Torsten begann seinen Vortrag mit einem Verweis auf das Buch „In the Beginning Was the Command Line“ und erläuterte die Evolution von der Command Line über User Interfaces bis zur heutigen Abstraktion. Er stellte die WordPress-Philosophie vor und wies auf RSS-Feeds als wichtiges Tool zum Abonnieren von Blogs hin. Seine zentrale Frage: Was passiert, wenn Technik zu sehr vereinfacht wird?
Die häufigsten unsichtbaren Fehler
1. Standard-Inhalte und Demo-Content
- Der berüchtigte „Just another WordPress Website“ Untertitel bleibt oft unverändert
- Der „Hallo Welt“ Standard-Post ist bei vielen Seiten noch live
- Die Beispielseite wird häufig vergessen und bleibt öffentlich zugänglich
- Demo-Inhalte von Themes und Plugins (wie /portfolio-demo3, /portfolio-demo4) werden versehentlich als öffentliche Posts statt als Entwürfe veröffentlicht
2. Grundlegende Einstellungen
- Favicon: Oft wird das Standard-WordPress-Icon nicht geändert
- Zeitzone: Falsche Zeitzoneneinstellungen können zu Problemen bei geplanten Beiträgen führen
- Permalinks: Sprechende URLs (mod_rewrite) werden häufig nicht aktiviert, wodurch alles über index.php läuft
3. Anhangseiten-Problematik
Anhangseiten erstellen Einträge in der Post-Tabelle und sind immer als Attachment gekennzeichnet. Probleme:
- Kommentare sind standardmäßig aktiviert, was zu Spam führen kann
- Beste Praxis: Kommentare sofort deaktivieren oder Anhangseiten direkt auf das Medium weiterleiten
- Diese Seiten werden für Google nicht benötigt
4. Plugin-Fallen
- Akismet: Meist aktiviert, aber ohne API-Key funktionslos (zudem datenschutzrechtlich problematisch)
- Hello Dolly: Wird von niemandem gebraucht
- Geschlossene Plugins: Erhalten keine Updates mehr, zeigen aber auch keine Warnung an – das Plugin „Plugin Report“ kann hier helfen
5. Sicherheit und Performance
SSL und Weiterleitungen:
- HTTP zu HTTPS Redirects fehlen oft
- Wichtig: 301-Weiterleitungen einrichten und in der Datenbank umfassend ändern, um Loops zu vermeiden
PHP-Version:
- Veraltete PHP-Versionen sind unsicher und hackbar
- Kompatibilität mit WordPress-Version prüfen
Datenschutz und Sicherheit:
- Gravatare sind datenschutzrechtlich schwierig
- Display_errors sollte deaktiviert sein
- Directory Index sollte deaktiviert sein
- FTP-Server sind keine Dropbox: Keine .bak-Dateien oder ähnliches speichern
6. Technische Optimierungen
Autoload-Problematik:
- In der Options-Tabelle wird alles gespeichert
- Bei jedem Request werden alle Optionen mit autoload=yes geladen
- Tool-Tipp: AAA Option Optimizer zum Debuggen
- Transiente speichern Caches und können die Datenbank aufblähen
Health Check:
- Der WordPress Website-Zustand ist eine wunderbare Übersichtsseite
- Nicht alle Warnungen müssen beachtet werden
Veraltete Konstanten:
- WP_MEMORY_LIMIT oft zu niedrig eingestellt
- COMPRESS_JS, COMPRESS_CSS sind ressourcenfressend (besser serverseitig)
- DEBUG_LOG kann versehentlich aktiviert bleiben und riesige Log-Dateien erzeugen
7. SEO und Sitemaps
- Custom Post Types können ungewollt in XML-Sitemaps landen
- Seiten ohne Inhalt (Daten über Custom Fields) sollten auf noindex gesetzt werden
- Robots.txt: Seit WordPress 6.8 gibt es einen Check im Website-Zustand
- WordPress-Suche nutzt MySQL Fulltext und findet auch HTML-Befehle und Block-Markup
- Plugin-Tipp: Relevanssi für bessere Suchergebnisse
8. Weitere technische Details
- Inode-Limits: Begrenzung der Dateianzahl auf Servern (Problem bei Caching-Plugins wie W3 Total Cache)
- Links: Bei target=“_blank“ wird automatisch rel=“noopener“ gesetzt
- htaccess: Cross-Site-Scripting-Schutz oft veraltet, Cache-Control-Einstellungen fehlen
- Themes: Mehr als ein Standard-Theme ist unnötig – alle anderen löschen
Fazit
Torstens Vortrag zeigt eindrucksvoll, wie viele „unsichtbare“ Fehler sich in WordPress-Installationen verstecken können. Die meisten entstehen durch:
- Vernachlässigung nach der Installation
- Zu starke Abstraktion der Technik
- Fehlende Wartung und Updates
- Unkenntnis über Sicherheitsrisiken
Die wichtigste Erkenntnis: Regelmäßige Überprüfung und bewusste Konfiguration sind essentiell für sichere und performante WordPress-Websites.