Ich verwende hier für lexxi.at das Plugin Like von Bottomless. Einfach zu installieren und sehr simple zu konfigurieren!

Ist Stand Erhebung: Dank Mattew Mullenweg und der riesigen Community an Codern und Enwicklern kann man bei einem Blog der auf WordPress passiert relativ einfach messen, wie lange eine Seite für ihren Aufbau braucht. Weiters liefert WordPress gleich eine weitere Funktion mit, die ausgibt, wie viele Datenbankabfragen für die Erstellung der Seite benötigt wurden.

<!– <?php printf(__(‘%d queries in %s seconds.’, ‘kubrick’), get_num_queries(), timer_stop(0, 3)); ?> –>

Fügt diese Zeile in die footer.php eures Theme ein. Im Adminmenü unter Appearance –> Editor den Editor starten und dann die footer.php in eurem Theme öffnen. Bevor der “Body Tag” geschlossen wird könnt ihr dann den Code Schnips’l einfügen. Wie ihr seht, steht vor und nach dem php Skript die Klammer. Damit erreiche ich, dass der php Code abgearbeitet wird, aber das Ergebnis nicht direkt auf der Webseite zu sehen ist. Um diese Info zu bekommen müsst ihr nur in eurem Browser den Source Code der Seite anschauen. Bei mir steht dann fast am Ende des Quelltext “50 queries in 0.928 seconds”. Kurz gesagt wurde zum Erstellen der Seite 50 mal in der Datenbank rumgefummelt und dass hat dann 0,9 Sekunden gedauert, eher bescheiden. Was kann man nun machen, um diese Werte zu verringern.

Maßnamen: Welche Maßnamen können ergriffen werden um sowohl die Anzahl der Datenbank Zugriffe zu verkleinern als dann auch die Zeit für den Aufbau zu verringern? Wir wollen ja schließlich alle auf die erste Seite bei Google Ich habe mit 3 einfachen Maßnamen bereits messbare Erfolge erreicht.

Nicht benötigte Plugins deaktivieren: Schaut mal in eurem Admin Menü unter installed Plugins nach, wie viele Plugins ihr dort installiert habt. Fast jedes aktivierte Plugin frisst Performance, egal ob verwendet oder nicht. Schaut genau nach, ob ihr wirklich alle Module jederzeit benötigt. Plugins die ihr nur mal schnell probieren wolltet oder solche die ihr fast nie benötigt (zB: Anzeige für Wartungsmodus, Search and Replace aber auch Plugins für Page Statistiken), deaktiviert alle, von denen ihr glaubt, dass sie momentan nicht benötigt werden. Eure Seite sollte nach der Radikalkur jedoch noch funktionieren!

Bilder erst beim Betrachten laden: Mit dem jQuerry Image Lazy Load Plugin erreicht ihr, dass Bilder auf eurer Seite erst dann geladen werden, wenn ihr mit dem Browser dort seid, sprich die Bilder werden erst vom Server geladen, wenn ihr sie braucht. Dadurch wir die eigentliche Seite rascher aufgebaut.

Skript Aufrufe im Header statisch setzen: Versucht mal, den Code in eurer header.php mit jenem Quelltext zu vergleichen, dann ihr aus eurer Seite bekommt. Bestimmte Funktionen könnt ihr durch statische Einträge ersetzen und erspart euch dadurch Datenbank Aufrufe.

Statisch:

<html xmlns=”http://www.w3.org/1999/xhtml” dir=”ltr” lang=”en-US” xml:lang=”en-US”>

<meta http-equiv=”Content-Type” content=”text/html; charset=UTF-8″ />

<link rel=”Shortcut Icon” href=”http://www.lexxi.at/wp-content/themes/core/images/favicon.ico” type=”image/x-icon” />

<link rel=”stylesheet” href=”http://www.lexxi.at/wp-content/themes/core/style.css” type=”text/css” media=”screen” />

<link rel=”alternate” type=”application/rss+xml” title=”Lexxi&#039;s Blog RSS Feed” href=”http://www.lexxi.at/feed/” />

<link rel=”alternate” type=”application/atom+xml” title=”Lexxi&#039;s Blog Atom Feed” href=”http://www.lexxi.at/feed/atom/” />

<link rel=”pingback” href=”http://www.lexxi.at/xmlrpc.php” />

Dynamisch:

<html xmlns=”http://www.w3.org/1999/xhtml” <?php language_attributes(‘xhtml’); ?>>

<meta http-equiv=”Content-Type” content=”<?php bloginfo(‘html_type’); ?>; charset=<?php bloginfo(‘charset’); ?>” />

<link rel=”Shortcut Icon” href=”<?php echo bloginfo(‘template_url’); ?>/images/favicon.ico” type=”image/x-icon” />

<link rel=”stylesheet” href=”<?php bloginfo(‘stylesheet_url’); ?>” type=”text/css” media=”screen” />

<link rel=”alternate” type=”application/rss+xml” title=”<?php bloginfo(‘name’); ?> RSS Feed” href=”<?php bloginfo(‘rss2_url’); ?>” />

<link rel=”alternate” type=”application/atom+xml” title=”<?php bloginfo(‘name’); ?> Atom Feed” href=”<?php bloginfo(‘atom_url’); ?>” />

<link rel=”pingback” href=”<?php bloginfo(‘pingback_url’); ?>” />

Nur all diese Seiten funktionieren als externe Aufrufe. Für WordPress gibt es allerdings ein Plugin, mit dem man seinen Blog in bestimmten Abständen oder schon bei der Erstellung des Blog Posts die Richtigkeit der Link Adresse prüfen kann. Broken Link Checker for WordPress lässt sich unproblematisch im Admin Menü eures Blogs installieren und danach aktivieren. Die Settings des Plugins findet man wenn ihr die Übersichtseite aller Plugins aufruft und bis zum Plugin selber runter scrollt.

Die wichtigsten Merkmale des Plugins sind:

• check aller Posts und Pages im Hintergrund, sobald ihr als Admin eingeloggt seid.
• es werden sowohl verlinkte Bilder als auch Text Links geprüft (innerhalb eures Blogs und auch externe Links)
• Der Admin wird im Dashboard auf ev fehlerhaft Links hingewiesen.
• frisch erstellte Posts und Pages werden on-the-fly überprüft.

Sehr komfortable ist dann weiter auch die Administrierbarkeit von solchen broken links. Ihr geht einfach auf Tools –> Broken Links und habt dann sofort eine Übersicht aller gefundenen falschen Links. Ihr habt nur die Wahl und könnt die Url editieren, den Links löschen oder den gesamten Post löschen (zB wenn der Post nur ein kurzer Tweet ist). Speichen und voila, wenn alles ok ist, wird der Post kurz grün markiert.

In meinem Fall hat das Plugin 31 broken links gefunden, eigentlich sehr viel! Bei genauerer Betrachtung handelt es sich dabei um Links in Tweets, die ich Mittels Twitter tools aus meinem Twitter Account in meinen Blog reinziehe. Im Laufe der Zeit haben sich eben bestimmte Twitter Accounts geändert

Allgemein ist man gut beraten, wenn  man die Verzeichnisse auf seinem Webspace vor ungewollten Zugriffen schützt. Der Artikel Web Verzeichnisse mit .htaccess schützen beschreibt, wie man mit sehr einfachen Mitteln ein Verzeichnis schützen kann. Eigentlich gibt es ja zwei Möglichkeiten von offenen Verzeichnissen. Der Apache Webserver, den sehr viele Hoster und Provider einsetzen hat in einer Konfiguration alle Dateien aufgelistet, für die er eine “Internetseite” darstellen kann. Meist sind dies Dateien mit den Endungen .htm .html oder .php. Sollte in einem Verzeichnis zB nur eine Textdatei oder ein Bild sein, werden diese wie vom Datei Explorer dargestellt. Und genau dabei liegt der Haken! Jeder kann alle Datein einsehen, dass ist natürlich so nicht gewollt.

Manchmal ist es auch nicht erwünscht, wenn jeder aus dem Internet bestimmte Bereiche ansurfen kann. Meist sind dies Administrations Bereiche oder einfach nur Inhalte, die nicht für jederman bestimmt sind. Und genau dafür kann man einen Zugriffs Schutz mit .htaccess bauen. Im Grunde sagt man dem Web Server nur, dass er den Inhalt dieses Bereichs erst dann darstellen soll, wenn man den Usernamen mit seinem Password richtig eingegeben hat.

Der Admin Bereich von einem WordPress Blog wird ja per Default durch eine Password Abfrage geschützt. Jedoch ist in der Grundinstallation von WordPress ein kleiner Schönheitsfehler. Wenn man sich mit dem falschen Passwort oder sogar nur mit dem falschen User anmeldet bekommt man sehr detailliert zurückgeliefert, was falsch war: User, Passwort oder Beides! Um eben diese Login Fehlermeldung bei WordPress zu unterdrücken, muss man nur in einer bestimmten Datei (functions.php) eine Zeile einfügen und schon hat man keinen verwertbaren Output mehr

Für WordPress gibt es eine große Menge an Plugins. Sowohl für den Frontend als auch für das Admin Interface. Ein sehr nützliches Plugin ist das WordPress Security Admin Tool. Nach der Installation hat man sofort die Möglichkeit, seinen Blog oder besser das was hinter seinem Blog passiert und konfiguriert ist zu überprüfen. Zusätzlich zeigt das Plugin die notwendigen Verbesserungen gleich an. So kann man on-the-fly die Änderung durchführen und das Ergebnis sofort nochmals kontrollieren. Als Zusatz Funktion kann man sich noch sichere Passwörter generieren lassen!

Ein sehr oft unterschätzter Bereich ist das Backup seines Blogs. Dabei kann man ein WordPress Datenbank Backup selber durchführen. Es gibt einige Plugins mit denen man solche Backups machen kann, eines davon ist das WP-DBManager Plugin. Mit diesem Tool kann man seine Datenbank sichern, periodische Backups erstellen lassen, die Datenbank optimieren, im Fehlerfall ein erstelltes Backup wieder zurückspielen und man hat sogar eine vereinfachte SQL Schnittstelle wie man sie etwa von phpMyAdmin kennt.

Im Großen und Ganzen gibt es sehr viele Punkte bzgl Sicherheit bei WordPress Blogs, wenn man sich an bestimmte Standards hält, sollte man aber wenig Probleme haben

Zum Ersten müssen wir den Inhalt der Webseite sichern.In den meisten Fällen haben die jeweiligen Admins direkten Zugriff auf ihren Webspace Mittels ftp oder ssh. Für FTP gibt es sowohl für Windows (Ws_ftp, FileZilla)  als auch für MacOS (Transmit, Flow) Clients die diesen Transport einfach erledigen können. Speziell Mac Programme gibt es immer wieder  recht günstig als Bundles im Internet. Macheist hatte Flow in seinem letzten nanoBundle enthalten, Achim hat in seinem Blog darüber berichtet. Mit diesen Clients kann man sich in seinem Webspace anmelden und den Inhalt auf einen lokalen Datenträger laden. Aber auch hier ist Vorsicht geboten, auch eure Festplatte kann mal den Geist aufgeben Mit Programmen wie cron-FTP könnt ihr diesen Download sogar zeitgesteuert erledigen lassen.

Der fast wichtigere Teil eines Blogs auf WordPress Basis ist der Inhalt der Datenbank. Bei der Installation eines Blogs mit WordPress wird man ja gefragt, ob man den default table prefix wp_ übernehmen will oder, was aus Sicherheits Gründen besser wäre, diesen zu ändern (siehe Blog Post). Soweit, sogut. Aber eben diese Datenbank, zumindestens  der Inhalt und die Struktur aller Tables die mit unserem Prefix beginnen muss man sichern. In der aktuellen Version von WordPress gibt es dazu keine direkte Unterstützung, daher muss wieder ein Plugin helfen. Ich habe mir WP-DBManager von Alex King installiert. Zu installieren ganz einfach im Admin Menü unter Plugins –> install new. Nach dem aktivieren hat man einen zusätzlichen Menüpunkt Database. Wenn man nun auf diesen neuen Menüpunkt klickt, wird zuerst gecheckt, ob alle notwendigen Programme installiert sind und von dem Plugin auch gefunden werden und ob alle Verzeichnisse und deren Rechte stimmen.

WP-DBManager erfüllt eigentlich alle meine Forderungen wie

• Datenbank Sicherung (auch automatisiert)
• Datenbank  Optimierung und
• Rückspielen im Falle eines Problems.

Zusätzlich kann man noch

• seine Datenbank reparieren
• bestimmte Tables löschen oder leeren (das ist ein großer Unterschied ) und
• so genannte Sql Queries absetzten.

Herz, was begehrst du mehr?

Zusätzlich zu dem von mir ausgeführten Datenbank Backup gibt es beim WP-DBManager auch noch die Möglichkeit, Backups automatisch zu erstellen und sich dann auf einen eMail Account zu senden. Achtet nur bitte darauf, dass der Sql Dump eurer Datenbank schnell mal auf einige Mega Bytes anwachsen kann. Für den Sql Dump kann man zusätzlich noch einstellen, dass dieser gezip wird.

Mit all diesen Features kann man mit dem Plugin WP-DBManager die Datenbank seines WordPress Blog recht gut kontrollieren. Es gibt nebenbei natürlich auch die Möglichkeit, mit phpMyAdmin seine WordPress Datenbank zu verwalten.

Beim Aufruf des Menüs wird die aktuelle Installation von WordPress und deren Konfiguration überprüft und das Ergebnis ausgegeben. WordPress selber hat ja auf seiner Seite (oder heist dass eigentlich ihrer Seite???) eine eigene Page zu dem Thema Hardening WordPress geschrieben. Eben diese Hinweise werden mit dem Plugin teilweise überprüft.

Generell ermöglicht das Plugin die Überprüfung und auch teilweise Korrektur von:

• Password der User
• Version der WordPress Installation
• File Zugriffs Rechte
• Datenbank Konfiguration (Prefix und Konfiguration)
• Zugriffs Rechte auf Verzeichnisse.

Zu den wichtigsten Punkten zählt sicher die Version der jeweiligen WordPress Installation (aktuell ist zur Zeit 2.9.2), ob die aktuelle Version von WordPress ausgegeben wird (sollte ein Bug einer bestimmten Version öffentlich werden, wird eure Seite nicht gleich an Hand der Version gefunden und attackiert), welchen user ihr verwendet und ob eurer Admin Bereich gesichert ist.

Zum Thema User für WordPress sei gesagt, dass man nicht mit dem per Default erstellten admin User arbeiten soll. Richtet euch einen eigenen User ein mit dem ihr eure Beiträge posted und einen Admin Account, mit dem ihr euren Blog administriert. Dies kann auch noch im Nachhinein geändert werden. Ihr könnt sämtliche Posts eines admin Users eurem neuen Redakteur übergeben

Als einziger Fehler wird bei mir momentan noch die table prefix angekreidet. Mit dem WordPress Security Admin Tool kann man diese selber ändern, sollte man bei der Installation von WordPress den default prefix nicht von wp_ auf seinen eigenen geändert haben. Vorher solltet ihr jedoch ein Backup eurer Datenbank machen, es kann ja auch mal was daneben gehen . Zum Thema Backup teste ich gerade ein paar Plugins, sobald ich ein gutes gefunden habe, mach ich erstmal das besprochen Backup und werde dann den prefix ändern.

Mir ist dabei besonders der Beitrag zum Thema “Aufgeräumtes Admin Menü” aufgefallen. Wenn man schon mehrere Plugins in seinem Blog installiert hat wird das Menü auf der linken Seite im Admin Menü recht unübersichtlich. Selbst wenn man schön artig die Hauptmenüs zusammen klappt (wer macht dass schon immer ), muss man ziemlich weit nach unten Scrollen um zB den Security Scanner zu starten, pah!

Was liegt nun näher, als die Anordnung und Struktur des Admin Menüs zu ändern. Ozh (ein Akronym??) hat sich Gedanken zu dem Thema gemacht und ein tolles Plugin für WordPress geschrieben. Zu den wichtigsten Features gehört die individuelle Farbgestaltung der Menüleiste, die Möglichkeit die Menüleiste je nach User zu definieren und vor allem, dass es Browser unabhängig funzt!

Ich kann das Plugin wirklich nur empfehlen, es hat meinen Admin Bereich deutlich übersichtlicher gemacht und dadurch wird die Arbeit erleichtert.

Mehr durch Zufall bin ich bei Sergej Müller auf die Idee gestoßen, die “Debug Meldung” zu unterbinden bzw wußte ich gar nicht, dass man das kann. Ich musste nur in der functions.php meines verwendeten Themes eine Zeile hinzufügen.

add_filter('login_errors',create_function('$a', "return null;"));

Achtung! Wenn ihr die neue Funktion an eurem Blog testen wollt, schaltet unbedingt vorher das Plugin Login LockDown aus, da ihr sonst nach ein paar absichtlichen Fehlversuchen selber nicht mehr in euren Blog kommt – so wie mir passiert Gut dass es da noch ein paar freie WLans in meiner Gegend gibt!

<?php printf(__(‘%d queries. %s seconds.’, ‘kubrick’), get_num_queries(), timer_stop(0, 3));  ?>

Diesen Einzeiler fügt man in die footer.php in seinem Theme ein. Die 2 Funktionen dienen wie gesagt dazu, die Anzahl der Datenbankabfragen zu zählen und zu messen, wie lange der Seitenaufbau benötigt. Speziell die Zeit für den Seitenaufbau ist meiner Meinung nach eher subjektiv, auch wenn man “richtige” Messwerte bekommt. Sollte man mit dem Seitenaufbau nicht zufrieden sein, gibt es natürlich viel Möglichkeiten zur Verbesserung. Eine tolle Sache ist erstmal das WordPress Plugin WP Super Cache. Mit Hilfe dieses Plugins kann ich grob gesagt alle Seiten, die erst bei der Anfrage mühsam dynamisch zusammengebaut werden müssten bereits im Vorhinein für die Internet Surfer bereitstellen. Dadurch kann man zwar schlecht performende Webhoster ausbremsen, das Plugin ist aber nicht so einfach zu konfigurieren und man kann sich leicht um aktuelle Einträge bringen. Eine super Anleitung zu diesem Plugin findet man bei wpbeginner.com