Wartung und Instandhaltung Ihrer WordPress-Site

WordPress ist ein großartiges Content-Management-System, sehr populär und zählt zu den weltweit führenden Open-Source-Systemen seiner Art. Dennoch ist es – wie übrigens jedes Softwareprodukt – weder perfekt noch statisch. Es existiert eine große und sehr agile Entwicklergemeinde, die dieses CMS ständig weiterentwickelt, sicherer macht und den neuesten Trends und Entwicklungen anpasst.

Darüber hinaus könnte es aber natürlich nicht „out of the box“ allen Bedürfnissen seiner Nutzer gerecht werden, wenn es nicht durch sog. „Plugins“ und „Themes“ erweiterbar wäre. Auch diese Erweiterungen werden im Idealfall von ihren Erstellern regelmäßig angepasst, um z. B. ihre Kompatibilität zur jeweils aktuellen WordPress-Version sicherzustellen und ggf. bekanntgewordene Sicherheitslücken zu schließen.

Aus diesem Grund bedarf eine WordPress-Site einer regelmäßigen Pflege und Wartung durch Überprüfung und Aktualisierung seiner Komponenten.

Aktualisierungen gibt es sowohl für WordPress selbst, als auch für WordPress-Themes und -Plugins. Ein Update kann verschiedene Gründe haben:

• Behebung von Fehlern,
• Verbesserung und Erweiterung von Funktionen,
• Sicherstellen der Kompatibilität zum WordPress Core (bei Plugins und Themes)
• und – vor allem – das Schließen von Sicherheitslücken.

Updates müssen oftmals nicht sofort durchgeführt werden, in manchen Fällen ist von einem sofortigen Update sogar abzuraten. So ist es manchmal durchaus sinnvoll, mit einem Update solange zu warten, bis abhängige und eng mit dem Gesamtsystem verzahnte Plugins ebenfalls in einer aktualisierten Version vorliegen.

Handelt es sich allerdings um ein Sicherheits-Update, muss so schnell wie möglich gehandelt werden!

Solche Sicherheits-Updates können auch Plugins betreffen. Dies gilt übrigens auch für Ihre inaktiven Themes und Plugins.

Wenn Sie stets die aktuellste Version von WordPress installiert haben, sind Sie auf der sicheren Seite und gut geschützt vor Angriffen aus dem Web. Haben Sie allerdings eine veraltete Version im Einsatz, steigt mit jedem Monat der Überalterung dieser Version auch das Risiko der Verwundbarkeit! Angreifer suchen ganz gezielt nach Webseiten, die mit einer veralteten Version betrieben wird, um sich so bequem einen Zugang zu diesen Systemen verschaffen und sie dann für ihre kriminellen Zwecke missbrauchen zu können. Fast immer geschieht das in totaler Anonymität und vom Sitebetreiber völlig unbemerkt.

Ein Fallbeispiel aus der Praxis: Der „Google Conditional Hack“ ist Schadcode, der Google andere Inhalte ausliefert als dem gewöhnlichen Browser. Die Website verhält sich aus Sicht eines Sitebesuchers völlig normal, an Google werden dagegen Inhalte übermittelt, die den tatsächlichen Inhalten zwar sehr ähnlich sind, an zahlreichen Stellen allerdings unerwünschte Werbetexte – vor allem Links zu Spam-Seiten (oftmals mit obskuren Pharmaka-Angaboten) – enthalten. Ziel dieser Attacken ist der Aufbau einer großen Linkpopularität für solche Seiten, ohne dass es der seriöse Websitebetreiber bemerkt.

Ganz konkret wird dabei durch Ausnutzung gefundener Sicherheitslücken PHP-Code in die Website eingeschleust, der in der Lage ist, zwischen dem Googlebot und einem normalen Browser eines Websitebesuchers zu unterscheiden. Hiervon sind auch viele WordPress-Seiten betroffen. Mit folgendem Kommando, das Sie einfach in das Google-Suchfeld eingeben, können Sie Ihre Website daraufhin testen:

site:ihre-domain.de suchbegriff

(Tauschen Sie „ihre-domain.de“ gegen Ihren tatsächlichen Domainnamen und den Suchbegriff z. B. durch das Wort „Viagra“ aus.)

Sollte Ihre Website von einem solchen Angriff betroffen sein, ist es im Allgemeinen müßig zu versuchen, die manipulierten PHP-Dateien ausfindig zu machen und die entsprechenden Stellen zu korrigieren. Zudem ist es sehr zeitaufwendig und oftmals nur eine Frage der Zeit, bis die Website erneut kompromitiert ist.

Um einen sauberen Stand wieder herzustellen, hilft nur eine komplette Neuinstallation mit einer aktuellen WordPress-Version und ebenso aktuellen Zusatzkomponenten unter Beachtung der wichtigsten Sicherheitsvorkehrungen, wie z. B. der Vergabe neuer, starker Kennwörter für Admins, Datenbank und FTP und ggf. der Installation bewährter Security-Plugins. Die Inhalte lassen sich im Idealfall noch aus der Datenbak restaurieren. Überlassen Sie diese Maßnahmen in jedem Fall einem echten Profi, denn hier ist sehr viel Erfahrung, Know-how und Fingerspitzengefühl gefragt.

Bei größeren Updates über mehrere Versionsnummern hinweg ist es möglich, dass auch Plugins und Themes an die neue Version angepasst werden müssen. Zwar haben die Entwickler solcher Zusatzkomponenten im Vorfeld der Veröffentlichung einer neuen WordPress-Version die Möglichkeit, die Kompatibilität ihrer Produkte mit der neuen WordPress-Version zu testen, aber insbesondere bei kostenfreien Komponenten kommt es vor, dass die Entwickler zu spät oder gar nicht reagieren. Solche Komponenten können dann im schlimmsten Fall Ihr aktualisiertes System unbrauchbar machen.

In diesen Fällen müssen dann die nicht mehr kompatibelen Plugins oder Themes durch Alternativen mit gleicher oder wenigstens ähnlicher Funktionalität ersetzt werden. Recherche, Tests, Abstimmung, Implementation und abschließende Funktionstests des Gesamtsystems sind immer mit einem erheblichen zeitlichen Aufwand verbunden. Solche Updates werden sinnvollerweise nicht am Live-System, sondern in einem separaten, abgeschotteten Testsystem durchgeführt und erst im Erfolgsfall auf die Live-Domain übertragen.

Ein ähnliches Vorgehen ist auch bei sehr komplexen Websites, etwa Shopsystemen, oder Websites mit Mehrsprachigkeitsfunktion angeraten. So sollte vor einem Update immer zunächst geprüft werden, ob Theme oder Plugins aufgrund ihres Alters oder bestimmter Abhängigkeiten möglicherweise einen ganzen Rattenschwanz weiterer Aktualisierungen nach sich ziehen. Die Informationen dazu kann ein erfahrener Systemdministrator aus unterschiedlichen Quellen erhalten.

Wurden von einem Profi manuelle Anpassungen an den Dateien eines Themes oder Plugins vorgenommen, sind diese Anpassungen in einem sog. Child Theme hinterlegt. Alles andere wäre unprofessionell, denn ansonsten würden diese Anpassungen bei einem Update einfach überschrieben. Anpassungen oder Erweiterungen, die im Child Theme implementiert wurden, sind hingegen updateresistent und bleiben auch nach dem Update erhalten.

Dennoch müssen auch diese Anpassungen auf ihre Kompatibilität und ihre Aktualität – insbesondere in puncto Sicherheit – überprüft und ggf. den aktuellen Entwicklungen entsprechend wieder angepaßt werden. Diese Prüfung sollten Sie nur einem wirklich erfahrenen Systemadministrator und Programmierer überlassen, wenn Sie nicht Gefahr laufen wollen, Ihr System auf Dauer angreifbar und unbrauchbar zu machen.

Sie sollten niemals ein Update durchführen, wenn Sie nicht zuvor von Ihrer gesamten WordPress-Installation – Dateien und Datenbank – eine aktuelle Sicherungskopie erstellt haben! Laden Sie per FTP alle WordPress-Dateien und Ordner von Ihrem Webspace auf Ihren lokalen Rechner herunter. Sichern Sie die Daten der verwendeten MySQL-Datenbank in einem SQL-Dump und speichern Sie diese Datei ebenfalls außerhalb Ihres Webspaces.