mPress – Service Details

Die perfekte Standard-Konfiguration, -Abhärtung, -Optimierung und Abläufe für jede WordPress-Site

Die wichtigste Sicherheits-Einstellung ist gar keine, nämlich die Verwendung eines sicheren Passworts für den WordPress-Admin. Mit einem leicht zu erratendem Passwort nützen die teuersten Security-Plugins, Firewalls und sonstigen Sicherheits-Konfigurationen nix.

Die Folgen einer durch unbefugte Dritte gekaperte Site sind üblicherweise Entstellung der Website zB. durch fragwürdige Werbung, Umleitung der Domain beim Seiten-Aufruf, Verbreitung von Viren und Spam.

Doch auch mit einem sicheren Passwort gibt es einige restliche Schwachstellen, die es zu beheben gilt. Eine hundertprozentige Sicherheit gibt es natürlich nicht, doch lässt sich mit einigen Maßnahmen das Risiko einer gehackten WordPress-Site deutlich senken.

Mit jeder Site, die uns anvertraut wird, nehmen wir eine Reihe von Einstellungen vor, teilweise durch Modifizierung der wp-config.php und htaccess im Dateisystem. Die meisten davon sind Sicherheits-relevant, andere verbessern das Benutzererlebnis für Website-Besucher, Nutzer und Admins.

Abgesehen von den technischen und inhaltlichen Aspekten sollte auch je nach Branche geklärt werden, ob die gewünschte Webseiten-Adresse bzw. der Domain-Name genutzt werden kann. Dieser Aspekt kann marken- und patentrechtliche Maßnahmen nach sich ziehen, sollten z.B. Fantasie-Namen in Betracht kommen. Bei Personen-Marken ist der Aufwand deutlich geringer.

Nachfolgend liste ich im Detail auf, welche Maßnahmen wir ergreifen:

0. Installation

Sollte noch keine eigene Website bestehen oder eine bestehende Website von einem anderen System zu WordPress „portiert“ werden, wird als erstes ein frisches WordPress aufgesetzt. Dies kann bei einem Webhosting-Anbieter der Wahl geschehen, oder direkt bei Macbay.

Bei einer frischen Installation muss noch eine eigene Domain ausgewählt und registriert werden, bzw. dafür gesorgt werden, dass unter einer bestehenden Domain künftig die WordPress-Website erreichbar ist.

Bei der Gelegenheit sollte auch ein E-Mail-Konto ausgewählt sein bzw. angelegt werden, unter dem die Besucher und Nutzer der Website künftig interagieren. Doch aufgepasst: „normale“ Mail-Server sind selten für den Versand von Newslettern ausgelegt, vor allem bei den klassischen Hosting-Anbietern. Dazu mehr weiter unten.

1. Anpassung der Grundeinstellungen

Alle Sites

  • Avatare deaktivieren oder bei Bedarf anonymisieren
  • Permalinks optimieren
  • Backup auf entfernten SFTP-Server einrichten
  • SSL prüfen & automatische Umleitung über HTTPS einrichten
  • Mail-Versand über SMTP konfigurieren

Nur auf Entwicklungs-Sites

  • „Coming Soon“ Seite einrichten
  • Suchmaschinen-Indizierung deaktivieren

2. Abhärtung

  • Firewall einrichten und konfigurieren
  • Malware-Scan durchführen – nur bei Übernahme bestehender WP-Sites
  • Security Headers konfigurieren
  • Alarm-System & Benachrichtigungen konfigurieren
  • Diverse Sicherheits-Optimierungen
    • Hide error-reporting, WP-version, version information for scripts & stylesheets
    • Prevent PHP execution, information disclosure, directory listing & User enumeration
    • Disable file-editor (themes & plugins), disable XML/RPC, trackbacks & pingbacks, database & PHP error reporting
    • Remove RSD & WLW meta tags
    • Anti-Spam konfigurieren – Kommentare sowie E-Mail-Adresse in Impressum & DSE verschleiern
    • Update old security keys – nur bei Übernahme

3. Website strukturieren – Navigation, Inhalte, Design & Interaktions-Möglichkeiten planen und kreieren

Dieser Bereich wird noch ergänzt, da nicht unser Kerngebiet, sondern das der Website-Betreiber selbst, bzw. ihrer Designer, Autoren und Konzeptionisten.

4. Onpage-Optimierung

  • Zielgruppen analysieren bzw. erfassen
  • User-Journey – Abläufe & Website-Struktur analysieren bzw. erfassen
  • Abläufe & Struktur optimieren
  • Logo & Webdesign – Elemente prüfen bzw. optimieren
  • Inhalte prüfen bzw. optimieren
  • Rechtstexte prüfen bzw. optimieren
  • Cookie-Consent-Banner konfigurieren – optional

5. Optimierung der Ladezeiten

  • Site Google PageSpeed anlegen und konfigurieren
  • PageSpeed Monitoring konfigurieren
  • Bild-Optimierungs-Dienst konfigurieren
  • Caching konfigurieren (LiteSpeed, Swift oder WP Performance)
  • Optimierung der Assets-Load auf langsamen Seiten

6. Website veröffentlichen

Pre-Launch Check

  • Sämtliche Abläufe (User Journeys) testen
  • Darstellung und Abläufe auf mobilen Endgeräten testen
  • Suchmaschinen-Indizierung erlauben
  • SEO Analyse & Einrichtung eines Ranking-Tracking-Systems
  • Performance-Lasten-Tests durchführen – Anzahl gleichzeitiger Besucher & Nutzer
  • Coming-Soon-Seite durch Home-Page ersetzen
  • Domain-Umzug – wenn die Entwicklung auf einer alternativen Domain stattfand
  • Laufendes Monitoring, Wartung und Berichtwesen einrichten

Post-Launch Check

  • Bekanntmachung der Website (Verzeichnisdienste, Communities & Netzwerk, Friends & Family, Suchmaschinen u.v.m.)
  • Tracking testen
  • A/B-Tests konfigurieren
  • Redaktionsplanung für Inhalte
  • SEO Maßnahmen definieren

7. Laufendes Monitoring, Pflege & Wartung

Sicherheit

  • Tägliche Remote-Backups konfigurieren
  • Tägliche Malware Scans konfigurieren
  • Uptime Monitoring konfigurieren
  • Blocklist Monitoring konfigurieren
  • Verfügbarkeit von Updates prüfen – nach Bedarf / Budget täglich bis monatlich
  • Sichere Updates durchführen & testen
  • Benachrichtigungs-System bei Warnungen konfigurieren

Sales & Marketing

  • SEO Maßnahmen umsetzen
  • Conversion-Rate laufend optimieren
  • Neue Inhalte erstellen und verbreiten
    • Ads, Networking, Kooperationen etc.

8. E-Mail-Marketing

Die meisten Provider limitieren die Anzahl der stündlich zu versendenden Nachrichten, um das Reputations-Risiko zu minimieren. Denn sollte von einem Hosting-Server Spam versendet werden – was leicht passieren kann, wenn zuvor nicht alles dafür unternommen wurde, dies zu unterbinden – würden sämtliche E-Mail-Konten auf dem gleichen Server Probleme mit der Zustellung bekommen. Der Konfigurations-Aufwand für Massenversendungen ist entsprechend hoch.

Dazu kommt, dass Mails von neu eingerichteten Versand-Servern weltweit zunächst „misstraut“ werden. Der gleichzeitige Versand von 1000 Mails von einer neuen E-Mail-Adresse und von einem neu eingerichteten bzw. weniger bekannten Mail-Server bzw. IP-Pool hat in der Regel eine schlechtere Zustellrate im Vergleich zu spezialisierten Mailing-Anbietern.

Um einen DSGVO-freundlichen Mailing-Versand für die eigene E-Mail-Adresse zu gewährleisten, sollte daher ein entsprechender Versand-Spezialist genutzt werden, z.B. Quentin, Klick-Tipp, CleverReach, MailerLite, SendinBlue etc. Wer es allerdings ganz genau mit der DSGVO nimmt, sollte genau prüfen, ob denn diese Anbieter, gleichwohl sie in der EU beheimatet sind, ihre eigene Infrastruktur streng nach der DSGVO betreiben. Denn viele setzen die beliebten und kostengünstigen Amazon Web Services (AWS) ein, deren Nutzung nach Wegfall des Privacy Shield Abkommens der EU im Juli 2020 durchaus als kritisch betrachtet werden kann.

Wir setzen auf unseren Kundenseiten momentan die Sending-Services des französischen Anbieters MailPoet ein, da diese ihre eigene Mail-Server-Infrastruktur nutzen. Im Dezember allerdings wurde das Unternehmen von einer US-Firma gekauft, daher beobachten wir, ob und wenn, dann wann der Betrieb und Hauptsitz von MailPoet nicht mehr wie bisher in Frankreich, sondern in den USA angesiedelt werden. In dem Fall würden wir zu einem alternativen Mailing-Anbieter wechseln.

9. Rechtliches

  • DSGVO Check-up
  • Cookie-Banner prüfen