Heise hat hier eine Lösung erarbeitet, bei der die Social-Media-Buttons zunächst “deaktiviert” dargestellt werden. Erst durch die Entscheidung des Nutzers werden Daten an die Netzwerkplattformen gesendet. Die sogenannte 2-klick-Methode bietet somit mehr Sicherheit für den Datenschutz.

H.-Peter Pfeufer hat diese Lösung in einem WordPress-Plugin umgesetzt. Das Plugin bietet zahlreiche Einstellungsmöglichkeiten, so kann z.b. eingestellt werden ob die Social-Button-Leiste auf Artikelseiten und CMS-Seiten dargestellt werden soll. Auch die gezielte Darstellung per Shortcode ist möglich.

Die Einstellungsmöglichkeiten des Plugins

Das Plugin im Einsatz

Hat man das Plugin erfolgreich installiert und aktiviert, erscheint auf der Artikelseite (oder CMS-Seite) im Frontend nun die kleine Social-Media-Buttonleiste. Diese ist standardmässig deaktiviert, der Nutzer bestimmt nun selbst ob er die Buttons aktiviert. Möchte man jetzt den Beitrag auf einer Plattform, z.b. Facebook, teilen wird mit dem ersten Klick der entsprechende Button zunächst aktiviert, mit dem zweiten Klick wird der Beitrag auf der Social-Media-Plattform veröffentlicht.

Durch einen Klick auf den Info bzw. Einstellungsbutton kann man auch die dauerhafte Aktivierung für alle oder nur einzelne Dienste freischalten.

Probleme mit veralteten Themes

Das 2-Klick-Button-Plugin nutzt die WordPress interne “Post Thumbnails” Funktion, die seit Version 2.9 Bestandteil von WordPress ist. Ältere Themes unterstützen diese Funktion meist nicht und es wird ein “Call to undefined function“-Fehler erzeugt. Damit das nicht passiert, muss in dem verwendeten Theme, welches Post Thumbnails nicht unterstützt, die Funktion aktiviert werden. Dies geschieht mit folgendem Eintrag in der Functions.php des Themes:

 add_theme_support('post-thumbnails');

Dieser Eintrag sollte den Fehler bei älteren Themes grundsätzlich beheben. Bei neueren Themes dürfte die Funktion generell integriert sein.

Wie arbeitet das Plugin?

Im Gegensatz zu dem Plugin “DoFollow“, was generell den Link in einem Kommentar auf “DoFollow” setzt, bietet das Plugin die Möglichkeit, einen Kommentar erst nach einer gewissen Anzahl an Kommentaren eines Benutzers auf “DoFollow” zu setzen. Diese Anzahl an Kommentaren ist frei einstellbar. Für mich, ganz klar, die bessere Lösung um evtl. Spammern eine weitere Tür zu zumachen.

Die Funktionsweise von Cachify

Das Plugin speichert aufgerufene Seiten als Cache in der Datenbank. So wird beim nächsten Aufruf der Seite direkt der gespeicherte Cache aufgerufen. Aufwendige Datenbankabfragen und PHP-Scripte werden so umgangen bzw. stark minimiert. Der grosse Vorteil von Cachify liegt darin, das keine eigene Funktionalität genutzt wird, sondern rein auf WordPress interne Funktionen zurückgegriffen wurde. Wie bei all seinen Plugin-Lösungen achtet Sergej auch hier auf schlanken und sauber umgesetzten Code.

Performance Verbesserung

Das Plugin habe ich heute einmal bei einem aktuellen Kundenprojekt zum Einsatz gebracht, das besonders hohe Antwortzeiten hatte. Das Ergebnis war absolut überzeugend. Die Antwortzeit ohne Einsatz von Cachify lag bei 2,65 Sek. Nach Aktivierung des Plugins wurde die Antwortzeit auf 1,52 Sek. reduziert. Die DB-Abfragen konnten von 48 auf 12 reduziert werden. Die Geschwindigkeitsverbesserung ist auch optisch, beim durchklicken der Seiten, deutlich zu sehen.

Fazit

Cachify ist aus meiner Sicht ein sehr zu empfehlendes Plugin, um seinen WordPress Seiten ordentlich Dampf zu machen. Für Nutzer, die sich nicht mit den Cache-Giganten wie WP-SuperCache auseinander setzen wollen, eine klasse Alternative.

CSS und Javascripte komprimieren

Eine schnelle Lösung, Stylesheets und Scripte zu komprimieren, bietet z.b. der Online-Compressor von Sergej Müller. Per Copy & Paste fügt man den Inhalt einer Stylesheet- oder Javascript-Datei in den Compressor ein, und wählt danach entsprechend Basic-Compress oder Powerful als Komprimierungsmethode aus.

Ich hab hier mal eine Stylesheet-Datei eines Kundenprojektes komprimiert. Die Ausgangsgrösse belief sich auf 38 kByte. Nach der Komprimierung betrug die Dateigrösse lediglich noch 27 kByte. Solange man keine Plugins einsetzt, die eigene Stylesheets oder Javascripts verwenden, ist dies durchaus eine sinnvolle Methode den Seitenzugriff zu optimieren. Setzt man allerdings mehrere Plugins ein, die eigene Stylesheets verwenden, muss man die Dateien natürlich ebenfalls nach dieser Methode komprimieren. Die Sache hat natürlich einen Nachteil: Gibt es ein Update für ein Plugin, wird meist auch die optimierte Stylesheet oder Javascript-Datei überschrieben. Das bedeutet eine erneute Komprimierung der entsprechenden Dateien nach einem Update. Die folgende Möglichkeit bietet da Abhilfe.

Scriptoptimierung mit WP-Minify

Das WordPress-Plugin WP-Minify bietet neben der Optimierung von Stylesheet- und Javascriptdateien auch den grossen Vorteil, das es mehrere Stylesheet- und Javascriptdateien in einer Datei zusammenfasst. Das verringert die HTTP Requests erheblich. WP-Minify fasst alle vorhandenen Stylesheet- und Javascriptdateien in jeweils einer Datei zusammen, und legt diese in ein spezielles Cache-Verzeichnis des Plugin-Roots ab. Daher muss dieses Verzeichnis unbedingt auch Schreibrechte erhalten. Aber Vorsicht: Man sollte in jedem Fall alle Funktionen seiner WordPress-Seite überprüfen. Gerade bei der Fülle von jQuery-Funktionen, die manches Theme enthält, kann es vorkommen, das diese nach Einsatz von WP-Minify nicht mehr funktionieren.

Mit der Firefox-Erweiterung YSlow in Verbindung mit Firebug lassen sich die Optimierungsergebnisse darstellen. In der folgenden Grafik wird der Vorher-Nachher-Effekt deutlich:

Der WordPress Tabellen Präfix

Um SQL-Injections (Einschleusen von Datenbankbefehlen) zu verhindert, empfiehlt es sich, den Tabellen Präfix von WordPress ‘wp_’ zu ändern. Bei einer Neuinstallation ist dies kein grosses Thema. Ändern Sie einfach in der wp-config.php folgende Zeile nach Ihren wünschen ab:

Standardeinstellung: $table_prefix = ‘wp_’;
Beispiel für eine Änderung: $table_prefix = ‘12db9_’;

Wenn Sie jetzt mit der Installation von WordPress beginnen, werden alle Präfixe mit ‘12db9_’ angelegt.
Bei einer bestehenden Installation sieht das allerdings etwas komplizierter aus. Basis hierbei ist ebenfalls die Änderung der wp-config.php. Legen Sie dort wie zuvor beschrieben, Ihren neuen Präfix an. Das alleine ist natürlich noch nicht alles, denn die Datenbanktabellen haben ja immer noch Ihren alten Präfix ‘wp_’. Diese müssen ebenfalls auf den neuen Präfix umgestellt werden. Dies kann man direkt über phpMyAdmin mit dem Befehl RENAME TABLE wp_comments to 12db9_comments; erledigen (dabei müssen alle entsprechenden Tabellen berücksichtigt werden). Man sollte aber unbedingt vor der Durchführung ein Backup seiner Datenbank anlegen.

Die WP-CONFIG.PHP schützen

Um einen Zugriff von aussen auf die Konfigurationsdatei zu verhindern, ergänzt man in der .htaccess folgende Angaben:

# Schützt die wp-config.php
<files wp-config.php>
Order deny,allow
deny from all
</files>

Nicht benötigte Dateien löschen

Nach einer Neuinstallation bzw. nach einem Update von WordPress werden die Installationsdateien nicht automatisch gelöscht. Dies sollte man von Hand nachholen. Wechseln Sie per FTP-Programm in das Unterverzeichnis /wp-admin Ihrer WordPress-Installation. Löschen Sie dort nun die Dateien install.php und upgrade.php.

Adminbereich über .htaccess schützen

Ein zusätzlicher Schutz für den Adminbereich in WordPress bietet eine Passwortabfrage über .htaccess. Man muss dann zwar zweimal ein Login ausführen, es erhöht aber ungemein die Sicherheit des Adminbereiches. Zuerst ergänzen wir die .htaccess um folgende Einträge:

AuthName “Adminschutz”
AuthType Basic
AuthUserFile /pfad_zur_passwortdatei/.htpasswd
require valid-user

Jetzt legen wir uns eine weitere Datei mit dem Namen .htpasswd an, und geben dort unsere Zugangsdaten ein. Hierzu empfiehlt es sich, das Passwort gleich verschlüsselt einzugeben. Einen .htpasswd-Generator findet man hier. Der Eintrag in der .htpasswd sollte dann in etwa so aussehen:

username:$apr1$oaVNZ/..$JMB0/oZLnvCFJM5fIsV3C/

Beide Dateien, .htaccess und .htpasswd, kopieren wir in das Verzeichnis /wp-admin unserer WordPress-Installation. (mod_rewrite muss auf Ihrem Server aktiviert sein)

Mehr Sicherheit durch Plugins

Auch auf Plugin-Basis gibt es Möglichkeiten, WordPress noch sicherer zu machen. Zwei Plugins die durchaus Sinn machen sind:

Login Lockdown

Gerade Brut-Force-Attacken können schnell Ihre Zugangsdaten hacken. Das Prinzip ist einfach: Ein spezielles Hackerprogramm versucht über mögliche Zahlen- und Buchstabenkombinationen Ihren Adminzugang herauszufinden. Solch eine Software versucht, mit immer wieder neuen Kombinationen, in Ihren Adminbereich zu gelangen. Da dies nunmal in den allerwenigsten Fällen sofort gelingt, wird Ihre Seite praktisch ständig mit neuen Logindaten bombadiert. Das Plugin Login Lockdown von Michael Van De Mar verhindert solche Angriffe, indem es fehlgeschlagene Login-Versuche nach einer gewissen Anzahl blockiert. Wenn z.b. von einer IP-Adresse 3 fehlgeschlagene Login-Versuche innerhalb eines bestimmten Zeitfensters stattgefunden haben, wird für diese IP die Login-Funktion deaktiviert. Maximale Login-Versuche und sämtliche Zeitfenster (Logins innerhalb einer bestimmten Zeit, Dauer der Deaktivierung) können frei festgelegt werden.

Secure WordPress

Das Plugin Secure WordPress von Frank Bültge bietet einige Optionen, um Ihre WordPress-Installation sicherer zu machen. Im Detail sieht das folgendermassen aus:

• Deaktivierung der Hinweis- und Fehlermeldungen beim Login in WordPress.
• Entfernt den Versionshinweis von WordPress in allen Bereichen, inkl. dem Feed.
• Anlage einer virtuellen index.php in den Verzeichnissen /plugins/ und /themes/. Dies soll ein Auslesen der Verzeichnisse verhindern.
• Entfernt den link für Really Simple Discovery und Windows Live Writer im Headbereich des Frontends
• Deaktiviert das Core-Update für Nicht-Admin’s. Die Benachrichtigung über eine neue Version von WordPress wird ausschließlich Nutzern gezeigt, die die Rechte zum Editieren von Plugins haben.
• Aktiviert den WordPress-Scanner, mit dem Sie die Sicherheit Ihres Blogs unter http://blogsecurity.net/wpscan prüfen können.
• Unterbindung von negativen Abfragen (bösartige URL-Anforderungen)
• Ebenfalls wird das Plugin- und Theme Update deaktiviert.

Desweiteren besteht die Möglichkeit seine Seiten über sitesecuritymonitor auf Malware und gefundene Schwachstellen überprüfen zu lassen.

Sicher gibt es noch einige Möglichkeiten mehr, um Ihre Webseiten gegen ungewollte Angriffe zu schützen. Mit den hier vorgestellten Lösungsansätzen sollte Ihr Blog aber ausreichend gegen Fremdeinflüsse gewappnet sein.
Weitere nützliche Tipps zu WordPress und empfehlenswerten Plugins.

• Download RockGen