Become a Creator today!Start creating today - Share your story with the world!
Start for free
00:00:00
00:00:01
So updatest und schützt du deine WordPress-Websites
20 Plays6 years ago
In dieser Episode erfährst du, warum es sinnvoll ist dir über die Updates deines Content-Management-Systems Gedanken zu machen und wie du die Sicherheit deiner Website optimierst.
Alle 14 Tage neu: Im Podcast für gute Websites gibt dir André Goldmann frische Impulse für mehr Usability, messbare Erfolge und digitale Sichtbarkeit. Jetzt abonnieren und keine Folge mehr verpassen.
- Hast du schon mal daran gedacht, die Updates deiner Plugins erst einmal zu testen bevor du sie auf deiner Live-Website integrierst?
- Erfahre in dieser Episode wie du einen sinnvollen Workflow für deine Updates erarbeiten kannst und welche Plugins André dir zur Absicherung deiner WordPress-Website besonders ans Herz legt
- Mit dem Migrate DB Pro WordPress-Plugin kannst du im Handumdrehen den bestehenden Datenbank-Inhalt in die Testumgebung kopieren, um dort gezielt Neuerungen zu testen: https://deliciousbrains.com/wp-migrate-db-pro/
- Als sinnvoller Hoster hat sich der deutsche Anbieter Raidboxes herausgestellt, der diese Funktion bereits integriert hat: In der angebotenen Testumgebung können risikofrei Updates durchgeführt und Inhalte angepasst werden. Wenn du mit dem Outcome zufrieden bist, können die Daten einfach wieder auf die Live-Website geschoben werden: https://raidboxes.de/
- Neben dem Testing solltest du auch die Prophylaxe nicht aus den Augen verlieren: André empfiehlt dir deshalb BackupBuddy und iThemes Security Pro, um problematischen Szenarien zu vermeiden und deine WordPress-Website stabil zu halten. https://ithemes.com/purchase/backupbuddy/ , https://ithemes.com/security/
- Den letzten Schliff bringt dir WP Security Audit Log: Dieses Plugin gibt dir einen Überblick über alle Änderungen die User auf deiner WordPress vornehmen und lässt dich folglich auch aufmerksam werden, falls die Gefahr eines Datenlecks besteht: https://www.wpsecurityauditlog.com/
Nun viel Spaß beim Zuhören und Absichern deiner Website. Wie immer gilt, deine Fragen und Anregungen kannst du André gerne via podcast@gutewebsites.de oder auf Twitter mit seinem Handle @gutewebsites kontaktieren.
Recommended
Transcript
Einführung und Bedeutung von CMS-Aktualisierungen
00:00:00
Speaker
In dieser Episode lernst du, warum Content Management System Updates für dich enorm wichtig sind, wie du die wichtigsten Updates herauskriegen kannst, wie du am besten einen Workflow aufbaust, um regelmäßig Updates durchführen zu können und letztendlich auch mit welchen Plugins ich hier bei WordPress arbeite. Viel Spaß bei dieser Episode.
00:00:34
Speaker
einen schönen guten Morgen, Mittag, Abend, wann auch immer du diese Episode vom Podcast für gute Websites hörst.
Risiken veralteter Plugins und Sicherheitsmaßnahmen
00:00:41
Speaker
Ich heiße dich herzlich willkommen. Mein Name ist André Goldmann und heute sollst du mal erfahren, wie ich meine Content Management Systeme update, warum ich das für essentiell wichtig erachte und warum es die Existenz deiner Website unter Umständen bedrohen könnte, sofern du deine Updates nicht regelmäßig durchführst.
00:01:01
Speaker
Ja, vergangene Woche war es mal wieder so weit. Bei mir klingelte das Telefon und es war jemand dran, der ein großes Problem hatte mit seiner Website. Ursprünglich dachte er, die Website wäre irgendwie bei einem Update-Modus hängen geblieben, also klassisch in dem Maintenance-Modus.
00:01:18
Speaker
Er hat mir dann einen Link geschickt und als ich dann drauf gegangen bin, habe ich gesehen, das ist nicht einfach nur ein Wartungsmodusproblem, sondern die Website wurde gehackt. Nach kurzer Recherche habe ich auch herausgefunden, woran das gelegen hat. Das war ein GP
00:01:33
Speaker
Na sag schon, DSGVO-Plugin. Und das führte dann in der Mitte dazu, dass letztendlich da ein Backdoor genutzt wurde, um in diese WordPress-Webseite reinzukommen. Ein Problem, was mal wieder WordPress getroffen hat, das liegt eben auch an der weiten Verbreitung von einem System, aber am Ende kann dir das halt mit jedem Content-Management-System passieren, deren Code du nicht geschrieben hast, was dich auch nicht davor schützt, aber gerade beim Einsatz von fremden Plugins und nicht gereviewten Code
00:02:01
Speaker
da holt man sich eben doch mal das ein oder andere Sicherheitsproblem ins Haus. Und ich habe bei meinen Kunden und auch bei eigenen Projekten einen ganz klar definierten Workflow, der seit Jahren gereift ist und dementsprechend für mich als zumindest ansatzweise sicher gilt. Und ich möchte dir gerne in dieser Episode mal zeigen, wie ich da vorgehe, mit welchem Plugins ich arbeite und in welcher Reihenfolge ich vor allem die Updates mache und auch der Workflow letztendlich abläuft.
00:02:32
Speaker
Die erste Frage, die man sich dabei natürlich stellen muss, sollte ich Updates auf meiner Produktivumgebung durchführen?
Strategien zur sicheren Aktualisierung und Testmethoden
00:02:39
Speaker
Und da muss ich ganz klar sagen, nein. Das Problem ist gar nicht mal so sehr, dass gerade bei, sag ich jetzt mal, bekannten Plugins, wie, wenn wir jetzt mal vom WordPress sprechen, Yoast als Beispiel,
00:02:52
Speaker
oder Advanced Custom Fields oder Deadback als Beispiel. Da kann man zumindest mal mit einer hohen Wahrscheinlichkeit sagen, die wurden auch ausgiebig getestet und die sollten auch halbwegs funktionieren.
00:03:07
Speaker
Das Problem ist nur, wenn du eine Website hast, die in irgendeiner Art und Weise von diesen Plugins abhängig ist. Und ich sag mal so, wenn du WooCommerce nutzt oder auch Gravity Forms, um Leads zu generieren, oder auch Yoast, um deine Meta-Description und deine Meta-Robots entsprechend einzustellen, dann bist du schon in einer gewissen Weise abhängig von der Lauffähigkeit von diesen Plugins. Stellen wir uns mal vor, Yoast hat ein großes Problem bei einem Update, das ist jetzt nur exemplarisch.
00:03:34
Speaker
Und das führt dann dazu, dass deine Meta-Robots nicht mehr sauber funktionieren oder vielleicht im schlimmsten Fall sogar dazu führen, dass Seiten, die vorher auf Index waren, jetzt auf Noindex sind und Google kommt zu dir, crawlt deine Website und stellt dann auf dem Server fest, die wollen gar nicht mehr im Index sein, dann nehmen wir die mal raus.
00:03:52
Speaker
Und das ist eine Money-Side von dir. Ich glaube, da sind wir uns beide einig, das wäre sehr, sehr unschön und das würde eben auch dazu führen, dass ein großes wirtschaftliches Problem bei dir eintreten kann.
00:04:05
Speaker
Und deswegen ist es eben essentiell wichtig, dass selbst bei den großen Plugins so bekannt sie auch sind und mit so viel Manpower da auch letztendlich gearbeitet wird. Es ist für dich enorm wichtig, dass du dich nicht einfach darauf verlässt, dass die das schon richtig machen. Weil am Ende, das wird dir niemand zahlen, wenn es da ein Problem gab und die Yoast Exemplare schon gar nicht. Warum auch? Das ist einfach ein Problem.
00:04:32
Speaker
Mit dem musst du umgehen können und natürlich gibt es auch für so eine Probleme entsprechende Lösungen. Und die einfachste Lösung ist die zumindest mal, dass du dir auf dem selben Server, wo deine Website läuft bereits, noch eine zweite Website-Umgebung einrichtest. Man spricht dann auch von einer sogenannten Staging-Umgebung. Das heißt, man hat da eine gespiegelte Website, deiner Website.
00:04:56
Speaker
auf der man erst mal solche Updates durchtestet, ob alles funktioniert, ob alle Funktionen noch so sind, wie sie im Vorfeld waren und insofern da irgendwelche neuen Funktionen dazugekommen sind, was die letztendlich für einen Einfluss auf bestehende Komponenten deiner Website haben. Das muss natürlich getestet werden.
00:05:14
Speaker
Das bedeutet aber auch, dass du die natürlich durchlesen musst im Changelog des jeweiligen Plugins. Was wurde hier eigentlich gemacht? Das ist eine Sache, die ich bei vielen Projekten schon gesehen habe, dass sie ganz selten mal durchgelesen wurden, obwohl zumindest bei den großen Plugins es immer einen Changelog gibt, wo man auch genau nachlesen kann, was letztendlich passiert ist.
00:05:35
Speaker
Da schreiben Sie zwar nicht im Detail, wenn Sie einen Bugfix gelöst haben, was jetzt an welcher Codezeile genau passiert ist. Das ist auch relativ uninteressant. Aber da steht auch drin, wenn es eben neue Funktionen gab. Und man muss eben da dann eben schauen, dass wirklich die Funktionen, die jetzt neu sind, nicht Bestehende in irgendeiner Art und Weise beeinträchtigen oder dass Bestehende nicht irgendwie leicht modifiziert worden sind und dazu führen, dass bei dir irgendetwas nicht funktioniert mehr.
Tools zur Verwaltung von Updates und Datenbanken
00:06:00
Speaker
Das musst du einfach durchprüfen, weil du am Ende einfach unter Umständen das Ziel deiner Website gefährt hast, einfach nur durch ein Update, was du gemacht hast, ohne es getestet zu haben. Auf so einer staging Umgebung kannst du nicht nur Plugins testen, da kannst du natürlich auch Seam-Updates testen, sofern dein Content-Management-System Seams
00:06:20
Speaker
Steam Updates unterstützt. Ich kenne das nur vom WordPress, da gibt es das natürlich. Ich denke mal bei Drupal und bei Typo 3 gibt es ähnliche Dinge, die eben auch abseits von Edge Ons oder Plugins aktualisiert werden können. Auch das solltest du wirklich alles im Detail durchprüfen. Gerade bei Themes, wo oftmals dann auch JavaScript-Bibliotheken geupdatet werden, da muss man dann schon sicher sein, dass wirklich alles doch funktioniert bei der bestehenden Website.
00:06:48
Speaker
Auch einen kompletten Core-Update. Jetzt gerade bei WordPress haben wir vor zwei Tagen, am 6. Dezember haben wir pünktlich zu Weihnachten ein kleines Geschenk bekommen. Da ist WordPress 5.0 geupdatet worden oder veröffentlicht worden, sagen wir es mal so.
00:07:03
Speaker
Und bei uns klingelte das Telefon nicht nur einmal, bei Kunden, die einfach mal ihre Website geupdatet haben. Das Ende vom Lied war, dass wirklich in dem Fall oftmals nichts mehr wirklich funktioniert hat, was daran liegt, dass jetzt mit WordPress 5.0 ein neuer Editor dazugekommen ist, der Gutenberg. Und deswegen sollte man hier nicht einfach blind links Update drücken, nur weil es da angezeigt würde, sondern sowas hätte man in einer Testumgebung ohne Probleme feststellen können.
00:07:32
Speaker
Ja, natürlich ist es so, dass so eine Testumgebung auch immer mit den aktuellen Werten laufen sollte. Das heißt, es macht keinen Sinn, dass du dir von deiner Website irgendwann, als du die damals mal entwickelt hast, dann nochmal eine Installation aufgesetzt hast mit dem Inhalt, der quasi zum Zeitpunkt des Launches dastand, sondern du solltest deine Staging-Umgebung im Idealfall immer eins zu eins mit den jeweils aktuellen Inhalten deiner Website haben.
00:08:01
Speaker
Das hat einfach die Gründe, dass du später vielleicht mal neue Funktionen dazu gebaut hast, die dann in deiner Testumgebung nicht vorhanden wären und dann kannst du es entsprechend nicht testen. Und du musst einfach sicher sein, dass wirklich alles funktioniert bei so einem Update und dass wirklich alle Komponenten noch im Einklang sind. Dafür gibt es zumindest bei WordPress ein sehr, sehr elegantes Plugin, was ich seit Jahren im Einsatz habe.
00:08:25
Speaker
Es gibt wirklich keinen Plug-in, dem ich so treu geblieben bin wie dem bis heute. Was nicht daran liegt, dass ich ständig irgendwelche neuen Sachen ausprobieren möchte, sondern weil einfach gewisse Dinge besser gemacht wurden als vorherige, sage ich jetzt mal, Marktführer, Beispiel im Formularbereich.
00:08:43
Speaker
Seit zig Jahren ist da Gravity Forms relativ populär und auch sehr, sehr gut. Aber es gibt auf dem Markt mittlerweile mit Ninja Forms zum Beispiel einige andere, die wirklich sehr, sehr coole und clevere Funktionen in die Formulare reingebaut haben, sodass man hier durchaus mal in Erwägung ziehen könnte, auch umzusteigen.
00:09:02
Speaker
Bei dem Plugin MyGateDB Pro ist es konkurrenzlos. Es gibt keinen auf dem Markt, der das so gut umgesetzt hat wie die. Was macht das gute Plugin? Es kann mir quasi auf Knopfdruck den bestehenden Live-Inhalt der Datenbank in meine Testumgebung ziehen.
00:09:20
Speaker
und ersetzt gleich die ganzen Fahre und auch die URLs, die zum Beispiel bei internen Links gesetzt wurden, mit der jeweiligen URL der Testumgebung. Und da spare ich mir so viel Zeit, weil das sind alles Prozesse, die musste man früher vor langer Zeit eben manuell in der Datenbank machen.
00:09:38
Speaker
Mit einem SQL-Befehl hat man das dann ausgetauscht. Das hat man zwar auch nur einmal gemacht und dann war das Thema vom Tisch, aber das war wieder so eine Komponente, die eben wieder fehleranfällig war. Aber ein Fehler und dann kracht die Datenbank. Zumindest die der Testumgebung und da muss man wieder alles aufbauen. Also es war einfach fehleranfällig. Und mit MigrateDB Pro hat man sich einfach eine ganze Menge an Arbeitszeit gespart.
00:09:58
Speaker
schon alleine eben dadurch, dass es wirklich auf Knopfdruck geht. Man kann da verschiedene Profile anlegen, dass man zum Beispiel sagt, nö, gib mir mal nur die aktuellen Produkte aus meinem WooCommerce-Shop oder gib mir mal nur die neuesten Blogbeiträge oder, oder, oder. Also da hat man wirklich ganz, ganz viele Möglichkeiten und kann auch, und das ist das Smarte an der Geschichte, ich kann auch von meiner Testumgebung die Datenbank in meine Live-Umgebung
00:10:21
Speaker
quasi übertragen.
Erfahrungen mit WordPress-Hosting und Backups
00:10:23
Speaker
Und das ist natürlich ein riesiger Vorteil, weil ich dann in meiner Testumgebung, wenn ich zum Beispiel vorhabe, ein gewisses Landing-Page-Konstrukt komplett neu aufzusetzen, dann kann ich das natürlich nicht in einer Live-Umgebung machen. Aber ich will auch nicht, dass ich irgendwie meine Seite mal für eine halbe Stunde, so wie es der Apple Store mal macht, wenn sie neue Produkte haben, dann ist der für eine halbe Stunde nicht erreichbar, man kann nichts kaufen. Das kann bei einer Website, dürfte das natürlich nicht passieren. Und da kann man eben mit NewGate DB Pro sehr schön arbeiten, man macht alles auf der Testumgebung.
00:10:50
Speaker
Und wenn es da so weit in Ordnung ist, dann packt man das einfach alles mit einem Klick in die Live Website und hat dann auch wirklich alles gleich da, was man da haben muss. Ja, wie der Name schon sagt, MigrateDB. DB steht da für Datenbank.
00:11:07
Speaker
oder Database. Es handelt sich hier nur um die Datenbank-Komponenten. Das bedeutet auch, dass wenn ihr in eurem Plugins irgendwelche Dinge angepasst habt oder auch verändert habt in eurer Testumgebung, das gilt dann auch für Plugin-Updates, dann müsst ihr diese manuell natürlich noch auf der Live-Umgebung durchführen. Aber das ist am Ende, wenn man das über das ganz normale WordPress-Backend löst, auch nur ein Mausklick und
00:11:33
Speaker
Da reden wir dann von 30-40 Sekunden, wo man mal kurzen Wartungsmodus hat. Dann noch eine schnelle Synchronisation mit MigrateDB Pro und dann habe ich eine wirklich wunderbar neue Website auf Basis meiner Testumgebung. Das finde ich auf jeden Fall eine ganz ganz lohnenswerte Sache.
00:11:52
Speaker
So sieht zumindest mal der Prozess aus, wenn man ihn manuell macht. Was ich jetzt vor einiger Zeit gemacht habe, ich bin von meinem Hosting-Anbieter, ich hatte für viele Jahre einen Managed Server bei All Inkl. Davon ziehe ich meinen Hut. In den ganzen Jahren wirklich einen grandios tollen Job gemacht haben im Bereich des Supports.
00:12:14
Speaker
Aber was ich einfach sagen muss, das All Inkle und das betrifft alle Hoster, die es so gibt in meiner Sphäre sag ich jetzt mal, die haben Produkte für alles und nichts. Aber eben nicht spezialisiert auf einen ganz speziellen Fall. Und ich bin jetzt vor ein paar Monaten zu Rateboxes gewechselt.
00:12:35
Speaker
Raidbox ist ein deutscher Anbieter, die sich ausschließlich um WordPress-Hosting-Pakete kümmern. Das heißt, die haben auch nur WordPress-Hosting. Ich kann da nichts anderes hosten, sondern ich kann dort nur meine WordPress-Webseite hosten. Aber, und das ist das Entscheidende, das, was die dort machen, ist wirklich exzellent. Alleine schon, was die Ladezeiten angeht, habe ich dort wirklich, und ich war bei All Inkl wirklich schon gut dabei,
00:13:00
Speaker
Aber das, was die rausgeholt haben, ohne Caching, Add-on, Plugin, WP Rocket und Co., habe ich alles rausgeschmissen. Das behindert das eher noch, dann wird es eher langsamer. Die haben serverseitiges Caching, das ist grandios. Engine X als Serverumgebung, das ist rasend schnell. Aber, und da soll es ja jetzt gar nicht so sehr drum gehen,
00:13:22
Speaker
Was die auch noch haben und auch schon in den kleinsten Paketen für 9 Euro, das ist sagenhaft gut, sie haben eine Staging-Umgebung quasi schon integriert in ihr ganzes Paket. Das heißt, ich kann dort im Backend, wo ich meine Website verwalte, nicht im WordPress-Backend, sondern bei Rateboxes im Dashboard,
00:13:40
Speaker
kann ich eine Staging-Umgebung von meiner bestehenden Website erstellen, auch auf Knopfdruck. Die ist nach 30 Sekunden da, dann ist quasi mein kompletter, meine ganzen Plugins, Seams, also quasi eine zweite WordPress-Installation mit Daten lang allem drum und dran. Dort kann ich dann die entsprechenden Updates durchführen.
00:14:00
Speaker
kann man Inhalte verändern, was ich auch immer ich möchte. Und wenn ich damit zufrieden bin, dann kann ich dort sagen, schieb die Daten live. Und dann ist wirklich, das geht zehn Sekunden, zack, ist alles da. Dann ist die neue Website quasi auf Basis der Testumgebung. Und das alles auf Knopfdruck. Und das lässt sich gar nicht in Summen darstellen. Also wer das regelmäßiger macht, glaubt mir, ich mach das nämlich häufig, das ist wirklich so fehlerlos regelrecht. Also da kann man keine Fehler bei machen.
00:14:29
Speaker
und spart einem noch mal MigrateDB Pro. Das kostet in der Entwicklerlizenz, ich glaube, 200 Dollar zahle ich da im Jahr. Das ist auch notwendig, weil nicht jeder ist bereit, auf einen anderen Server zu gehen. Ich habe einige Kunden, die haben dicke Hosting-Pakete, die sind nicht wirklich schnell, aber das ist aus
00:14:46
Speaker
politischen Gründen teilweise so, die sind dann da und da kann man dann eben nicht sagen, komm, wir gehen mal mit der Website zu Rateboxes oder einem anderen Anbieter, wobei ich jetzt mittlerweile wirklich sagen würde, ich gehe ausschließlich mit meinen Projekten zu Rateboxes, weil alleine schon, wenn es um Performanceoptimierung geht, können wir mit einem Schlag ganz, ganz viele Probleme loswerden. Das ist wirklich grandios gut.
00:15:06
Speaker
Ich kriege da jetzt nichts für, es ist keine Werbung, bestimmt schon Werbung, aber es ist keine bezahlte oder auch keine angefragte. Ich bin wirklich davon überzeugt, dass das ein sehr, sehr guter Dienst ist. Und wenn ich diese Staging-Umgebung erstmal habe, dann kann ich sie auch jederzeit wieder abschalten. Also in dem Moment, wo ich sie nicht mehr brauche, kann ich wieder auf den Knopf drücken, zack, ist die Staging-Umgebung weg. Und da spare ich mir eine ganze Menge Zeit.
00:15:32
Speaker
Aber, und da ging es ja eingangs darum, um mal von diesem Testing ganz kurz wegzugehen, ich denke das Thema, das hat jetzt jeder zumindest mal auf der Agenda, nachdem ich das jetzt lang und breit erklärt habe, gibt es noch so zwei
00:15:48
Speaker
andere Komponenten, die ich für enorm wichtig finde, die oft sehr vernachlässigt werden bei Websites oder bei Website-Betreibern, sagen wir es mal so. Und das ist zum einen eben die Prophylaxe, was die Sicherheitsanstellungen angeht vom Content-Management-System, die Überwachung dieser Einstellungen und letztendlich auch, so simpel das auch klingt, das Thema Backups.
00:16:09
Speaker
Backups scheinen warum auch immer irgendwie weh zu tun. Jedenfalls haben sehr, sehr viele Websites, die ich übernehme, keine automatisierten Backups integriert.
00:16:19
Speaker
Bei Rateboxes ist es so, da sind Backups quasi auf Knopfdruck jederzeit einspielbar. Also ich kann da im Backend sagen, gib mir mal den Stand von vor zwei Tagen, drück drauf und dann ist der in ein paar Sekunden eben auch wieder auf dem Live-System. Also das geht wirklich tadellos. Bei All Inkle hatte ich auch Backup, die lagen auf einer separaten Serverinfrastruktur. Wenn ich da mal ein Backup einspielen wollte, da musste ich ein Ticket schreiben, dann hat sich das irgendjemand da gegriffen.
00:16:46
Speaker
hat dann das Backup eingespielt. Das hat dann aber in der Regel auch noch mal ein bisschen gedauert. Und sag ich mal, in einer Stunde, wenn ich Glück hatte, war dann auch das Backup da. Das ist natürlich, ja, bei einer großen Website, wo wir dann von minütlich mehreren hundert Besuchern sprechen, da reden wir dann echt über Geld. Wenn es jetzt um einen kleinen Blog geht, ist das unschön, aber vor allem nicht mehr notwendig heutzutage. Man sieht es ja an Rateboxes, die haben das auch hingekriegt.
00:17:12
Speaker
Dann sollte das auch jeder andere Anbieter so hinkriegen, gerade weil das Thema Backups einfach wirklich sehr, sehr kostengünstig ist, um das mal so auszudrücken. Weil nämlich, wenn ihr keine Backups habt und ihr wurdet gehackt, warum auch immer,
00:17:29
Speaker
dann wird es teuer. Weil ihr müsst quasi, meistens muss man auch ehrlicherweise so sagen, ist es wie beim Auto würde man sagen ein Totalschaden. Weil einfach die Arbeitszeit, die man investieren würde, um zu schauen, wo letztendlich der Hacker, wenn man das mal so ausdrücken möchte, das sind ja keine Menschen, die euch in der Regel irgendwie persönlich schaden wollen. Es ist auch ein Skipkiddy, was irgendwas da programmiert hat, was dann durch die Bank durchgeht, um irgendwie Traffic zu generieren für seine Projekte.
00:18:00
Speaker
Und ich müsste erstmal schauen, wie sind die überhaupt reingekommen. Das heißt, ich muss erstmal wissen, welche Plugins könnten theoretisch aktuell gefährdet sein. Gut, wenn man da ein bisschen googelt, findet man schon relativ schnell entsprechende Quellen, wo man darüber informiert werden kann. Aber man muss wieder Zeit reinstecken.
00:18:15
Speaker
habe ich die Stelle gefunden, kann ich mich darum kümmern, dass ich die Stelle flicke. Meistens sind es dann Updates, die dann hoffentlich doch kommen von einem jeweiligen Plugin-Anbieter oder Seam-Anbieter, im schlimmsten Fall sogar. Aber dann kann man sie einspielen. Das Problem ist aber gar nicht mal so sehr, dieses Backdoor zu finden und es zu schließen. Das sind meistens gar nicht so viele Stellen. Das Problem ist eher, wo sich der Angriff letztendlich überall breit gemacht hat. Das ist so ein bisschen wie ein
00:18:41
Speaker
wie so ein Virus, der verbreitet sich innerhalb eures Systems an unterschiedlichen Stellen. Und ich habe jetzt nicht die genaue Zahl im Kopf, aber alleine WordPress hat schon einige tausend Dateien, die man durchgeben muss. Da habe ich jetzt ein bisschen übertrieben. Naja, aber es sind auf jeden Fall ein paar hundert, wenn nicht sogar an die tausend oder zwei tausend. Auf jeden Fall sind es eine Menge Dateien,
00:19:00
Speaker
mit einer ganze Menge Zeilen Quellcode, denen man letztendlich durchgehen muss. Ja, auch da kann man natürlich entsprechende Scanner ansetzen. Aber ihr merkt schon, das ist schon wieder ein sehr spezielles Feld. Und da muss ich euch ganz ehrlich sagen, so ein normaler Entwickler hat in der Regel nicht diesen Werkzeugkasten zur Hand, dass er solche Dinge
00:19:19
Speaker
findet, einfach weil es nicht sein täglich Brot ist. Es gibt Unternehmen, die haben sich darauf spezialisiert, nichts anderes zu machen, als eben solche Stellen zu finden, diese auch zu bereinigen. Und wenn ich das in meinen Files fertig habe, dann geht die Arbeit nämlich noch weiter. Da muss ich auch in meiner Datenbahn gucken, ob da vielleicht irgendwie JavaScript in meine WP-Post-Tabelle geschrieben wurde. Also das ist die Tabelle in WordPress, die letztendlich für die
00:19:47
Speaker
Artikel, Beiträge, Produkte, was auch immer du in deiner WordPress-Installation drin hast. Aber auch wenn du ein anderes Content-Management-System hast, irgendwo in deiner Datenbank kann das in die Shard-Code integriert sein, der unter Umständen auch dazu führen kann. Also in erster Instanz erstmal, dass deine Kunden sehr, sehr abgeneigt sind, auf deine Website zu kommen. Also Kundenunzufriedenheit geht rapide nach oben.
00:20:08
Speaker
Ein weiteres Problem ist ganz klar die Suchmaschine. Wenn die feststellen, dass bei dir Malware auf der Website drauf ist, dann zeichnen die das relativ schnell auch in den Suchergebnissen aus. Und glaubt mir, das führt dann auch relativ schnell dazu, dass wenige Leute auf eure Ergebnisse klicken. Das wiederum führt dann dazu, dass ihr unter Umständen Rankings verliert. Und verlieren geht schnell, gewinnen dauert meistens wieder länger.
00:20:29
Speaker
Legt euch Backups an. Für Workplace habe ich auch wieder eine Lösung für euch. Nennt sich BackupBuddy. Ein kostenpflichtiges Plugin, aber in Relation zu dem Preis, den ihr zahlt. Wenn ihr keine Backups habt, immer noch sehr, sehr günstig. Kann ich euch nur empfehlen, das mal zu kaufen.
00:20:47
Speaker
Auch da, ich glaube, es gibt so Jahreslizenzen, es gibt auch irgendwie so eine Lifetime-Lizenz für 200 oder irgendwas Dollar. Aber auch da muss ich dem Entwicklern ein bisschen den Zahn ziehen. Ich benutze das Plugin, obwohl ich eine Lifetime-Lizenz habe, teilweise in der Version, die liegt irgendwie schon ein, zwei Jahre zurück und die funktioniert immer noch tadellos. Jetzt müsste man sofort sagen, warum benutzt du so eine alte Funktion? So ein altes Plugin, das ist doch eventuell gefährdet.
00:21:15
Speaker
Nein, also das ist in der Regel zumindest bei diesem Plug-in ziemlich safe. Es wäre mir nicht bewusst, dass dieses Plug-in mal wirklich ein Backdoor oder irgendwas hatte. Zumindest habe ich noch nie gehört, dass man darüber reingegangen ist, aber muss ich auch hier wieder ein bisschen relativieren. In dem Moment, wo ich sehe, dass dieses Plug-in veraltet war, warum auch immer,
00:21:36
Speaker
bei alten Projekten, wo ich vielleicht auch selten mal reinschaue oder wo auch der Kunde uns nicht beauftragt hat, da regelmäßig Updates zu machen. Wenn ich da drin bin im Backend, dann update ich das und dann hat sich das auch erledigt und dann ist das auch wieder aktuell. Aber es funktioniert wie gesagt seit Jahren tadellos und das Schöne bei BackupBuddy ist, ihr könnt dort zum Beispiel eure Dropbox hinterlegen oder auch einen anderen FTP-Server.
00:21:58
Speaker
Und dort werden dann diese Backups hingeschickt, weil es ist nicht schlimmer, als wenn ihr eure Backups auf der gleichen Platte lasst, wo eure Website liegt. Weil es ist natürlich für einen Hacker, jede Datei ist lukrativ und das kann dann auch euer Backup betreffen und dann hilft euch das Backup auch nicht, dann könnt ihr es auch lassen. Deswegen verknüpft es irgendwie mit etwas externem, da kann dann in der Regel keiner drauf und dann habt ihr auf jeden Fall die Sicherheit, dass ihr immer ein Backup da habt.
00:22:22
Speaker
Von meiner Instanz her, auch das ist zumindest mal so ein Richtwert. Ich mache täglich Updates der Datenbank und ich mache wöchentlich Updates von sämtlichen Files. Und so kann ich sicher sein, dass ich zumindest mal eine gewisse Anzahl an Backups von allem da habe und da nicht in die Probleme reinlaufe, die jetzt eben bei dem Kunden von dieser Woche oder letzter Woche aufgetreten sind. Da gab es nämlich keine Backups.
00:22:47
Speaker
Mit dem Ergebnis, Webseite musste gelöscht werden und jetzt macht man sich im kommenden Jahr darüber Gedanken, ob man eine neue Webseite aufbaut oder eben nicht.
Verbesserung der Sicherheit in CMS-Systemen
00:22:56
Speaker
Ja, wie kann ich jetzt aber generell das Thema Sicherheit ein bisschen erhöhen? Es gibt natürlich da auch wieder, je nach Content-Management-System, sehr unterschiedliche Systeme, sofern es die gibt. Ich kenne es halt auch wieder nur von WordPress, weil wir seit zig Jahren damit arbeiten und auch kein anderes Content-Management-System anbieten.
00:23:14
Speaker
In der Entwicklung. Ich habe hier seit Jahren das iSeams Security im Boot. Das ist vom gleichen Entwickler wie BackupBuddy, also iSeams, so heißen die. Da gibt es auch eine Pro-Variante von. Die könnt ihr haben, die müsst ihr nicht unbedingt haben. Die kostenfreie Version, die ist im WordPress Repository zu finden.
00:23:31
Speaker
Link ist auch in den Show Notes. Die reicht in der Regel so weit erstmal aus. Es gibt natürlich einige Zusatzfunktionen bei der Pro-Variante, aber man muss einfach sich überlegen, ob man da diese 100 Euro im Jahr für bezahlen möchte oder eben nicht. In der Regel, wie gesagt, reicht hier die kostenlose vollkommen aus. Ein kleines Add-on möchte ich noch draufpacken.
00:23:54
Speaker
Zum Thema Sicherheit. Und zwar ist es so, dass natürlich gewisse Komponenten wie wurden Dateien verändert, wurde irgendwas in die Datenbank reingeschrieben. Das ist natürlich nur die eine Geschichte. Aber wenn ich zum Beispiel auch wissen möchte, wenn einer aus Versehen, das kann ja auch aus Versehen passieren, zum Beispiel in Yoast die Meta-Robots-Einstellungen verändert hat,
00:24:13
Speaker
Dann hilft euch da auch wieder ein freemium Plugin, nämlich WP Security Audit Log. Das ist ein ganz tolles Plugin, was etwas sehr schönes an sich hat, nämlich ist es ein Plugin, was bereits
00:24:29
Speaker
auf Performance ausgelegt ist. Ihr könnt nämlich zumindest in der Premium-Variante eine externe Datenbank angeben, in die diese Logs reingeschrieben werden. Also ihr müllt nicht eure bestehende WordPress-Installation voll, sondern es gibt eine separate Datenbank, in die diese entsprechende Informationen reingeschrieben werden. Ihr könnt aber, und das ist das smarte an der Sache, aus eurem WordPress-Backend
00:24:52
Speaker
die Daten auslesen, die in dieser externen Datenbank drinstehen. Und habt dort dann eben entsprechenden Überblick, was wurde geändert, von welchem Nutzer wurde es geändert, wann wurden zuletzt Passwörter geändert.
Effizientes Update-Management und zukünftige Pläne
00:25:04
Speaker
Also wirklich alle, also es gibt hunderte an Möglichkeiten, die in diesen Logs hinterlegt werden können. Und ihr könnt euch das sogar an eure E-Mail-Adresse schicken lassen. Nicht die Logs, sondern wenn gewisse Einstellungen gemacht werden oder verändert werden,
00:25:17
Speaker
also aus dem sollzustand ein anderer ist zustand wird, also beispielsweise bei den Meta-Robots, das auf noindex gestellt wird aus Versehen, dann könnt ihr euch das per E-Mail zukommen lassen und könnt sicher sein, dass ihr so nicht irgendwelche Sachen durchgehen lasst, die besser nicht passieren sollten. Das finde ich auf jeden Fall eine sehr, sehr gute Kombination mit BackupBuddy,
00:25:39
Speaker
und dem iSteam Security die WP Security Audit Logs. Das war jetzt eine ganze Menge Stoffe und sehr, sehr unterschiedliche Themen, die am Ende aber nur dazu führen, dass eure Website stabil läuft und ihr sicher sein könnt, dass eure Website stabil ist, dass selbst im schlimmsten Fall ihr entsprechende Sicherungen habt und wie ihr letztendlich Updates durchführen solltet, die Workflows.
00:26:04
Speaker
Die Arbeit kann man outsourcen. Wir machen das für unsere Kunden sehr umfangreich und auch sehr gerne, weil die Arbeit eine sehr angenehme Arbeit ist und wenn man die richtig macht, macht sie auch Spaß. Ich halte es aber für enorm wichtig. Und selbst wenn du sagst, nein, wir sourcen das nicht aus, wir machen das selber, dann hast du jetzt zumindest die Werkzeuge dazu, das zu machen.
00:26:29
Speaker
Die größte Aufgabe dabei ist aber gar nicht auf den Update-Knopf zu drücken, sondern eben diese Tests wirklich umfangreich durchzuführen, genau zu wissen, wo man schauen muss, wo die Probleme waren, unter Umständen den Code zu reviewen und auch entsprechend zu entscheiden, ob ich das Update jetzt durchführe oder ob ich vielleicht noch ein paar Tage warte, bis eventuell noch mal so ein kleiner Bugfix-Update kam. Auch das ist so eine kleine Empfehlung, die ich euch gebe. Sofern es keine wirklich
00:26:56
Speaker
wichtigen oder sicherheitsrelevanten Updates sind, wartet noch mal in der Regel ein paar Tage ab. Die meisten Plugin-Anbieter machen nach einem etwas größeren Update ein, zwei Tage nachher noch mal so ein kleineres Update, wo einfach gewisse Bugs gefixt werden und dann habt ihr dann nicht doppelte entsprechende Testaufgaben auf eurem Tisch liegen.
00:27:15
Speaker
Ja, das war mal ein etwas anderes Thema heute, als wir es sonst haben. Ich kann hier schon mal einen kleinen Ausblick geben, wir werden im Jahr 2019 eventuell, das entscheidet sich in den nächsten Wochen, unseren Podcast-Rhythmus etwas ändern, nämlich wir werden 14-tägig das ganze Thema Website-Optimierung weiterhin natürlich
00:27:35
Speaker
das ist der Sinn des Podcasts, anbieten und in den Wochen dazwischen, wo man quasi nichts von uns zu hören hat, da werden wir mit einer hohen Wahrscheinlichkeit eine WordPress-Plugin oder WordPress, ja generell eine WordPress-Show entwickeln. Die wird, das ist eben der Punkt, der noch nicht ganz klar ist, entweder in diese Show mit eingeklingt als quasi, ja,
00:28:01
Speaker
Zweites Angebot oder aber wird ein separater Podcast, das weiß ich ehrlich gesagt noch nicht ganz genau, aber das wird sich jetzt in den nächsten Wochen entscheiden. Und auch die entsprechende Frequenz und Themenauswahl, all das wird jetzt in den nächsten Wochen kommen. Aber schon mal für dich als Info, wenn du Interesse an solchen Themen hast, wirst du da demnächst ein spannendes Angebot bekommen von uns.
00:28:25
Speaker
Ich würde mich freuen, wenn wir uns wieder hören in 14 Tagen. Wir werden über die Weihnachtszeit tatsächlich mal etwas Pause machen. Ich werde zwischen den Tagen eine kleine Sendung machen, die wird dann auch irgendwann gelöscht. Da soll es dann rund um das Thema Podcast Aussicht 2019 sein. Wo wird sich dieser Podcast hin entwickeln? Wie arbeiten wir?
00:28:46
Speaker
Ich muss bei dem Podcast auch schon wieder sagen, ich habe Unterstützung bekommen mit der Gesine. Die Gesine schreibt ganz, ganz fleißig die entsprechenden Show Notes und all das, was ihr rund um den Podcast lesen könnt. Das macht die Gesine bei uns. Und das muss auch so sein, weil wir würden diese Frequenz nicht einhalten können, wenn wir nicht uns da entsprechende Unterstützung geholt hätten. In diesem Sinne, eine gute Zeit bis in 14 Tagen und hohoho.