Professionelle WordPress Pflege

Eine professionelle WordPress-Pflege und regelmäßige Wartung der WordPress-Komponenten ist die absolute Grundvoraussetzungen für den sicheren und performanten Betrieb einer WordPress-Website. Mangelhaft oder garnicht gepflegte WordPress-Installationen stellen nicht nur ein exemplarisches Beispiel für wirtschaftliche Ineffizienz dar, sondern sind auch ein akutes Sicherheitsrisiko für Nutzer, Webseitenbetreiber und den eigenen EZB-Geldbeutel. Grund genug, um sich mit den wichtigsten Gründen für eine regelmäßige WordPress-Pflege zu beschäftigen! Du solltest jedoch wissen, wie man einen WordPress Blog erstellen kann, bevor du dich mit den folgenden Gründen zu intensiv auseinandersetzt.

11 Gründe für professionelle WordPress-Pflege

Das Content Management System WordPress ist – je nach Ausbaustufe und Nutzung – ein durchaus komplexes Softwaresystem, das eine Vielzahl an unterschiedlichsten Aufgaben zu erfüllen hat. Vom Betrieb umfangreicher Online-Shops mit WooCommerce, einer Membership-Webseite oder der klassischen Funktion als mehrsprachige WordPress-Websites für Firmen oder Selbständige – mit steigenden Anforderungen wächst auch die Anzahl der genutzten Komponenten (wie z.B. Plugins), zusätzlicher Templates und weiteren Subsystemen, die über APIs an die Funktionalitäten von WordPress angekoppelt werden.

Kopplung bedeutet aber in den meisten Fällen auch Abhängigkeit. Je mehr Komponenten zusammengefügt werden, desto mehr interne Abhängigkeiten bauen sich auf. Nur in den seltensten Fällen stammen alle verwendeten Software-Bauteile aus einem Hause und unterliegen damit gleichen Standards bei Entwicklung und langfristiger Wartung.

Verschiedenen Software-Versionen in PHP, deskriptiven Datenbanksprachen wie SQL, oder auch Skriptsprachen wie JavaScript kommen in nahezu allen WordPress-Plugins, Themes und sonstigen Erweiterungen vor. Hier einen gemeinsamen Nenner zu finden, ist gar nicht mal so einfach. Die folgenden 11 Gründe für professionelle WordPress-Pflege sollten ein bisschen Licht in die Dunkelheit der WordPress-Maintenance bringen.

#1: Sicherheitslücken durch aktuelle Updates schließen

Klar, das Thema Sicherheit und Software-Aktualisierung penetriert unsere Aufmerksamkeit ohnehin tagtäglich durch die unzähligen Update-Meldungen, Sicherheits-Patches und jeglichen Aktualisierungen, die uns die Hersteller von Notebooks, Smartphones, Smart-TVs, Smart-Kühlschränken und sonstigen smarten Dingen des Alltags gerne aufzwingen würden. Deshalb beschränke ich mich hier auf das Wesentliche und verweise auf unseren umfangreichen WordPress Security Guide, der die Grundlagen der WordPress-Sicherheit ausgiebig erörtert.

Man sollte nur im Hinterkopf behalten, dass auch andere Entwickler nicht immer fehlerfrei arbeiten. Sicherheitslücken sind in Software gang und gäbe. Und mit jedem Sicherheits-Patch treten oftmals neue Schwachstellen auf, die dann im nächsten Update wieder behandelt werden. Ein ewiger Kreislauf. Software ist eben keine Prosa.

Dieser Update-Kreislauf lässt sich nur schwer kontrollieren oder beeinflussen. Wir können lediglich da ansetzen, wo er sich auswirkt: in unseren eigenen Update-Routinen und der Behandlung von Sicherheitslücken.

Sobald neue Schwachstellen bekannt werden, müssen wir diese (zumindest inhaltlich) analysieren und entscheiden, ob hier für uns akuter Handlungsbedarf besteht. Und falls ja – welche Folgen ein bevorstehendes Update für unsere bestehende Software-Umgebung hat. Womit wir auch schon bei den nächsten Punkten anstoßen.

#2: Zero Day Exploits

Zero Day Exploits beschreiben Angriffe auf Sicherheitslücken oder Software-Schwachstellen, die an dem selben Tag ausgeführt werden, an dem die Sicherheitslücke entdeckt wird („Day Zero“). Oder anders gesagt: Wird eine Sicherheitslücke durch einen Nutzer oder Angreifer entdeckt, wird sie nicht (unmittelbar) an den Hersteller bzw. Entwickler gemeldet, damit dieser möglichst schnell ein Sicherheits-Patch bereitstellen kann, sondern im Internet an andere Nutzer oder Hacker verbreitet. Und diese könnten dann möglicherweise großflächige Angriffe auf die noch „unbekannten“ Sicherheitslücken ausführen.

Diese sog. ZETA (Zero Day Exploit Attacks) sind ein weit verbreitetes Phänomen im kriminellen Teil des Webs und stellen ein hohes Sicherheitsrisiko dar. Aufgrund einer Vielzahl an Zero-Day Exploit Databases wie z.B. der exploit-db, werden neu entdeckte Sicherheitslücken enorm schnell verbreitet. Damit erreicht diese unangenehme Info zwar auch auf kleine Umwege den echten Entwickler. Aber bis ein geeignetes Update oder ein Security-Fix großflächig ausgerollt werden kann, vergehen oftmals viele Stunden oder Tage. Zeit, die Hacker für umfangreiche Angriffe nutzen können – und auch werden.

WordPress Exploit Database

Exploit-Datenbanken zeigen gerne detaillierte Anleitungen für das Ausnutzen aktueller Sicherheitslücken. Ein Schelm, wer hier böses unterstellt!

In der Praxis haben WordPress-Exploits einen großen Anteil an den ZETA, weil die hohe Anzahl an mehr oder weniger professionell gepflegten Plugins, Themes und Frameworks eine breites Angriffspotential bieten, sobald ein Exploits erst einmal die Runde macht. Als Webseitenbetreiber sollte man also immer ein wachsames Auge für aktuelle Exploits und die zugehörigen Exploit-Datenbanken haben. Oder zumindest sollte man jemanden kennen, der das hat.

Erscheint ein Update als Sicherheits-Patch, bedeutet das in erster Linie, dass die betroffene Schwachstelle oftmals viele Tage oder Wochen angreifbar war. Man muss also rechtzeitig entscheiden, ob das Abschalten einer Funktionalität aus Sicherheitsgründen sinnvoll sein kann. Zumindest so lange, bis der Hersteller einen geeigneten Fix nachreicht. Aber das funktioniert eben nur, wenn man die WordPress-Pflege ernst nimmt und sich mit der verwendeten Software auseinander setzt.

#3: Plugin Updates einspielen

Plugins sind wunderbar. Sie erweitern unsere WordPress-Installation im Handumdrehen in Shopsysteme, optimieren unser Backend, ersetzen und ergänzen Funktionalitäten oder sorgen einfach für unnötige Features, die kein Mensch jemals brauchen wird.

Und je mehr WordPress-Plugins wir installieren, desto höher wird auch der langfristige Aufwand für die WordPress-Pflege. Schließlich muss jedes Plugin früher oder später mal geupdatet und gewartet werden, weil die WordPress-Core Version erhöht wird, Sicherheitslücken entdeckt werden oder Veränderungen an der Programmiersprachen-Syntax bestimmte Programmkomponenten tot legen oder beeinträchtigen.

WordPress-Pflege vernachlässigt: Syntax Fehler

Zwei Updates am selben Tag? Da war wohl jemand etwas voreilig beim Update seines Plugins. That was stupid mistake!

In der Praxis kommt das häufig vor. Das wirkt sich entsprechend frequent auf die Bereitstellung von Plugin-Updates aus. Allerdings sind auch einige Entwickler von krankhafter Flüchtigkeit und unsauberen Arbeitsweisen geplagt. Die Folge sind schlecht programmierte Codezeilen, Syntax-Fehler oder sogar die eingestellte Pflege für Plugins, die in letzter Konsequenz aus dem Plugin-Store von WordPress entfernt werden.

Vermutlich werden mehr als 90% aller WordPress-Plugins nicht-kommerziell und auf „Hobby-Basis“ entwickelt. Da ist es nur logisch, dass der Support für ein Projekt, das mit keinen wirtschaftlichen Verpflichtungen verbunden ist, auch mal von heute auf morgen eingestellt werden kann. Wer den rechtzeitigen Umstieg auf neue Software oder eine Eigenentwicklung verpasst, bringt sich schnell in unangenehme Situationen.

Kleines Praxisbeispiel? Wir aktualisieren ein veraltetes Plugin, das im Anschluss die Tabellen unserer Datenbank aktualisieren muss. Allerdings zerschießt uns das Update aufgrund von fahrlässigen Syntax-Fehlern unsere WordPress-Installation, die uns fortan nur noch mit ihren PHP-Errors belästigt.

Zwar lässt sich ein fehlerhaftes Plugin auch manuell leicht deaktivieren. Aber die modifizierte Datenbank kann ohne ein aktuelles DB-Backup nur selten in ihren fehlerfreien Ausgangszustand gebracht werden. Und die Wahrscheinlichkeit, dass solche fahrlässig gewarteten Plugins auch Schäden an unsere Datenbank anrichten, ist nicht gerade gering. Womit wir auch beim nächsten Punkt sind.

#4: Regelmäßige Backups

Regelmäßige WordPress-Backups sind die Kernstrategie einer professionellen WordPress-Pflege. Vor jedem größeren Wartungsintervall sollten vollständige Backups angelegt werden, damit die Recovery von fehlerhaften Komponenten im Worst Case möglichst schnell und ohne Probleme ablaufen kann.

Ich habe schon selber einige Situationen erlebt, in denen ein umfangreiches Rollback nach einer Wartungs-Routine nötig wurde. Selbst wenn die eigentlichen Updates ohne Probleme ablaufen, die Website einwandfrei funktioniert und auch sonst nix den Anschein erwecken mag, das irgendetwas schief gelaufen ist.

So ist mir bei einem Update einer WooCommerce-Shopumgebung für digitale Produkte erst einige Stunden später aufgefallen, dass das Core-Development von WooCommerce einige Grundfunktionalitäten bei einem größeren Release völlig entfernt hat, einen vergleichbaren Ersatz der Funktionalitäten aber verpennt hat. Erst einige Wochen nach dem Bekanntwerden wurden entsprechende Funktionalitäten nachgereicht. Auf einen Schlag konnte der Shop keine Download-Berechtigungen mehr generieren und versenden. Die Lösung: Rollback auf eine Vorversion oder die nachträgliche Implementation der verlorenen Features, was natürlich deutlich aufwändiger ist.

Hat man hier (wortwörtlich) kein aktuelles Backup im Rücken, kann das Ganze schnell auch mal in die Büx gehen. Zumindest dann, wenn man die WordPress-Pflege stiefmütterlich behandelt und auf das Anlegen von Backups vor größeren Wartungsarbeiten mit Vorliebe verzichtet.

#5: Aktuelle Webserver Software

Software-Komponenten eines Webservers, wie z.B. Apache, PHP oder MySQL, sind vielfach unterschätzte Parameter einer zuverlässigen WordPress-Pflege. Wer sich nur mit dem Update von wichtigen Plugins und Themes beschäftigt, erhöht nicht nur das Ausfall-Risiko, sondern verpasst auch weitreichende Chancen für erhöhte Performance einer WordPress-Webseite.

So kann alleine der Umstieg von PHP 5 auf PHP 7+ in den meisten Fällen einen erheblichen Performance-Zuwachs von mehr als 50% einbringen, während ganz nebenbei auch größere Sicherheitslücken und Schwachstellen geschlossen werden.

Im Regelfall ist eine Überwachung der aktuell verfügbaren Software-Versionen ohne großen Aufwand machbar. Professionelle Hoster wie All-Inkl.com* bieten eine bequeme Weboberfläche, in der die Versionsverwaltung für PHP, MySQL und Co. unkompliziert konfiguriert werden kann. Auch das setzt allerdings eine konsequente Pflege und Wartung der WordPress-Webseite voraus. Denn ein unkontrollierter Umstieg auf höhere Software-Versionen des Webservers kann die Funktionalität von Plugins und Themes beeinträchtigen, wenn diese im Vorwege nicht adäquat aktualisiert und gewartet wurden. Wir merken: der Kreis schließt sich.

Aktuelle PHP Version wählen

Die meisten Hoster stellen für Ihre Webserver eine Auswahl zwischen PHP-Modulen und CGI-Konfigurationen zur Verfügung, die auch genutzt werden sollte!

#6: Webseiten-Performance

Zu einer professionellen WordPress-Pflege gehört auch die konsequente Überwachung der Webseiten-Performance. Gerade bei der Nutzung von Caching-Plugins wie WP Super Cache müssen Webseitenbetreiber regelmäßig die Funktion und Konfiguration von derartigen Performance-Plugins überprüfen. Schließlich können falsche Settings sogar negative Auswirkungen auf Performance und SEO einer Website haben.

Insbesondere die Garbage-Collection steht hier im Fokus. Je mehr Seiten, Beiträge und Inhalte gecached werden, desto höher wird das potentielle „Aufräumpotential“ für die sog. Garbage-Collecting-Routinen, die veraltete Cache-Inhalte vom Webserver löschen und neue Caching-Prozeduren anstoßen. Natürlich erfordern auch sämtliche Caching-Routinen für den effizienten Ablauf einen bestimmten Ressourcen-Anteil am Webserver. Womit wir auch schon beim nächsten Punkt sind.

#7: Serverauslastung und Speicheroptimierung

Nutzt man für das Hosting einer WordPress-Webseite ein sog. Shared-Hosting-Paket, bei dem sich mehrere Kunden mit ihren Websites einen einzigen physischen Server teilen, hat man leider nicht allzu großen Einfluss auf die Leistungsparameter des Webservers. Zudem sind Sichten für Auslastung und Speichernutzung hier auch immer relativ zu sehen, weil diese Daten i.d.R. keinen Rückschluss auf die Gesamtlast eines Servers zulassen.

Das sieht schon anders aus, wenn wir einen dedizierten Webserver unser Eigen nennen. Hier stellt uns ein Premium-Hoster i.d.R. ein umfangreiches Paket an Tools zur Verfügung, mit denen sich die Performance-Parameter wie Auslastung, Speicherbelegung und Traffic (als Datendurchsatz) messen lassen.

Speichernutzung WordPress Webserver

Die Speichernutzung gibt Aufschluss über Wartungspotential und Auslastung eines Webservers.

Speicherplatz und Performance sind nicht gerade kostengünstig. Will man als Webseitenbetreiber hier nicht unnötig Buchgeld verpulvern, sollte man sich im Rahmen der WordPress-Pflege auch hier frühzeitig mit auseinandersetzen. Das Überwachen und Freigeben von Speicherplatz durch überlaufende Logfiles, ungenutzten Datenmüll in Caching-Archiven, gigantisch angeschwollene Archiv-Ordner für Rechnungen oder sonstige Protokolle, die beim Betrieb einer Webseite anfallen, belasten die Webserver-Performance durch eine Vielzahl an ablaufenden Cleanup-Routinen.

WordPress-Pflege sollte auch die Webserver-Performance überwachen

Die Performance-Statistik eines dedizierten Webservers gibt Hinweise auf technische Probleme oder Wartungsstau.

Diese Grafik veranschaulicht die Auslastungs-Statistik eines dedizierten Webservers auf Basis der CPU-Auslastung. Prozessor (CPU) und RAM sind aus Hardware-Sicht wohl die wichtigsten Voraussetzungen für den Betrieb von performanten WordPress-Webseiten. Lastspitzen ergeben sich in vielen Fällen durch bestimmte Cleanup- oder Backup-Routinen, die regelmäßig und automatisiert ablaufen. Auch Kopier- oder Löschvorgänge blockieren einen signifikanten Anteil der Rechenleistung und sollten im Kontext der WordPress-Pflege idealerweise so geplant werden, dass sie nicht gerade mit den Traffic-Lastspitzen zusammenfallen, die dann zusätzliche Ressourcen konsumieren.

Zudem lässt sich durch regelmäßige Überprüfung der Speichernutzung und das manuelle Löschen von nicht mehr benötigten Dateien die Ressourcennutzung für die Cleanup- oder Backup-Routinen massiv verringern. Und das macht sich dann auch in der Auslastung des Webservers positiv bemerkbar und schont langfristig die eigene Liquidität.

#8: Datenbankoptimierung

Auch in Sachen Datenbank-Pflege macht sich schnell bemerkbar, ob die Wartung einer WordPress-Webseite regelmäßig oder fahrlässig selten erfolgt. In den meisten Fällen wird für WordPress-Webseiten eine MySQL-Datenbank eingesetzt, die sämtliche Textinhalte, Konfigurationen, Links, Meta-Daten und bestimmte Protokollinformationen speichert. Trotzdem muss auch eine große Datenbank mit hunderten Produkten, Beiträgen und Seiten nicht unbedingt größer als 50 bis 100mb werden.

Den größten Anteil an der Speichernutzung einer Datenbank machen oftmals Tabellen mit Überhang aus, die quasi ungenutzten Speicherplatz blockieren. Allerdings lässt sich die WordPress-Datenbank von unnötigem Überhang bereinigen, was man für unseren Bundestag leider nicht behaupten kann. Revisionen von Beiträgen und Seiten machen hier einen großen Anteil an dem blockierten Speicherplatz aus. Beschränkt man die Anzahl an möglichen Revisionen beispielsweise auf maximal 3 oder 5 Revisionen pro Beitrag, kann man damit bereits eine Einsparung von mehr als 50% der Datenbankgröße erreichen. Wie das funktioniert, zeige ich in dem Artikel über die Bereinigung einer WordPress-Datenbank.

WordPress Revisionen bereinigen

Revisionen von Beiträgen und Seiten machen einen erheblichen Anteil an der Datenbankgröße aus und sollten beschränkt werden.

#9: Suchmaschinenoptimierung

Man mag es kaum glauben, aber auch die SEO gehört zur Task-List einer WordPress-Pflege. Die Suchmaschinenoptimierung lässt sich zwar auch gerne der Content Maintenance zuordnen, hat aber auch technische Komponenten. Auch hier gilt es, die genutzten Plugins und Erweiterungen zu überwachen und die Auswirkungen von Aktualisierungen auf die bestehende SEO einzuschätzen. So kann ein Update des beliebten SEO Plugins von Yoast bereits unzählige Anpassungen im Content nach sich ziehen, wenn man die Anforderungen der SEO „übermäßig ernst nimmt“.

Erst vor einigen Wochen stellte Yoast die Begrenzung der Meta-Beschreibungen zurück auf 140 Zeichen. Rund ein Jahr zuvor hat Google deutlich längere Meta-Beschreibungen eingeführt, die auch in den Suchergebnissen auflaufen sollten. In deren Folge haben die globalen SEO-Spezis quasi über Nacht und unter Hochdruck sämtliche ihrer Meta-Beschreibungen auf die neue Snippet-Länge von rund 300 Zeichen angepasst. Nach knapp einem Jahr ist das kleine Experiment vorbei und Google geht zurück auf 140 Zeichen. Ich vermute, dass noch immer einige der SEO’s in ihren feuchten Kellern sitzen und nach den alten Ausführungen ihrer Meta-Beschreibungen suchen, die sie noch vor rund 12 Monaten so hektisch geändert haben.

Ein Glück für jeden SEO, der sich diszipliniert an seine Backup-Routinen hält und in solchen Fällen einfach die Inhalte alter Datenbanken auslesen kann. Man weiß ja nie, wofür man diese alten Bits & Bytes noch gebrauchen kann.

#10: Content Maintenance

Wartung und Pflege der Webseiten-Inhalte ist ein ebenso fundamentaler Faktor für den erfolgreichen Betrieb einer Website. Allerdings ist der Umfang hier sicherlich zu groß, um es in wenigen Zeilen zu erläutern. Man sollte sich lediglich darüber bewusst sein, dass Content Maintenance ein wichtiger Bestandteile einer Gesamtstrategie für die regelmäßige WordPress-Pflege sein sollte.

Dazu gehört das Identifizieren und Beheben von fehlerhaften Links (primär 404er), veralteten Inhalten wie Software-Versionen und den zugehörigen Beschreibungen im Content oder auch das Erweitern von Inhalten und Medien, falls sich ein adäquater Grund dafür finden lässt.

#11: Datenschutz und DSGVO-Funktionalitäten

Ändern sich die rechtlichen Voraussetzungen für Online-Shops, Datenschutz-Gesetzte oder auch Steuergesetze, kann das eine Reihe an technischen und inhaltlichen Anpassungen an der WordPress-Installation und weiteren Komponenten nach sich ziehen.

So führte das WordPress DSGVO Update einige neue Funktionalitäten ein, die für das Erfüllen der Betroffenenrechte im Kontext der DSGVO essentiell sind. Damit wird im Regelfall auch eine Reihe an (bis dato ersatzweise) eingesetzten Plugins überflüssig, die im Laufe der WordPress-Pflege dann nach und nach abgeschaltet werden sollten, damit nicht unnötig hohe Risiken für Sicherheitslücken entstehen.

Faustregeln für die richtige WordPress-Pflege

Nicht alle Maßnahmen für die Wartung und Pflege einer WP-Website erscheinen auf den ersten Blick trivial. Insbesondere die Anforderungen an das technische Know-How und Verständnis erfordern unter Umständen eine gründliche Einarbeitung in die Materie, die für nicht jeden von uns zeitlich zu stemmen ist. Falls du Unterstützung bei der langfristigen Pflege deiner WordPress-Website benötigst, kannst du gerne auf unsere WordPress-Services und Memberships zugreifen, mit denen dich unsere WordPress-Agentur bei Pflege und Wartung deiner Website zuverlässig unterstützen kann.

Im Allgemeinen solltest du einfach die folgenden Regeln befolgen, um die selbständige WordPress-Pflege möglichst unkompliziert und effektiv zu halten:

  1. WordPress (Core + Plugins) regelmäßig auf Updates überprüfen
  2. Behalte gängige Exploit-Datenbanken im Auge oder trage dich in einen Security-Newsletter ein
  3. Stehen Updates zur Verfügung, überprüfe zunächst Change-Log und weitere Informationen, bevor Updates installiert werden
  4. Vor umfangreichen Updates an WordPress-Core, Plugins oder Datenbanken sollte ein entsprechendes Backup angelegt werden
  5. Mache dich mit den technischen Grundlagen deines Webservers vertraut und überwache Performance, Sicherheit und Speichernutzung
  6. Halte das Suchmaschinen-Ranking deiner Inhalte im Auge, um die Auswirkungen inhaltlicher und technischer Updates einschätzen zu können.