kunde regelmäßige neue Inhalte veröffentlicht. Früher oder später wird jemand die Kommentarfunktion nutzen. Da ist als erstes zu beachten, ob der Kunde diese Funktion überhaupt nutzen möchte. Ansonsten kannst Du diese gleich abschalten. Viele Kunden sind bereits bei ihrem aktuellen Geschäft mit zehn E-Mails überfordert. Was ist wenn 10, 20 oder mehr Kommentare geschrieben werden?
Aber eventuell kann es auch sein, dass der Kunde zukünftig ein Forum betreiben möchte. Hierfür gibt es im WordPress zwar Plugins, aber für große Foren ungeeignet. Dieser Fall ist selten! Ein Forum in der heutigen Zeit kommt immer mehr aus der Mode laut Aussagen meiner Kunden. Davon bin ich zwar nicht überzeugt, aber dies sollte mit den Kunden geklärt werden.
Möchte der Kunde zukünftig Produkte verkaufen? Wenn ja, wie viele?
Es gibt das ein oder andere Plugin in WordPress, womit ein Shop realisieren kann. Hier plädiere bei einem umfangreichen Shop lieber zu Prestashop oder Shopware.
Wer kümmert sich in der Zukunft und die Homepage?
Diese Frage ist mit einer der wichtigsten, eine WordPress Installation ist schnell gemacht. Wie geht der Kunde vor, wenn zum Beispiel Morgen die Webseite gehackt ist? Um dies vorzubeugen, sollte man in Zusammenarbeit mit den Kunden eine „Backup & Update Strategie“ entwickeln. Die Kosten können das Budget des Kunden weit übersteigen.
Daher ist es empfehlenswert mit den Kunden über eine Alternative zu reden. Eventuell könnte es sich lohnen eine Eigenentwicklung oder ein paar statische Seiten. Es ist nicht unbedingt fördernd für mein Geschäft, wenn ich den Kunden nur ein paar statische Seiten umsetze. Aber ich berate lieber den Kunden ordentlich und ziehe nicht sein gesamtes Geld aus der Tasche. Außerdem wird sich jeder Kunde freuen, wenn zum Beispiel nach ein oder zwei Jahren die Webseite gehackt wurde. Wenn ich den Kunden dann nicht über Probleme und Risiken aufgeklärt habe, wird dieser zwangsläufig unzufrieden sein. Da kann ich ein Lied von singen! Es gibt so viele Kunden die zu mir gekommen sind, wo genau dies der Fall war. Die zuvor betreuenden Agenturen und/oder Freelancer hatte meistens nie ein Wort von Open Source oder Updates Backups usw. erwähnt. Aber das gibt es leider… 🙁
Wie sieht das Layout des Kunden aus?
Die Integration kann sehr aufwändig sein, daher sollte man mit den Kunden jeden einzelnen Punkt durchgehen. Plugins welche zusätzlich installiert werden, müssen eventuell an das Layout angepasst werden. Dies kann auf Dauer extreme Kosten verursachen.
Wenn die Wahl auf WordPress gefallen ist und alle generellen Fragen geklärt sind, kann es losgehen.
Bei der Grundinstallation gehe ich folgendermaßen vor
Als erstes entferne ich das Plugin „akismet“, da ich dies nie verwende. Das WordPress Zip- Archiv liefert mehrere informative Seiten mit. Diese sind für den Besucher uninteressant und brauchst du nicht auf den FTP Server übertragen. Im der Log-Datei sieht man sehr häufig, dass diese Dateien von Bots permanent diese abfragen. Dadurch werden eventuell Informationen preisgegeben, wie zum Beispiel: „Die Versionsnummer von der WordPress Installation“. Da dies nicht gewünscht ist, empfehle ich jeden diese Dateien zu löschen.
Eine Liste der Dateien beziehungsweise Verzeichnisse welche Du generell löschen kannst:
wp-config-sample.php
readme.html
liesmich.html
license.txt
/plugins/hello.php
/plugins/akismet
Danach entferne ich den geschwätzigen Meta-Tag: „<meta name=“generator“ content=“WordPress XXX“ />“ bei der Ausgabe im Quellcode. Um die Sicherheit weiter zu erhöhen, Kopierer ich mir eine .htaccess Datei in das Verzeichnis /wp-content/uploads mit nachfolgenden Inhalt.
<Files *.php>
Deny from All
</Files>
<Files *.pl>
Deny from All
</Files>
Dadurch ist es nicht möglich eventuelle hochgeladen PHP oder Perl Scripte über den Browser auszuführen. Falls eventuell eine Schwachstelle in WordPress oder ein Plugin ist, bietet dies eine kleine Sicherheit.
Zusätzlich solltest Du den direkten Aufruf der Konfigurationsdatei mit nachfolgendem Code sperren. Diesen Code fügt Du in die .htaccess Datei im Stammverzeichnis. Dabei habe ich gleich noch den Aufruf readme.html, liesmich.html und license.txt gesperrt. Falls diese eventuell durch ein Update auf den FTP Server übertragen werden. Habe dies ein paarmal erlebt.
<files wp-config.php>
Order deny,allow
deny from all
</files>
<files *.sql>
Order allow,deny
Deny from all
</files>
<files *.zip>
Order allow,deny
Deny from all
</files>
<files liesmich.html>
Order allow,deny
Deny from all
</files>
<files .htaccess>
order allow,deny
deny from all
</files>
<files license.txt>
Order allow,deny
Deny from all
</files>
<files error_log>
Order allow,deny
Deny from all
</files>
Du solltest dabei auch darauf achten, dass Du die Schreibrechte bei der Datei: .htaccess für alle Benutzer über ein FTP Programm entfernst. Dadurch kann diese Datei nicht über ein PHP Script modifiziert werden. Ansonsten besteht die Möglichkeit die gesamte Domain umzuleiten. Hierzu findest Du hier eine Video Anleitung, wie Du mit ein FTP Programm die Homepage übertragen kannst. Im zweiten Schritt, erkläre ich, wie man die Schreibrechte setzt.
Ein weiterer Punkt ist der Administrationsbereich. Ich setze grundsätzlich immer einen .htaccess Passwortschutz. Hier zählt die Regel, doppelt hält besser. 🙂
Sinnvolle Plugins für die WordPress Grundinstallation
Zusätzlich installiere ich immer das Plugin „Antispam Bee“ womit Du den Blog vor Spam Kommentaren schützen kannst. Ansonsten dauert es nicht lange und Du hast zig Spam Kommentare. Das Plugin macht genau das, was es soll und gehört zu jeder Erstinstallation dazu.
Des Weiteren installiere ich auch noch das SEO Plugin: „All In One SEO Pack“. Dieses ermöglicht es einfach verschiedene Optimierungen an der WordPress Installation durchzuführen. Mit diesem Plugin kannst Du zum Beispiel: „Canonical URLs“ in den Blog integrieren. Du kannst auch viele verschiedene wichtige On-Page Einstellungen nachträglich damit konfigurieren.
Das Plugin: Subscribe To „Double-Opt-In“ Comments sollte auch nicht fehlen. Dieses ermöglicht deinen Besuchern das abonnieren, beim schreiben Kommentar. Dadurch kannst Du eine kleine und wunderschöne Community aufbauen, denn viele Besucher abonnieren nachdem Sie ein Kommentar geschrieben haben. Das heißt auch zwangsläufig, Du bekommst neue Besucher und kann ein Mehrwert auf den eigenen Blog anbieten.
Anschließend gehe ich an den Layout Einbau oder integriere weitere Plugins für den Kunden. Ab hier ändert sich die Herangehensweise grundsätzlich.
Was weiterhin zu erwähnen ist
Generell ist zu sagen, dass Du WordPress ohne irgendwelche Optimierungsmaßnahmen betreiben kannst. Die Grundkonfiguration ist von WordPress gut optimiert. Selbst ohne irgendeins SEO Plugin, ranken die Seiten bei Google gut.
Dennoch solltest Du viel Wert legen auf Sicherheit und regelmäßig die WordPress Installation auf den neuesten Stand halten.
Wenn ich eine Grundinstallation bei einem Kunden mache, informiere ich den Kunden bevor ich überhaupt was verkaufe, dass es keine alternativ ohne ein regelmäßiges Update gibt. Dabei kläre ich den Kunden auf, was passiert ohne ein Update.
Im Regelfall kann ich sagen, dass nach ein oder zwei Jahren ohne Sicherheitsmaßnahme und Updates jede WordPress Installation von einem Hacker gehackt wird. Dies ist abhängig, wie gut der Blog gefunden wird. Wenn Du nicht aktiv geschrieben und wenig SEO betrieben hattest, kann es ein oder zwei Jahre länger dauern, wo sich die Installation hält.
Zusätzlich muss ich sagen, dass Plugins Probleme verursachen und der Grund für eine gehackte WordPress Installation sind. Häufig ist die WordPress Grundinstallation nicht die Schwachstelle! Du solltest jedes Plugin regelmäßig updaten. Wenn Du mit dem Updatet überfordert bist, stehe ich dir jederzeit zur Verfügung.
Wie gehst du mit der Grundkonfiguration in WordPress um? Was für ein Plugin verwendest du, welches ich noch nicht hier aufgeführt habe? Ich würde mich über jeden Kommentar freuen.
Inspiriert zu diesem Beitrag wurde ich durch den „Webmasterfriday“. Bei den Webmasterfriday wird regelmäßig eine Blogparade am Freitag veranstaltet, wo jeder Blogger dran teilnehmen kann. Bei der Blogparade gibt es immer ein Thema, worüber jeder Blogger Schreiben kann. Hierbei habe ich das aktuelle Thema der Blogparade aufgegriffen und darüber geschrieben.