Ist WordPress sicher?

„Nimm bloß nicht WordPress! Mein Kumpel arbeitet in der IT und der sagt, WordPress ist wahnsinnig unsicher!“

Stimmt das? Nein, das stimmt so nicht. WordPress ist eine Software und um Software muss man sich kümmern. Indem man regelmäßig Updates macht und indem man sichere Passwörter verwendet. Das war’s aber auch schon. Der Kumpel liegt also falsch, WordPress ist ein sicheres System.

Webseiten, die keine Pflege brauchen, gibt es schon auch. Das sind statische HTML-Seiten bei denen keine Scriptsprachen am Werk sind. Folglich kann dort auch niemand Unfug treiben.

Wer lieber ein komfortables CMS haben möchte, der muss sich kümmern. So wie das Betriebssystem auf dem Laptop bekommt auch WordPress regelmäßig Updates. Jedes Update bringt neue, praktische Funktionen und nebenbei werden Sicherheitslücken geschlossen.
Ein Redaktionssystem ist also nichts, dass man einmal installiert und dann vergessen kann. Das System ist ein Stück Software und das braucht Aufmerksamkeit.

2 Regeln für die Sicherheit

Dabei ist es denkbar einfach, WordPress sicher zu machen. Wer die beiden wichtigsten Faustregeln beachtet, ist weitgehend raus aus der Schusslinie.

  1. Sichere Passwörter = lange Passwörter, am besten ganze Sätze (12 Stellen und mehr)
  2. Updates, Updates, Updates

Sicherheit ist immer relativ

In einem kleinen Dorf wo jeder jeden kennt, schließt niemand seine Haustür ab, wenn er aus dem Haus geht. In der Großstadt wäre das wahrscheinlich ein Fehler, denn hier leben viel mehr Menschen und darunter sind auch solche mit unlauteren Absichten, die sich in der Masse verstecken.

Bei WordPress ist das ganz ähnlich. Weil WordPress sehr weit verbreitet ist und es viele WordPress-Installationen gibt, sind diese Installationen ein lohnendes Ziel. Einfach weil es so viele davon gibt. Die Chance ist groß, dass sich in der großen Masse ungepflegte Systeme finden, die einmal installiert und dann vergessen wurden. Die mit einfachen wirkungslosen Passwörtern abgesichert sind und bei denen niemand jemals ein Update gemacht hat.

Die Ziele der Hacker

Weiterlesen Ist WordPress sicher?

Local von Flywheel und MAMP 4.x im Schnell-Vergleich

Diesen Artikel habe in ursprünglich im Oktober 2016 geschrieben. Inzwischen ist viel passiert, so dass ich die Informationen noch einmal aktualisiert habe.

Local von Flywheel hat in der Zwischenzeit mehrere Updates bekommen. Leider haben die Entwickler beim letzten Update den Volumes Manager vergessen. („Sorry for the inconvenience! We underestimated the amount of people using this add-on.“ Tja, so verspielt man Vertrauen.)

Mit dem Volumes Manager konnte man Themes und Plugins in je einem Verzeichnis für alle Hosts zentral verwalten. Alle Installationen greifen dann auf dieselben Themes und Plugins zu, es gibt keine Doubletten und unklaren Versionszustände.
Flywheel hat zwar auf Github einen Fix für das Mapping AddOn nachgeliefert, aber der läuft bei mir nicht zuverlässig. Nach vielen Stunden Fehlersuche musste ich einsehen, dass das AddOn einfach nicht sauber arbeitet.

Ich habe ich mich entschieden zurück zu MAMP zu gehen. Local war superschnell und komfortabel. Aber ein Tool, das mich mitten in der Arbeit für Kundenprojekte für viele Stunden ausbremst und dann keine brauchbare Lösungen hat, das kann ich nicht gebrauchen. Dafür sind diese Setups zu wichtig.
Kommt dazu, dass Flywheel’s Hauptgeschäft das Hosting ist und Local ist ein Baustein in ihrem Business. Es ist z.B. nicht möglich, eine externe Seite zu klonen und in Local rüberzukopieren. Ich hab’s jedenfalls nicht geschafft. Für Flywheel-Kunden gehen solche Sachen selbstverständlich ganz einfach.

Das Mapping von Verzeichnissen z.B. für Themes und Plugins, kriegt man bei MAMP Pro übrigens auch hin (Über Symlinks, die man übers Terminar erzeugt hier ein Artikel dazu)

UPDATE 3. Dezember 2016
Pressmatic wurde von Flywheel aufgekauft und heisst jetzt Local by Flywheel. Die Software ist ab sofort kostenlos und Ihr könnt sie hier herunterladen.

Was ist Local?
Local tut das Gleiche wie MAMP, es ist eine Serverumgebung für lokale Rechner. Man kann damit WordPress lokal auf seinem Rechner installieren.
Weiterlesen Local von Flywheel und MAMP 4.x im Schnell-Vergleich

Eine CSS-Datei ausmisten und überflüssigen Code entfernen

Wenn ich mir eine CSS-Datei anschaue, die ich vor fünf Jahren geschrieben habe, wird mir anders. Aber das ist ein gutes Zeichen, denn wenn es nicht so wäre, hätte ich in der Zwischenzeit nichts gelernt.
Also tief durchatmen und einmal kräftig entrümpeln.

Es gibt einige Möglichkeiten, über Browser-Extensions oder über die Chrome Developer Tools herauszufinden, welches CSS auf einer Seite gerade nicht verwendet wird. Aber diese Methode taugt nur für einen schnellen, ersten Überblick. Denn anschließend müsste man das überflüssige CSS mühsam per Hand mit der CSS-Datei abgleichen. Kommt dazu, dass man nur das Ergebnisse für die aktuell aufgerufene Seite sieht.

Wir brauchen also ein kluges Script, das in der Lage ist, mehrere Seiten durchzugucken und das ein praxistaugliches Ergebnis in Form einer „bereinigten“ CSS-Datei ausspuckt.

Ausmisten mit Uncss

Ein Script, das das sehr gut macht, ist uncss von Giacomo Martino.

Ich habe mich für die Gulp-Variante entschieden. Geht aber auch via Grunt und npm.
Und so geht’s:

  1. Gulp und uncss installieren (falls nicht schon vorhanden)
  2. Im Theme-Verzeichnis einen Ordner namens uncss anlegen. Dort landet später die bereinigte CSS-Datei, die uncss erzeugt hat. Das Verzeichnis kann auch anders heissen, der Name wird im gulpfile.js angegeben.
  3. Das gulpfile.js erzeugen (Beispiel s.u.) und in das Verzeichnis legen, in dem man arbeiten will. Also z.B. das Verzeichnis, das das WordPress-Theme enthält.
  4. Per Terminal in dieses Verzeichnis navigieren und gulp tippen – und ab geht die Post.
    Das Ergebnis ist eine verschlankte CSS-Datei im Verzeichnis uncss.

Inhalt gulpfile.js

var gulp = require('gulp');
var uncss = require('gulp-uncss');

gulp.task('default', function() {
  return gulp.src([
  //Pfad zur CSS-Datei, die entruempelt werden soll
      '/Users/kirsten/Sites/my-blog/wp-content/themes/my-blog-theme/style.css',
      //hier kann noch ein Pfad hin
    ])
    .pipe(uncss({
     //URLs der Seiten, die das Script durchgucken soll

      html: [
        'http://my-blog.local/',
        'http://my-blog.local/category/tipps-und-tricks/',
        'http://my-blog.local/some-post/headline/',
        'http://http://my-blog.local/category/stories/',
  
      ]
    }))
    .pipe(gulp.dest('uncss/'));
});