Die perfekte Standard-Konfiguration, -Abhärtung, -Optimierung und Abläufe für jede WordPress-Site

Die wichtigste Sicherheits-Einstellung ist gar keine, nämlich die Verwendung eines sicheren Passworts für den WordPress-Admin. Mit einem leicht zu erratendem Passwort nützen die teuersten Security-Plugins, Firewalls und sonstigen Sicherheits-Konfigurationen nix.

Wenn unbefugte Dritte deine Website kapern, können die Folgen sehr unangenehm sein und deine Website auf externe Seiten (Casino u.a.) umgeleitet oder anderweitig entstellt werden. Im schlimmsten Fall werden heimlich Viren an die Besucher verteilt oder Bots installiert, was erhebliche Schadensersatzforderungen nach sich ziehen kann.

Doch auch mit einem sicheren Passwort gibt es weitere Schwachstellen, die es zu beheben gilt, angefangen bei der Auswahl vom Theme und der Plugins, bis hin zur Auswahl des Hosting-Anbieters. Eine hundertprozentige Sicherheit gibt es natürlich nicht, doch lässt sich mit einigen Maßnahmen das Risiko einer gehackten WordPress-Site deutlich senken.

Installation, Abhärtung und Grundkonfiguration bei Macbay

Mit jeder Site, die uns anvertraut wird, nehmen wir eine Reihe von Einstellungen vor, teilweise durch Modifizierung der wp-config.php und htaccess im Dateisystem. Die meisten davon sind Sicherheits-relevant, andere verbessern das Benutzererlebnis für Website-Besucher, Nutzer und Admins.

Abgesehen von den technischen und inhaltlichen Aspekten sollte auch je nach Branche geklärt werden, ob die gewünschte Webseiten-Adresse bzw. der Domain-Name genutzt werden kann. Dieser Aspekt kann marken- und patentrechtliche Maßnahmen nach sich ziehen, sollten z.B. Fantasie-Namen in Betracht kommen. Bei Personen-Marken ist der Aufwand deutlich geringer.

Nachfolgend liste ich im Detail auf, welche Maßnahmen wir ergreifen:

0. Installation

Sollte noch keine eigene Website bestehen oder eine bestehende Website von einem anderen System zu WordPress „portiert“ werden, wird als Erstes ein frisches WordPress aufgesetzt. Dies kann bei einem Webhosting-Anbieter der Wahl geschehen, oder direkt bei Macbay.

Bei einer frischen Installation muss noch eine eigene Domain ausgewählt und registriert werden, bzw. dafür gesorgt werden, dass unter einer bestehenden Domain künftig die WordPress-Website erreichbar ist.

Bei der Gelegenheit sollte auch ein E-Mail-Konto ausgewählt sein bzw. angelegt werden, unter dem die Besucher und Nutzer der Website künftig interagieren. Doch aufgepasst: „normale“ Mail-Server sind selten für den Versand von Newslettern ausgelegt, vor allem bei den klassischen Hosting-Anbietern. Dazu mehr weiter unten.

1. Anpassung der Grundeinstellungen

Alle Sites

  • Avatare deaktivieren oder bei Bedarf anonymisieren
  • Permalinks optimieren
  • Backup auf entfernten SFTP-Server einrichten
  • SSL prüfen & automatische Umleitung über HTTPS einrichten
  • Mail-Versand über SMTP konfigurieren

Nur auf Entwicklungs-Sites / DEV-Sites

  • „Coming Soon“ Seite einrichten
  • Suchmaschinen-Indizierung deaktivieren

2. Abhärtung

  • Firewall einrichten und konfigurieren
  • Malware-Scan durchführen – nur bei Übernahme bestehender WP-Sites
  • Security Headers konfigurieren
  • Alarm-System & Benachrichtigungen konfigurieren
  • Diverse Sicherheits-Optimierungen
    • Hide error-reporting, WP-version, version information for scripts & stylesheets
    • Prevent PHP execution, information disclosure, directory listing & User enumeration
    • Disable file-editor (themes & plugins), disable XML/RPC, trackbacks & pingbacks, database & PHP error reporting
    • Remove RSD & WLW meta tags
    • Anti-Spam konfigurieren – Kommentare sowie E-Mail-Adresse in Impressum & DSE verschleiern
    • Update old security keys – nur bei Übernahme

3. Website strukturieren – Navigation, Inhalte, Design & Interaktions-Möglichkeiten planen und kreieren

Eigentlich schon bevor die Basics (0-2) erledigt sind, sollte man sich genau überlegen, wen genau die Website ansprechen soll, wer die Zielgruppe ist, welche Probleme oder Bedürfnisse der Zielgruppe durch meine Angebote gelöst oder befriedigt werden können.

Hieraus entwickeln wir dann die User-Journeys, definieren wir Touchpoints und konzipieren eine grobe Struktur in Form eines Wireframes. Sobald auch das Logo, Branding, Content und Design der Website in Form von Mockups oder ähnlichen Formaten vorliegen, geht’s an die eigentliche Entwicklung auf der zuvor vorkonfigurierten WP-Site.

4. Onpage-Optimierung

  • Zielgruppen analysieren bzw. erfassen
  • User-Journey – Abläufe & Website-Struktur analysieren bzw. erfassen
  • Abläufe & Struktur optimieren
  • Logo & Webdesign – Elemente prüfen bzw. optimieren
  • Inhalte prüfen bzw. optimieren
  • Rechtstexte prüfen bzw. optimieren
  • Cookie-Consent-Banner konfigurieren – optional

5. Optimierung der Ladezeiten

  • Site Google PageSpeed anlegen und konfigurieren
  • PageSpeed Monitoring konfigurieren
  • Bild-Optimierungs-Dienst konfigurieren
  • Caching konfigurieren (LiteSpeed, Swift oder WP Performance)
  • Optimierung der Assets-Load auf langsamen Seiten

6. Website veröffentlichen

Pre-Launch Check

  • Sämtliche Abläufe (User Journeys) testen
  • Darstellung und Abläufe auf mobilen Endgeräten testen
  • Suchmaschinen-Indizierung erlauben
  • SEO Analyse & Einrichtung eines Ranking-Tracking-Systems
  • Performance-Lasten-Tests durchführen – Anzahl gleichzeitiger Besucher & Nutzer
  • Coming-Soon-Seite durch Home-Page ersetzen
  • Domain-Umzug – wenn die Entwicklung auf einer alternativen Domain stattfand
  • Laufendes Monitoring, Wartung und Berichtwesen einrichten

Post-Launch Check

  • Bekanntmachung der Website (Verzeichnisdienste, Communities & Netzwerk, Friends & Family, Suchmaschinen u.v.m.)
  • Tracking testen
  • A/B-Tests konfigurieren
  • Redaktionsplanung für Inhalte
  • SEO Maßnahmen definieren

7. Laufendes Monitoring, Pflege & Wartung

Sicherheit

  • Tägliche Remote-Backups konfigurieren
  • Tägliche Malware Scans konfigurieren
  • Uptime Monitoring konfigurieren
  • Blocklist Monitoring konfigurieren
  • Verfügbarkeit von Updates prüfen – nach Bedarf / Budget täglich bis monatlich
  • Sichere Updates durchführen & testen
  • Benachrichtigungs-System bei Warnungen konfigurieren

Sales & Marketing

  • SEO Maßnahmen umsetzen
  • Conversion-Rate laufend optimieren
  • Neue Inhalte erstellen und verbreiten
    • Ads, Networking, Kooperationen etc.

8. E-Mail-Marketing

Die meisten Provider limitieren die Anzahl der stündlich zu versendenden Nachrichten, um das Reputations-Risiko zu minimieren. Denn sollte von einem Hosting-Server Spam versendet werden – was leicht passieren kann, wenn zuvor nicht alles dafür unternommen wurde, dies zu unterbinden – würden sämtliche E-Mail-Konten auf dem gleichen Server Probleme mit der Zustellung bekommen. Der Konfigurations-Aufwand für Massenversendungen ist entsprechend hoch.

Dazu kommt, dass Mails von neu eingerichteten Versand-Servern weltweit zunächst „misstraut“ werden. Der gleichzeitige Versand von 1000 Mails von einer neuen E-Mail-Adresse und von einem neu eingerichteten bzw. weniger bekannten Mail-Server bzw. IP-Pool hat in der Regel eine schlechtere Zustellrate im Vergleich zu spezialisierten Mailing-Anbietern.

Um einen DSGVO-freundlichen Mailing-Versand für die eigene E-Mail-Adresse zu gewährleisten, sollte daher ein entsprechender Versand-Spezialist genutzt werden, z.B. Quentin, Klick-Tipp, CleverReach, MailerLite, SendinBlue etc. Wer es allerdings ganz genau mit der DSGVO nimmt, sollte genau prüfen, ob denn diese Anbieter, gleichwohl sie in der EU beheimatet sind, ihre eigene Infrastruktur streng nach der DSGVO betreiben. Denn viele setzen die beliebten und kostengünstigen Amazon Web Services (AWS) ein, deren Nutzung nach Wegfall des Privacy Shield Abkommens der EU im Juli 2020 durchaus als kritisch betrachtet werden kann.

Wir setzen auf unseren Kundenseiten momentan die Sending-Services des französischen Anbieters MailPoet ein, da diese ihre eigene Mail-Server-Infrastruktur nutzen. Im Dezember allerdings wurde das Unternehmen von einer US-Firma gekauft, daher beobachten wir, ob und wenn, dann wann der Betrieb und Hauptsitz von MailPoet nicht mehr wie bisher in Frankreich, sondern in den USA angesiedelt werden. In dem Fall würden wir zu einem alternativen Mailing-Anbieter wechseln.

9. Rechtliches

  • DSGVO Check-up
  • Cookie-Banner prüfen
ORDER mCloud 01

Mit Klick auf den "Jetzt mCloud bestellen" Button bestätige ich meine Kenntnisnahme der AGB und stimme ihnen zu. Ich bestätige mit diesem Klick, dass ich die Widerrufsbelehrung zur Kenntnis genommen habe.

MailPoet Umstellung
mPress Support 15 Min

mPress Support - Bestellformular

Damit wir die Prüfung durchführen können, laden Sie bitte unser "mPress-Admin" Plugin herunter, installieren und aktivieren es auf Ihrer WP-Site. Anschließend bestätigen Sie bitte die Aktivierung über die Mail mit der Auftragsbestätigung.

Wir berechnen den mPress-Support mit 25 € zzgl. 19% MwSt. je Viertelstunde bei minutengenauer Abrechnung. Es gelten unsere AGB & Datenschutzbestimmungen.

ORDER mHost Litespeed Registrierung
  • Zurück
  • Weiter

Hier Verfügbarkeit prüfen (neues Fenster):

Die zusätzlichen Dienste sind nicht in dieser Bestellung enthalten. Ein Kundenbetreuer wird sich bei dir bei melden für weitere Details.

Prüfe mit unserem Domain-Checker, ob deine Wunschdomain verfügbar ist:

[ajaxdomainchecker width=“70%“ button=Check]