SEO Campixx - Word Press Professional

WordPress Professional

SEO Campixx 2015 | 14. März 2015

Folien unter sblum.de/seocampixx

Über uns

Agenda WordPress Professional

• Einführung WordPress, Multisite, (Themes) & Plugins

• Koexistenz auf einer Domain

• Technisches Feintuning: Caching & Sicherheit in der Multisite

Über WordPress

• Verbreitung

• wordpress.org

• wordpress.com und Automattic

Über WordPress

• Basiert auf PHP (mind. 5.2.4) und MySQL (mind. 5.0.15)

• GNU GPLv2 Lizenz

• Verteilung 2014 (geschätzt)

75 %

25 %

WordPressandere Systeme

34 %

66 %

22 %

78 %

weltweitaktive Seiten

WordPress /andere CMS

deutscheBlogosphäre

Über WordPress

• WordPress als SaaS: wordpress.com (/ wordpress.de) Eingeschränkte Funktionen bei Plugins & Themes Betreiber: Automattic Inc. (kommerziell) Erweiterungen durch Jetpack & Co.

• WordPress zum selbst hosten: wordpress.org

• Plugin-Repository: 36.378 Plugins auf wordpress.org 3.331 kostenpflichtige auf codecanyon.net uvm.

• Theme-Repository: tausende auf wordpress.orgThemeforest uvm.

Stan

d: 0

1.03

.201

5

Vergleich Single- & Multisite-Installation

WordPress Single und Multisite – Installation

• Einzeln komplett voneinander getrennte WordPress-Installationen

• Festlegung auf eine Sprache

• Einzelner WP-Kern und viele Unterseiten

• Multisite als Lösung für mehrsprachige Websites

WordPress Single und Multisite – Installation

• Initiale Einrichtung, Wartung und Updates mehrere Seiten über Tools wie z. B. InfiniteWP oder ManageWP (SaaS)

• Volle Admin-Rechte für versierte Nutzer möglich (z. B. für Installation von Plugins u. Ä.)

• Initiale Einrichtung leichter und schneller, komplette Kontrolle in eigener Hand

• Admin-Rechte für einzelne Seiten, Super-Admin mit Zugriff zu allen Seiten

WordPress Single und Multisite – Installation

• Plugins und Themes können den gewünschten Versions-Stand aufweisen (z. B. Pagebuilder & dazu optimiertes Theme)

• Plugins und Themes werden individuell pro Seite ausgesteuert, aber nur ein Versionsstand pro Plugin / Theme möglich

WordPress Themes

• Default Themes

• Starter Themes

• Vollwertige Themes

• Child Themes

WordPress Default-Themes

WordPress Default-Themes

WordPress Default-Themes

WordPress Default-Themes

• Default-Themes 2013-2015 in der 6,7 MB großen WordPress-Installation inklusive

• Seit 2011 bereits voll responsiv

• Bis auf [caption] keine weiteren BB-Codes und Funktionen

• Voll funktionsfähiges Theme und volle Kompatibilität bei Theme-Wechsel

• Default-Themes auch als Starter-Theme geeignet

WordPress Themes

• Default Themes

• Starter / Blank Themes

• Vollwertige Themes

• Child Themes

WordPress Starter Themes: Underscores _S

WordPress Starter Themes: Underscores _S

seve

nroo

ts.c

om

WordPress Starter Themes: Underscores _S

WordPress Starter Themes: Underscores _S

• Grundgerüst, auf dem Theme-Designer aufbauen können

• Entwickler hinter _S: Automattic

• Lt. Entwickler von _S Einsparung von über 1.000 Arbeitsstunden für den Grund-Aufbau

• _S ist und bleibt gratis

• Basis für rund 300 Themes im WordPress-Repository

WordPress Starter Themes: darauf achten!

• Empfehlenswert als Basis: Twitter BootstrapWP oder Foundation for WordPress; HTML5 und CSS3

• Vorbereitete jQuery Plugins für Dropdowns & Co.

• Responsive CSS

• Saubere Template-Struktur und Dokumentation

http

://w

ww.

elmas

tudi

o.de

/wor

dpre

ss/re

spon

sive-

wor

dpre

ss-b

lank-

them

es-in

-der

-ube

rsich

t/

WordPress Themes

• Default Themes

• Starter Themes

• Vollwertige Themes

• Child Themes

WordPress Themes

WordPress Themes

• Installieren und sofort einsatzbereit

• Code-Qualität und Anpassbarkeit sehr unterschiedlich

• Top-Entwickler, die ihre Themes tausendfach verkaufen

• breiter Funktionsumfang

• gute Individualisierungsmöglichkeiten auch ohne Programmierkenntnisse

• Umfangreiche Themes oft mit Plugins wie Visual Composer (Page Builder) & Revolution Slider gekoppelt

WordPress Themes

• Drag & Drop Pagebuilder: Websites bauen ohne Programmierkenntnisse

• Je nach Theme-Entwickler mit schlankem bis sehr umfangreichem Backend

0

22,5

45

67,5

90

Anpa

ssba

rkeit

Umfangreiches Backend

Schlankes Backend

Anpassungen via CSS-Coding

Anpassungen via Theme Panel

WordPress Themes

• Default Themes

• Starter Themes

• Vollwertige Themes

• Child Themes

WordPress Child Themes

• Basis ist ein vollwertiges (kein Starter!) Theme (Parent)

• Verändert das Theme in den Styles und Funktionen, kleine Ergänzungen möglich, die zusätzlich geladen werden

• Parent-Theme kann so aktualisiert und trotzdem individuell angepasst werden

• Selbst gewählter Theme-Name des Child-Themes erscheint im Quelltext

WordPress Plugins

• MU-Plugins

• Was macht gute Plugins aus

• Beschränkungen durch PHP 5.2

WordPress Plugins

• MU-Plugins

• Was macht gute Plugins aus

• Beschränkungen durch PHP 5.2

MU-Plugins

• Sowohl für Multisite- als auch Einzel-Installation (seit 2.8)

• Must Use Plugins (mu-plugins) erscheinen unter dem Reiter „Obligatorisch“ bei /wp-admin/plugins.php

• MU-Plugins müssen nicht extra aktiviert werden, sondern sind sofort nach Upload im Einsatz

• Nutzer können die Plugins nicht versehentlich deaktivieren

• MU-Plugins werden vor normalen Plugins geladen (nützlich für Buffern, Caching, uvm.; Bereitstellung von Bibliotheken, die in anderen Plugins oder in Themes verwendet werden)

WordPress Plugins

• Plugins und MU-Plugins

• Was macht gute Plugins aus

• Beschränkungen durch PHP 5.2

Was gute Plugins ausmacht

• Regelmäßige, aber nicht tägliche Updates

• Einhaltung der WordPress Coding Standards: http://codex.wordpress.org/WordPress_Coding_Standards

• Ausreichende Plugin-Beschreibung

• Bei Nicht-kommerziellen Plugins Transparenz mittels GitHub oder ähnliches Repository

WordPress Plugins

• Plugins und MU-Plugins

• Was macht gute Plugins aus

• Beschränkungen durch PHP 5.2

Plugin-Beschränkungen durch PHP 5.2

• Einschränkungen durch veraltete PHP-Version 5.2

• keine Namensräume bei Klassen (Namespaces)

• keine anonymen Funktionen (Closures)

→ Umständlichere Programmierung notwendig

Koexistenz: 2 Systeme auf einer Domain

• Einfache Installation im Unterordner

• Voll-Integration im Wurzelverzeichnis

• Vor- und Nachteile

Koexistenz: 2 Systeme auf einer Domain

• Einfache Installation im Unterordner

• Voll-Integration im Wurzelverzeichnis

• Vor- und Nachteile

Koexistenz: Installation in Unterordner - Hauptseite

Koexistenz: Installation in Unterordner: /magazin

Koexistenz: Installation in Unterordner: /magazin

Koexistenz: 2 Systeme auf einer Domain

• Einfache Installation im Unterordner

• Voll-Integration im Wurzelverzeichnis

• Vor- und Nachteile

Koexistenz - reales Beispiel

• System A auf Symfony2 Basis mit Foundation, SASS, AngularJS und Co.

• System B mit WordPress, Premium-Theme und Page Builder

• Whitelisting von /magazin /informationen /blog auf WordPress

Koexistenz - reales Beispiel

Koexistenz: Voll-Integration - Hauptseite

• Startseite mit Symfony2 und Frontend-Individual-Entwicklung

Koexistenz: Voll-Integration - Hauptseite

• Unterseite des Symfony2-Systems

Koexistenz: Vollintegration - WP-Unterseite 1

• Whitelisting von /magazin /informationen/blog uvm.auf WordPress

Koexistenz: Vollintegration - WP-Unterseite 2

• Whitelisting von /magazin /informationen/blog uvm.auf WordPress

Koexistenz: 2 Systeme auf einer Domain

• Einfache Installation im Unterordner

• Voll-Integration im Wurzelverzeichnis

• Vor- und Nachteile

Koexistenz - Nachteile

• Designanpassung zwischen unterschiedlichen Systemen mit meist unterschiedlichem HTML-Aufbau

• Alternativ zwei Designs auf einer Domain

• komplexere Webserver-Konfiguration bei Voll-Integration notwendig

Koexistenz - Vorteile

• Vorteile des jeweiligen Systems im Vordergrund

• Beispiel Content-Strategie: Inhalte via WordPress schnell und einfach wie bei einem Facebook-Auftritt publizieren; Pflege ohne Programmierkenntnisse

• Beispiel Redirects: statt mehreren hundert 301 in der .htaccess nach einem Relaunch, Whitelisting der alten Seiten für WordPress und Umleitung mit WP Redirect Plugin

• Keine Beschränkung auf Ordner (bei Voll-Integration)

Koexistenz: einfache vs. Voll-Integration

• alle Unterseiten von WordPress hierarchisch unter /magazin/unterseite

• Plugins (z. B. Redirection) greifen nur rekursiv für /magazin

• Whitelisting der gewünschten URLs Hauptsystem <-> WP

• Plugin-Funktionen für alle white-gelisteten Seiten

Technisches Feintuning

• Caching

• Sicherheit

• Sicherheitsmaßnahmen

Technisches Feintuning

• Caching

• Sicherheit

• Sicherheitsmaßnahmen

Response Header+HTML

Page

Caching

• Varnish Cache

• W3 Total Cache

Objekt

Objekt

Varnish Cache

Varnish Web-Server

Anfrage /url

Anfrage /url

AntwortHeader + HTML

Keine Anfrage

Technisches Feintuning

• Caching

• Sicherheit

• Sicherheitsmaßnahmen

Sicherheit - WordPress Schlagzeilen

heise Security vom 11.09.2014

Sicherheit - WordPress Schlagzeilen

blog.uberspace vom 23.11.2014

Sicherheit - WordPress Schlagzeilen

t3n vom 25.11.2014

Sicherheit - WordPress Schlagzeilen

heise Security vom 06.02.2015

Sicherheit - WordPress Schlagzeilen

t3n vom 25.02.2015

Sicherheit - WordPress Schlagzeilen

thehackernews.com vom 11.03.2015

Sicherheit - WordPress Update-Politik

• WordPress Entwickler-Team reagiert sehr schnell auf Sicherheitslücken

• Reaktionsgeschwindigkeit zum Schließen von Lücken bei Themes und Plugins stark unterschiedlich: große Abhängigkeit von den Entwickler!

Sicherheit - WordPress Update-Politik

• Keine Updates zu installieren ist grob fahrlässig

• Änderung der Update-Politik seitens WordPress auf Auto-Update seit Version 3.7 und deutlich höhere Aktualisierungs-Frequenz

• Nicht immer sind Updates unproblematisch: schlecht programmierte Plugins & Themes können die Seite schießen

WordPress Hack Beispiel von September 2014

Sicherheit - WordPress Hack Beispiel

Sicherheit - WordPress Hack Beispiel

Sicherheit - WordPress Hack Beispiel

Sicherheit - WordPress Hack Beispiel

Sicherheit - WordPress Hack Beispiel

Sicherheit - WordPress Hack Beispiel

Sicherheit - WordPress Hack Beispiel

• Umfrage kam nur einmal pro anfragender IP-Adresse und nicht beim eingeloggten Benutzern

• Einblendung erst nach dem 5. Klick innerhalb der Seite

• Schad-Code war zusätzliches eingefügtes JavaScript

Technisches Feintuning

• Caching

• Sicherheit

• Sicherheitsmaßnahmen

Sicherheitmaßnahmen - WordPress Hardening

• Standard-Aktionen

• Verzeichnisschutz vor /wp-admin & /wp-login.php

• Kein „admin“, zufallsgenerierte Passwörter

• Snitch-Plugin (WordPress Traffic-Überwachung)

• SSL-Verschlüsselung für WordPress-Backend

Sicherheitmaßnahmen - WordPress Hardening

• Eigene Skripte

• Komplette Einschränkung der Verzeichnisrechte: keine Schreibrechte für Ordner aus Upload in wp-content und Caching: Plugin- und Theme-Installation erst nach extra Freigabe möglich

• Ausführen von PHP-Skripten im uploads-Ordner untersagt

• Auto-Update auf Staging, erst dann Ausspielung auf Live

• Tägliche Backups der Files, des WP-Kerns und der Datenbank

sblum BlogadminMultisite-Installation

sblum Multisite Blogadmin

• Ein WordPress-Kern unter blogadmin.de

• Neue WordPress-Seite für Kunden in wenigen Minuten angelegt

• keine eigene WordPress-Installation notwendig

• automatisches Anlegen der Datenbankstruktur

• Automatisierte Prozesse: komplette Sicherung und Updates zentral für alle Installationen

sblum Multisite Blogadmin

• DNS-Eintrag der Kunden-Domain wird auf blogadmin.de gelegt

• Jeder Kunde erhält einen Zugang zu seiner einzelnen oder zu seinen mehreren Seiten

• Themes und Plugins werden geprüft, dann installiert und anschließend gezielt für die Unterseiten aktiviert

• Deutlich höhere Absicherung als herkömmliche WordPress-Installationen: WordPress Professional.