WordPress absichern

Ist WordPress sicher? Das ist eine der Fragen, die mir am häufigsten gestellt werden. Meine Antwort hat sich in den letzten Jahren nicht wesentlich verändert:
Ja, WordPress ist meiner Meinung nach sicher.

Aber keine Website ist ganz von alleine sicher. Genauso viel oder wenig wie jeder beliebige Computer oder alle anderen Redaktionssysteme da draußen. Es gibt ein paar Regeln, die man beachten muss. Die sind allerdings nicht besonders kompliziert und können leicht umgesetzt werden.

Vor wem muss ich meine WordPress-Website schützen?

Erst einmal vor mir selbst. Also vor allem, was ich, die Person vor dem Bildschirm, auslöse. Das können fehlerhafte Updates von Plugins oder Themes sein. Oder Fehler im Code sein, die ich selbst eingebaut habe. Und vieles mehr.

Dann sind da noch Angriffe von außen. WordPress ist das Redaktionssystem mit der größten Verbreitung. Deshalb ist es auch ein System, das sehr häufig attackiert wird.
Es sind allerdings keine Menschen, die vor ihrem Rechner sitzen und gezielt versuchen, eine bestimmte Website zu knacken. Es sind Bots, die das Web nach WordPress-Installationen abgrasen.

Wird eine Website angegriffen, geht es so gut wie nie um einen persönlichen Angriff. Und es geht auch nicht darum, Daten aus der Website zu klauen. Aber eine gehackte Website kann für vielerlei Ungutes oder Kriminelles eingesetzt werden.

Weiterlesen WordPress absichern

Accessibility-ready WordPress-Themes

Momentan ist Barrierefreiheit (noch) keine verpflichtende Eigenschaft für Themes, die im offiziellen Theme-Verzeichnis gelistet werden. Aber es gibt im Theme-Verzeichnis das Tag „accessibility-ready“.

Accessibility-ready Themes erfüllen die wichtigsten technischen Anforderung für Barrierefreiheit wie sie die WAI (Web Accessibility Initiative) in den Web Content Accessibility Guidelines (WCAG) aufgestellt hat.

Wenn ein Theme im WordPress.org-Theme-Verzeichnis unter dem Stichwort „accessibility-ready“ erscheint, erfüllt es folgende Bedingungen:

  1. Die Seite ist per Tastatur bedienbar
  2. Für Bedienelemente (Buttons, Links und Inputs) wird korrektes HTML verwendet
  3. Links sind verständlich und eindeutig gestaltet
  4. Formulare sind barrierefrei aufgebaut
  5. Das HTML ist semantisch korrekt
  6. HTML-Code ist mit Aria Landmarks gegliedert
  7. Es werden geeignete Farben und gute Kontraste gewählt
  8. Bilder und Medien sind für Seh- und Hörbehinderte zugänglich

In diesem Artikel schauen wir uns die Bedingungen für ein accessibility-ready Themes an und erklären, worum es dabei geht. Alle WordPress-Standard-Themes der Twenty-Reihe sind übrigens accessibility-ready.

1. Bedienbarkeit per Tastatur

  • Alle Links, Buttons und Formularfelder sind über die Tastatur erreichbar, auch Links in Dropdown-Submenüs. Die Enter-Taste aktiviert einen Link oder einen Button, die Leertaste aktiviert Checkboxen und Buttons. Die Pfeiltasten wählen Formular- und Bedienelemente an, z.B. Radio-Buttons, Auswahlfelder, Slider, Reiter oder Menüs mit Baumstruktur. Auch Autocomplete-Vorschläge sind per Pfeiltasten anwählbar.
  • Die style.css enthält die Angaben für a:focus: So können die Besucher erkennen, welches Element sie mit dem Tab gerade angewählt haben.
  • Das CSS für Screenreader-Texte ist so definiert, dass die Texte bei :focus sichtbar werden.
  • Die Tabulator-Reihenfolge wird nicht verändert.
  • Ein Skip-to-Content-Link, der bei :focus sichtbar wird, führt direkt zum zentralen Inhalt.

2. Korrektes HTML für Bedienelemente

  • Die HTML-Elemente button und a sind nicht austauschbar. Ein Button triggert eine JavaScript-Aktion oder ist Teil eines Formulars. Ein Link ist – ein Link und verweist auf eine interne oder externe URL.
  • Soll ein Link wie ein Button aussehen, kommt das Attribut role=”button” ins Spiel. Im HTML steht aber nach wie vor ein a.
  • Damit die Besucher mit Screenreader wissen, welche Funktion ein Element hat, sind manche Bedienelemente mit zusätzlichen Informationen ausgestattet. Das ist gerade bei Buttons wichtig. Auch Links, die eine bestimmte Aktion auslösen – wie z.B. der Edit-Link, die Post-Navigation oder zusätzlichen Menüs – haben ergänzende Screenreader-Texte.
Weiterlesen Accessibility-ready WordPress-Themes

Das Plugin WP-Accessibility

Wer sich mit Barrierefreiheit und WordPress beschäftigt, begegnet früher oder später dem Plugin WP Accessibility von Joe Dolson. Ich habe mir angeschaut, was das Plugin macht und was man damit erreichen kann.

Das Plugin WP Accessibility ist für Seiten gedacht, die ein Theme nutzen, das nicht schon „von Haus aus“ accessibility-ready ist und das ein Stück barrierefreier werden soll.
Je nachdem wo das Theme noch Lücken hat kann man mit dem Plugin folgende Eigenschaften ergänzen:

  • Skip-links einbauen für die Navigation per Tastatur
  • ARIA landmark roles
  • Labels hinzufügen für das WordPress-Such-Formular
  • Target-Attribute aus Links entfernen (Links nicht in einem neuen Fenster öffnen)
  • Änderungen im Tabindex entfernen
  • Links immer unterstrichen darstellen
  • Überflüssige Title-Attribute entfernen
  • CSS für a:focus nachrüsten (wichtig für die Tastatur-Navigation)
  • Lange Beschreibungen für Bilder erlauben
  • Post-Titles für „read more“ Links ergänzen

Das Plugin installiert ausserdem zwei Toolbars, mit denen man die Schriftgröße und die Farb-Kontraste verändern kann. Ich persönlich empfinde das eher als Spielerei – die Toolbars tun nichts auf Code-Ebene, es verändert sich nur kurzfristig die Darstellung.

Weiterlesen Das Plugin WP-Accessibility

Gutenberg und klassische Blogs

In einem bekannten Blog aus der deutschen Bloggerszene entspann sich letztlich eine Diskussion über den Sinn oder Unsinn von Gutenberg für ein „klassisches“ Blog. Damit ist gemeint: Ich schreibe einen Text, setze ein paar Überschriften und füge ab und zu ein Bild ein. 

Viele Bloggerinnen* sind dabei durchaus mutig, sie haben spontan das Update auf WordPress 5.0 gemacht, weil sie sehen wollten, wie das so ist mit diesem neuen Editor. Sie sind bereit, sich damit auseinanderzusetzen, was da Neues kommt. 

Allerdings kam ebenso spontan Unmut auf. Die Oberfläche wird als unübersichtlich und kompliziert empfunden. Das Schreiben eines Artikels wird als deutlich mühsamer als zuvor wahrgenommen. Die Bloggerinnen ziehen den Schluss, der neue Editor sei wohl nicht für Blogs gedacht. Die seien den Entwicklern womöglich nicht so wichtig.
* Blogger sind selbstverständlich mit gemeint.

Weiterlesen Gutenberg und klassische Blogs