2018 l l lWordPress – Webhosting lWordPress – Webhosting l l l l l l l l l l l l l Systemanforderungen für WordPress * PHP-Version 7.2 oder höher MySQL-Version 5.6 oder höher ODER MariaDB-Version 10.0 oder höher HTTPS-Unterstützung Nginx- oder Apache-Server mit dem Modul mod_rewrite * Aktuelle Empfehlung von wordpress.org (Stand: WordPress Version 4.9.7) • • • •
2018 l l lWordPress – Webhosting lWordPress – Webhosting l l l l l l l l l l l l l • • • • • • • • • PHP-Version 7.2 MySQL 5.7 Gibt es integriertes Caching? (OPcache) Wie hoch ist das PHP Memory Limit? (256 MB ist exzellent) Wird SSD Hosting angeboten? (SSD-Festplatten sind schneller) Wieviele Kunden pro CPU-Kern? (Je weniger Kunden pro CPU desto schneller) Wie hoch ist der zugesicherte RAM? (Je mehr desto besser) Wird pro Kunde ein eigener Apache-Server angeboten? TIP: Googelt nach Hoster, Ranking, Ladezeiten Webhosting Checkliste (Performance)
2018 l l lWordPress – Webhosting lWordPress – Webhosting l l l l l l l l l l l l l • • • • • • Sind automatische Backups (wie viele?) im Paket enthalten oder müssen extra bezahlt werden (falls keine, dafür gibt’s auch Plugins) Werden SSL-Zertifi kate im Paket angeboten? („Let’s Encrypt“ oder andere) Wird ein SFTP-Zugang angeboten? (FTP über eine verschlüsselte Verbindung) Wird SSL/TLS angeboten? (Senden und empfangen von E-Mails über verschlüsselte Verbindung) Sind die Verträge DSGVO-konform? (Bietet der Hoster einen AVV an?) * Ist der Serverstandort in Deutschland? Gibt es mehrere Serverstandorte? (Vorsicht: Kalifornien!) * Tolle Übersichtsliste bei https://www.blogmojo.de/av-vertraege/ Webhosting Checkliste (Sicherheit)
2018 l l lWordPress – Webhosting lWordPress – Webhosting l l l l l l l l l l l l l • • • • • Sind Domains im Paket enthalten? (Wie viele und welche Typen?) Unbegrenzt Traffi c? (Datenvolumen) Wieviel Speicherplatz? (Pro WordPress-Installation 1-5 GB, pro aktives E-Mail-Postfach ca. 2 GB) * Wie viele Datenbanken sind enthalten? (Pro WordPress-Installation eine Datenbank) Wie viele E-Mail Postfächer und wieviel Speicherplatz? (POP3/IMAP) * Bei manchen Hostern ist die Angabe für Speicherplatz für Webspace, Datenbank und E-Mail-Postfächer zusammen. Webhosting Checkliste (Ausstattung)
2018 l l lWordPress – Webhosting lWordPress – Webhosting l l l l l l l l l l l l l • • • • • • • Wird eine 1-Klick WordPress-Installation angeboten? Wird ein für WordPress optimiertes Hosting angeboten? (Tip: nur weil WordPress Hosting draufsteht, muss nicht WordPress Hosting drin sein! Auch ein höherer Preis ist kein Indikator dafür!) Einrichtungsgebühr, Vertragslaufzeit und Kündigungsfristen? Welche Zahlungsweisen und Abrechnungszeiträume werden angeboten? Wird kostenloser Umzug bei schon vorhandener Webseite angeboten? Wieviel Service ist im Paket enthalten (nur E-Mail Support oder Ticketsystem, wenn per Telefon welche Telefonzeiten, auch am WE?) 100% Ökostrom? (Nice to have) Webhosting Checkliste (Vertrag + Service)
2018 l l lWordPress – Webhosting lWordPress – Webhosting l l l l l l l l l l l l l • • • • • • Wint.global https://wint.global (besondere Angebote für Vereine und NGOs) Domain Factory https://www.df.eu ALL-INKL https://all-inkl.com RaidBoxes https://raidboxes.de webgo https://www.webgo.de WP-Projects https://wp-projects.de Hoster bis 10€ im Monat
2018 l l lWordPress – Webhosting lWordPress – Webhosting l l l l l l l l l l l l l • • • • • ALL-INKL https://all-inkl.com RaidBoxes https://raidboxes.de webgo https://www.webgo.de WP-Projects https://wp-projects.de WP Engine https://wpengine.com (vom WordPress Begründer Matt Mullenweg mitbegründet) Hoster bis 30€ im Monat (Professional)
2018 l l lWordPress – Webhosting lWordPress – Webhosting l l l l l l l l l l l l l • • • RaidBoxes https://raidboxes.de (50–300€) WP Engine https://wpengine.com (115–290$) WLWP https://wlwp.eu (69–1000€) Hoster über 30€ im Monat (Business – Enterprise)
l l l l l l l l l l l l l l Variante A Ändern des Präfi x in der 1. wp-confi g.php (wie vorher beschrieben) Umbenennen der Tabellen in der 2. MySQL-Datenbank mit Hilfe des Verwaltungstools phpMyAdmin Variante B Mit Hilfe eines Plugins ändern: Change Table Prefi x • https://wordpress.org/plugins/change-table-prefi x/ WP Prefi x Changer • https://wordpress.org/plugins/wp-prefi x-changer/ WordPress – Sicherheit Nachträglich das Datenbank Präfi x ändern
l l l l l l l l l l l l l l Auf keinen Fall sollte der Benutzername „admin“ sein. Da dies sehr lange der Standard-Benutzername für WordPress war, ist dieser Benutzername besonders unsicher. WordPress – Sicherheit WordPress Benutzer
l l l l l l l l l l l l l l Veraltete Regel Laut einer Empfehlung aus dem Jahr 2003 von Bill Burr, Beamter der US-Behörde NIST (National Institute of Standards and Technology) soll ein sicheres Passwort aus 6 bis 8 Zeichen, kleine und große Buchstaben, Zahlen und Sonderzeichen be- stehen und alle 90 Tage geändert werden. Im August 2017 äußerte der inzwischen pensionierte Bill Burr sein wortwörtli- ches „Bereuen“ gegenüber dem Wall Street Journal. WordPress – Sicherheit Sicheres Passwort verwenden
l l l l l l l l l l l l l l Neue Richtlinien der NIST Nach jetziger Ansicht des NIST sind sichere Passwörter eher lang (mind. 12 Zeichen) und weniger komplex. Also die Anzahl der Zeichen ist wichtiger als die Komplexität. Quelle: Wikipedia WordPress – Sicherheit Sicheres Passwort verwenden
l l l l l l l l l l l l l l Bei einer sogenannten „Brute Force Attacke“ testet ein Bot abertausende Kombinationen aus Benutzernamen und Passwörtern auf der WordPress Login-Seite. Standardmäßig ist die Anzahl der Login-Versuche bei WordPress uneingeschränkt. Aber mit folgenden Plugin lässt sich die Anzahl der Versuche limitieren: Limit Login Attempts Reloaded * https://de.wordpress.org/plugins/limit-login-attempts-reloaded/ * Limit Login Attempts hat ein Verfallsdatum. Mit der neuen Generation von IP-Adressen (den IPv6-Adressen) kann zudem ein einzelner Angreifer seine IP-Adresse in Bruchteilen von Sekunden wechseln. WordPress – Sicherheit Die Anzahl der Login-Versuche einschränken
l l l l l l l l l l l l l l Die zweifache Authentifi zierung, die zum Beispiel von Internetbanking oder Facebook bekannt ist, steht auch WordPress zur Verfügung. Diese lässt sich mit folgendem Plugin realisieren: Google Authenticator https://wordpress.org/plugins/google-authenticator/ Plus der gleichnamigen App für das Smartphone aus dem App-Shop Google Play (für Android) oder App Store (für iOS) WordPress – Sicherheit 2-Faktor-Authentifi zierung für WordPress
l l l l l l l l l l l l l l Mit folgenden Plugin lassen sich neue Themes auf Viren testen und anschließend auch regelmäßig auf Infektionen im laufenden Betrieb prüfen AntiVirus https://de.wordpress.org/plugins/antivirus/ WordPress – Sicherheit WordPress Theme auf Viren & Malware überprüfen
l l l l l l l l l l l l l l Sobald auf der WordPress Webseite die Kommentarfunktion aktiviert und den Lesern somit die Möglichkeit gegeben wurde, Kommentare zu den Beiträgen und Seiten zu hinterlassen, stürzen sich auch Spam-Bots auf die Seite. Deren Ziel es ist, Links auf dubiose Webangebote oder gar für die Webseite schad- haften Code zu platzieren. Dagegen hilft folgendes Plugin: Antispam Bee https://de-ch.wordpress.org/plugins/antispam-bee/ WordPress bringt von Hause aus zwei Plugins mit: Hello Dolly und Akismet. Akismet machen dasselbe wie Antispam Bee und ist sehr beliebt, aber leider nicht DSGVO-konform und deshalb nicht für den europäischen Raum zu empfehlen WordPress – Sicherheit Spam Kommentare im WordPress-Blog eliminieren
l l l l l l l l l l l l l l Htaccess steht kurz für Hypertext Access. Es ist eine Textdatei, mit der die Konfi guration des Apache Webservers beeinfl ussen werden kann. Die Konfi gurationen in der .htaccess-Datei, beziehen sich dabei immer auf den gesamten Inhalt des aktuellen Verzeichnisses. Sprich alle Dateien und Unterordner die sich darin befi nden. WordPress – Sicherheit Was ist eine .htaccess-Datei