WordPress Wartung - FAQ - Thomas A. Reinert - TAR MediaDesign

Auf diese Frage gibt es nicht die eine Antwort, da sich WordPress-Webseiten in der Anzahl der verwendeten Themes, Plugins und der Konfiguration stark voneinander unterscheiden können.

Letztendlich sollte man zwischen zwei Formen von Updates unterscheiden:

• Feature-Updates
• Security-Updates / Bugfixes

Während die erste Kategorie einfach nur neue Funktionen bietet und deshalb durchaus hinten an gestellt werden kann, sollte die zweite Kategorie möglichst umgehend bedient werden. Ansonsten ist u.U. der gewohnte Funktionsumfang nicht gegeben oder die Site kann durch Hacker einfach gehackt werden.

Desweiteren gibt es eine Vielzahl weiterer möglicher Wartungsarbeiten, um die ein Profi sich kümmern kann:

• SEO-Monitoring
• Performance-Monitoring
• Datenbank-Optimierung
• Security-Optimierung
• uvm.

Im Normalfall nicht. Lediglich bei sehr speziellen Eingriffen, wie z.B. der Neuberechnung der Medien oder schwerwiegenden Datenbankoperationen kann dies eine Rolle spielen.

Ansonsten hat dies im Gegensatz zur Anzahl der installierten und upzudatenden Themes und Plugins keinen Einfluss.

Das ist leider oft nicht ganz so einfach herauszufinden.

Die installierte WordPress-Version können Sie u.a. mit folgenden Möglichkeiten einsehen:

• Sollte Ihre WordPress-Installation veraltet sein, erhalten Sie im Dashboard (der Startseite des Adminbereichs) einen Hinweis wie „WordPress 5.2.2 ist verfügbar! Bitte aktualisiere jetzt.„
• Im Dashboard sehen Sie außerdem ganz unten rechts einen – zugegeben sehr kleinen – Hinweis auf die aktuell installierte WordPress-Version.
• Im Admin-Bar ganz oben im Backend sehen Sie einen Hinweis auf die Anzahl der verfügbaren Updates. Darin steht nicht nur die Anzahl der verfügbaren Theme- und Plugin-Updates, sondern auch wenn ein Core-Update (also eine neue Version von WordPress selbst) verfügbar ist.
• Kann ich auch fremde Sites überprüfen?
  In den meisten Fällen: Ja. Dazu können Sie das Tool von Maurice Renck nutzen.
  Er führt dabei auf der rechten Seite auch ein Log, wie viele Seiten insgesamt überprüft wurden und wie viele davon veraltet waren. Vernichtende Feststellung (Stand Juli 2019): Etwa 74% der geprüften Seiten waren veraltet.

Auch installierte Plugins und Themes können Sie überprüfen:

• Im Admin-Bar ganz oben im Backend können Sie sehen, ob es Updates gibt. Dies wird Ihnen durch eine rote Ziffer signalisiert. Bei MouseOver über diese Ziffer wird Ihnen anzeigt, wie viele Plugin- und Theme-Updates es gibt.
• Updates zu Themes können Sie einsehen, indem Sie im Backend auf „Design » Themes“ klicken.
• Updates zu Plugins können Sie sehen, indem Sie im Backend „Plugins » Installierte Plugins“ wählen. Hier erscheint dann in der Übersicht bei jedem WordPress-Plugin, zu dem es ein Update gibt, eine Information.
• Kann ich auch fremde Sites überprüfen?
  Auch hier gilt: In den meisten Fällen: Ja. Allerdings gibt es eine Vielzahl Methoden, dies auch zu verbergen. Bitte beachten Sie die Hinweise bei den unten stehenden Tools, es muss nicht unbedingt legal sein, fremde Websites zu scannen. Dies kann unter Umständen als Angriff auf die Website gewertet werden!
  • WPSEC bietet Ihnen eine stark vereinfachte erste Übersicht. Details erfahren Sie erst nach Registration.
  • WordPress Theme Detector zeigt Ihnen das installierte Theme und einige – aber meist nicht alle – Plugins an. Auf Versionsinfos müssen Sie außer beim Theme verzichten.
  • Hacker Target bietet von den hier gelisteten Tools die ausführlichsten Infos, selbst in der Freeware-Version. Weitere interessante Infos können Sie nach Registration einsehen.

Nehmen Sie bitte zur Kenntnis, dass ein erfahrener Entwickler, aber auch Hacker, eine Anzahl weiterer Möglichkeiten kennt, detaillierte Infos zu den Versionen der installierten Themes und Plugins zu ermitteln.

Selbstverständlich. Allerdings muss ggf. beachtet werden, dass manche Lizenzen nur für jeweils eine einzige Site gelten – unabhängig ob es sich um eine Multisite-Installation handelt oder eine zweite Single-Site als Staging-Server dienen soll. Je nachdem müssen also weitere Lizenzen erworben werden.

Ggf. benötige ich die Zugangsdaten zum Anbieter, falls es keine automatische Update-Funktion gibt.

Hier gilt das „Nadel-im-Heuhaufen-Prinzip“ – je kleiner der Heuhaufen, desto schneller ist die Nadel gefunden.

Ähnlich verhält es sich auch bei WordPress – je schlanker die Datenbank ist, desto schneller kann sie arbeiten und damit arbeitet auch das gesamte WordPress-System schneller.

Allerdings hat WordPress verschiedene Features, die die Datenbank recht schnell aufblähen können.

WordPress überschreibt beim Speichern z.B. nicht die aktuelle Version, sondern legt jedes mal eine neue Version („Revision“) an. Dieses non-destruktive Speichern hat den Vorteil, dass Sie jederzeit zu einer vorangegangenen Version zurückkehren können, wenn Sie versehentlich einen Beitrag, eine Seite oder Custom-Post-Type vermeintlich „zerstört“ oder wichtige Inhalte aus Versehen gelöscht haben.

Ich nutze dieses Feature z.B. um einen Artikel zu schreiben und mir dann im Frontend das Ergebnis anzuschauen. Viele meiner Kunden nutzen Pagebuilder und klicken sich im Backend ihren Inhalt zusammen, den sie dann im Frontend auch noch einmal in ihrem Theme eingebettet kontrollieren möchten. WordPress limitiert von Haus aus allerdings die Anzahl der Revisionen nicht – so kommt bei häufigem Speichern schon einmal eine ganze Menge von Revisionen zusammen. Tatsächlich habe ich bei einer Installation schon einmal über 500 Revisionen eines Artikels gesehen!

Im Klartext heißt das: Sie haben von einem Artikel in dem Fall mehr als 500 unterschiedliche Versionen in der Datenbank liegen. Im Normalfall werden Sie aber nicht mehr als 10 Schritte zurückgehen müssen, daher sollte die Anzahl der Revisionen auf ein sinnvolles Maß reduziert werden.

Nebenbei gibt es weitere Faktoren, die die Datenbank unnötig aufblähen können, wie z.B. nicht gelöschte Spam-Kommentare, Logs und vieles mehr.

Deshalb sollte jede Datenbank regelmäßig auf „Overhead“ überprüft und dieser – kontrolliert – gelöscht werden.

Die meisten Hacks werden nicht manuell und individuell vorgenommen, sondern laufen vollautomatisch.

Dabei gibt es hauptsächlich folgende Ziele bzw. Angriffsvektoren, wie es im Fachjargon heißt:

1. Bekannte Sicherheitslücken in WordPress-Plugins
2. Bekannte Sicherheitslücken in WordPress-Themes
3. Schwache und / oder bekannte Passworte

In der Hackerszene kursieren für bekanntgewordene Schwachstellen in Plugins oder Themes Skripte, die versuchen, diese Lücken aktiv auszunutzen. An schlechten Tagen versuchen im Sekundentakt solche Skripte, meine WordPress-Sites zu kompromittieren. Die zweite Möglichkeit sind sogenannte Brute-Force-Attacken, bei denen ebenfalls über vollautomatische Programme versucht wird, Nutzernamen der Site auszuspähen und mit Wörterbuch-Angriffen das mögliche Passwort des Users zu ermitteln.

Woher kommen diese „Wörterbücher“?

Zum einen würden Sie sich wundern wie einfache Passwörter manche User auch 2019 immer noch verwenden – nicht umsonst gehörten „123456“, „password“ und „123456789“ selbst im Jahr 2018 immer noch mit zu den meist genutzten Passwörtern. Dazu stammen viele Nutzer und Passwortkombinationen aus bekannten Hacks wie zum Beispiel auf Facebook, das Playstation-Network und viele andere mehr. Diese Listen lassen sich im Internet für kleines Geld erwerben und sehr effektiv nutzen. Häufig sind dabei sogar auch Mailadressen und Passworte enthalten, mit der Sie sich bei WordPress ebenfalls anmelden können.

Sie sehen – der Aufwand und intellektuelle Anspruch hält sich in sehr engen Grenzen. Aber was hat der Hacker nun davon?

Wenn Sie eine e-Commerce-Site besitzen, die kompromittiert werden kann, ist das für den Hacker natürlich der Jackpot, da er nicht nur umfangreiche Kundendaten und evtl. sogar Kreditkartendaten uvm. abgreifen kann.

Aber auch vermeintlich „uninteressante“ und kleine Sites sind interessant. Anbei nur die Spitze des Eisbergs:

1. Es können versteckt Links platziert werden als vermeintliche „SEO-Maßnahme“.
2. Weiterleitung der User auf Affliate-Sites, mit denen der Hacker Geld verdient.
3. Einfügen von Schadcode und Viren, die über Ihre Site verteilt werden.
4. Übernahme des Servers und der damit verbundenen Rechenleistung für Botnets, DDoS-Attacken oder Brute-Force-Angriffe auf andere Server.

Klares NEIN! Gegen einen gut koordinierten Angriff versierter Hacker sind Sie niemals absolut gefeit.

Allerdings kann ein gut vorbereiteter Admin einiges tun, um Ihr System zumindest zu 99,9% abzusichern. Ich persönlich besitze jede Menge Erfahrung auf dem Sektor und zuletzt wurde 2006 eine meiner eigenen (zugegebenermaßen vernachlässigten und eigentlich auch niemals wirklich bekannt gemachten) Sites gehackt. Bis dato wurde noch niemals eine der Sites eines meiner Kunden gehackt.

Dennoch kann ich gemäß des ersten Absatzes nicht hundertprozentig gewährleisten, dass Ihre Website niemals gehackt wird. Ich kann Ihnen aber garantieren, dass ich nach Best-Practice und bestem Wissen und Gewissen alles unternehme, um Ihre Site bestmöglich gegen „unerwünschte Besucher“ abzusichern. Eine „Garantie“ werde ich dennoch nicht aussprechen.

Gerne dokumentiere ich Ihnen aber, welche Maßnahmen ich ergriffen habe.

Sollte wirklich einmal der schlimmstmögliche Fall (s.o. zum Beispiel ein „Hack“) eintreten, so haben Sie zumindest die Daten und Datenbank noch in der Hinterhand und sind in der Lage die Daten schnellstmöglich zu restaurieren.

So sieht dies insbesondere auch Artikel 32, Absatz 1.c.) der DSGVO vor:

die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

Insbesondere als Betreiber einer e-Commerce Site, aber auch jeglicher anderer Web-Application, die umfangreiche persönliche Daten (z.B. Foren oder ähnliches) erhebt, sind aktuelle Backups also systemkritisch. Für jeden anderen Website-Betreiber aber auch zumindest wünschenswert, wenn alle Daten auf einmal durch einen Hack oder einen Hardware-Fehler, wie zum Beispiel eine kaputte Festplatte, gelöscht sind.

Unter Umständen lässt sich über das Backup sogar herausfinden, über welchen Weg die Hacker in das System eindringen konnten.

Selbstverständlich erstelle ich ohnehin automatisch verschlüsselte Backups Ihrer Anwendung sowohl lokal auf Ihrem Webserver als auch „Remote“ auf einem anderen Webserver, in der Cloud oder auf jedem beliebigen Speicherplatz, den Sie zur Verfügung stellen.

Grundsätzlich unterscheidet man in der Web-Entwicklung zwischen folgenden drei Ebenen:

1. Dev- oder Development-Server
   Meist läuft der Dev-Server lokal auf dem Rechner des Entwicklers oder im Netzwerk der Agentur ohne direkte Anbindung nach „außen“ zum Internet. Deshalb ist er auch von extern (meist) nicht erreichbar. Zur Entwicklung ist dies aber völlig ausreichend. Zudem können die realen Serverbedingungen auch lokal heutzutage nahezu 1:1 z.B. mit Docker oder Vagrant virtualisiert werden.
2. Staging-Server
   Ist die Entwicklung eines Moduls abgeschlossen, wird es auf dem Staging-Server „deployed“ (veröffentlicht). Normalerweise sollten alle Updates und Änderungen am Live-Server ebenfalls zunächst auf dem Staging-Server getestet werden. Hier erfolgt auch die Abnahme durch den Kunden.
3. Live-Server oder Production-Server
   Der Live-Server ist der Server, den Ihr Endkunde letztendlich besucht. Mit seiner weltweiten 24/7/365 Erreichbarkeit (im Optimalfall) ist er aber auch letztendlich am angreifbarsten.
   Direkte Arbeiten am Live-Server sind in etwa vergleichbar einer Operation „am offenen Herzen“ und daher – auch wenn es oft dennoch funktioniert – nicht wirklich zu empfehlen. Ein gewissenhafter Entwickler wird alle Tests im Normalfall erst auf einem Staging-Server vornehmen und erst nach intensiven Tests und erfolgter Abnahme anschließend auf dem Live-Server deployen.

Es spricht also alles für einen Staging-Server, da hier alle Updates zunächst getestet und abgenommen werden können. Sollte einmal etwas schief laufen, passiert das nicht direkt auf dem Production-Server und beeinflusst somit Ihre Anwendung und Kunden nicht.

Deshalb biete ich bei meinen WordPress-Wartungsangeboten im Paket „Premium“ auch einen Staging-Server inklusive an, den ich auf Ihrem Server einrichte. Dazu benötigen Sie natürlich ausreichend Platz auf dem Server sowie eine weitere Datenbank.

Bei allen anderen Paketen können Sie einen Staging-Server als Upgrade zusätzlich dazu buchen. Verzichten Sie auf einen Staging-Server, bleibt mir nichts anderes übrig, als direkt auf dem Live-System zu arbeiten. Geht unerwartet dennoch einmal etwas schief, investiere ich bis zu einer Stunde, um das Problem einzugrenzen und ggf. direkt zu fixen. Ist absehbar, dass es länger dauert versuche ich direkt mit Ihnen in Kontakt zu treten und das weitere Vorgehen zu besprechen. Ist dies nicht möglich (z.B. weil außerhalb der üblichen Geschäftszeiten), greife ich auf das vorab erstellte Backup zurück und versetze den Server in den Zustand vor dem Update zurück.

Für die Durchführung des Wartungsauftrags benötige ich folgende Daten und Zugänge:

• Einen eigenen WordPress-Account mit uneingeschränkten Admin-Rechten.
  Nur mit diesen kompletten Rechten kann ich im Notfall entsprechend agieren. Wenn Sie möchten, kann aufgrund des getrennten Nutzers auch ein komplettes Log mit meinen einzelnen Tätigkeiten nachgewiesen werden.
• Einen FTP-Zugang mit uneingeschränktem Schreib- und Lesezugriff
  Zum Hoch- und Runterladen von Daten und Einspielen von Updates wird u.U. ein FTP-Zugang benötigt. Nur hiermit ist effektiv auch das Ändern von Dateien möglich.
• Vollzugriff auf die Datenbank
  Dazu benötige ich die Daten des Datenbank-Host (Servers), den Namen der Datenbank, den Nutzernamen und das Passwort für den Login auf die Datenbank.
• Sinnvoll: Zugang zum Hosting-Panel Ihres Providers
  Oftmals lässt sich hier noch einiges an den Einstellungen des Servers optimieren und damit die Performance verbessern.

Ja, mir ist bewusst, dass dies sensible Daten sind.

Ich weise Sie aber gerne ein, wie Sie mir diese Daten unkritisch übermitteln können und lösche sie auch automatisch, wenn wir mehr als drei Monate keinen Kontakt hatten bzw. nachdem Verträge auslaufen. Wenn ich einen Zugang nicht mehr benötige, weise ich Sie auch darauf hin und erkläre Ihnen, wie und wo Sie die zugehörigen Nutzer und Passworte ändern können.

Im Normalfall dauern Updates und sonstige Wartungsarbeiten nur wenige Minuten, deshalb führen die meisten Entwickler sie meist am laufenden System durch.

Ich handhabe dies meist anders, indem ich die Website mit einer Vorschaltseite kurzzeitig mit „Diese Site wird grade gewartet. Sie erreichen uns in X Minuten wieder!“ kennzeichne. Für Ihre Besucher hat dies den Vorteil, dass nicht mitten in einer Interaktion / Transaktion abgebrochen wird und sie außerdem eine klare Vorstellung davon haben, wann es „normal weiter geht“.

Damit können sie sich auf die Situation einlassen und haben eine klare Vorstellung von den aktuellen Vorgängen.

Diese Wartungsfenster habe ich bis dato noch niemals überschritten.

Mit mir als Freiberufler haben Sie den Vorteil, dass ich nicht an feste Bürozeiten gebunden bin – auch wenn ich diese im Sinne einer gewissen Work-Life-Balance natürlich einzuhalten versuche.

Wenn mir entsprechende Statistiken vorliegen, ermittle ich gerne, wann Ihre Besucher auf der Site am aktivsten sind und werde die Updates nach Möglichkeit nicht zu diesen Zeiten durchführen. Ich habe großes Verständnis, wenn Betreiber eines hochfrequentierten Blogs oder einer gut besuchten e-Commerce-Site natürlich möglichst keine Downtimes in Kauf nehmen möchten.

Deshalb verschiebe ich solche Updates auch gerne in die späten Abendstunden. Eine Garantie dafür spreche ich Ihnen gegen einen gewissen Aufpreis je nach Umfang aus. Sprechen Sie mich an – wir finden eine für alle Seiten befriedigende Lösung.

Ja, selbstverständlich erhalten Sie einen AV-Vertrag zur Unterschrift, wie Artikel 28 der DSGVO dies vorsieht. In ihm sind Rechte und Pflichten beider Parteien im Detail aufgeführt.

Nein. Ich weise Sie aber spätestens einen Monat vor Ablauf eines Pakets darauf hin. Ob Sie dann gerne verlängern möchten oder nicht, überlasse ich Ihnen. Aber automatisch wird kein Vertrag verlängert.

Sie können außerdem jederzeit fristlos kündigen und unsere Zusammenarbeit damit beenden. Allein vorab gezahlte Beträge werden nicht zurückerstattet, wenn ich den Vertrag nicht aus persönlichen Gründen kündigen muss.