WordPress performant und sicher machen
Großes Kino
Veröffentlicht in Ausgabe 04/2022 - PRAXIS
Die Geschwindigkeit einer Webseite resultiert aus einer geeigneten und leistungsfähigen Serverbasis mit adäquater Internetanbindung, gepaart mit einer gut strukturierten Applikation. Doch leider lassen sich die Anforderungen an den Server oder das Hosting zu Projektbeginn oft nur ungenau prognostizieren. Schließlich erzeugt die Komplexität der Anwendung multipliziert mit der Anzahl der Zugriffe die finale Serverlast. Und während sich die Zugriffszahlen bestenfalls abschätzen lassen, ist die Komplexität der Applikation ein äußerst abstrakter Faktor, der sich erst bei Fertigstellung des Projekts sinnvoll analysieren und bestimmen lässt.
Schlanke Applikation, performanter Server
Die technische Basis sollte in der Anfangsphase eines Projekts nicht überdimensioniert sein. Wählen Sie zu Beginn einen eher kleineren Server oder ein weniger performantes Webhosting-Paket. Entscheidend ist jedoch, dass Sie jederzeit die Möglichkeit zu einem Upgrade haben – ein Downgrade ist nur selten gebührenfrei verfügbar.
Trotzdem sollten Sie bei der Auswahl des Webhostings für Ihre neue WordPress-Installation unbedingt auf ein paar grundlegende Performance-Eigenschaften achten. Zu diesen zählen vor allem:
Die Geschwindigkeit einer Webseite resultiert aus einer geeigneten und leistungsfähigen Serverbasis mit adäquater Internetanbindung, gepaart mit einer gut strukturierten Applikation. Doch leider lassen sich die Anforderungen an den Server oder das Hosting zu Projektbeginn oft nur ungenau prognostizieren. Schließlich erzeugt die Komplexität der Anwendung multipliziert mit der Anzahl der Zugriffe die finale Serverlast. Und während sich die Zugriffszahlen bestenfalls abschätzen lassen, ist die Komplexität der Applikation ein äußerst abstrakter Faktor, der sich erst bei Fertigstellung des Projekts sinnvoll analysieren und bestimmen lässt.
Schlanke Applikation, performanter Server
Die technische Basis sollte in der Anfangsphase eines Projekts nicht überdimensioniert sein. Wählen Sie zu Beginn einen eher kleineren Server oder ein weniger performantes Webhosting-Paket. Entscheidend ist jedoch, dass Sie jederzeit die Möglichkeit zu einem Upgrade haben – ein Downgrade ist nur selten gebührenfrei verfügbar.
Trotzdem sollten Sie bei der Auswahl des Webhostings für Ihre neue WordPress-Installation unbedingt auf ein paar grundlegende Performance-Eigenschaften achten. Zu diesen zählen vor allem:
- Serverseitige Komprimierung, beispielsweise mit gZIP oder deflate
- HTTP/2, die moderne Version des HTTP-Protokolls
- Serverseitiges Caching, etwa mittels OpCache
- Schnelle PHP-Version, mindestens PHP 7.3 oder höher
Die genannten Server-Features sorgen quasi von Haus aus für eine möglichst schnelle, reibungslose und zukunftsfähige Webserver-Konfiguration, auf der sich eine performante und zeitgemäße WordPress-Instanz nach allen Regeln der Kunst umsetzen lässt. Die Serverperformance ist damit eine Art flexible Stellschraube, die Sie jedoch nur in eine Richtung drehen sollten.
Stellt sich die Frage, wie sich die Website-Applikation nun entsprechend sinnvoll tunen lässt. Denn: Grundsätzlich ist WordPress zwar ein äußerst performantes CMS. Gerade für komplexe Webprojekte ist der Funktionsumfang der Basisinstallation jedoch nicht mehr als ein Grundgerüst. Umso mehr Funktionen, Erweiterungen und Plug-ins hinzukommen, desto mehr leidet aber die eigentliche Performance.
Selbst ein Rennwagen lässt sich spürbar ausbremsen, sobald ihn der Fahrer mit einem vollen Dachgepäckträger beschwert. Und genau das passiert, wenn Sie WordPress mit zahlreichen Plug-ins aufblähen, um die gewünschte Gesamtfunktionalität zu realisieren. Die Wahl der richtigen Erweiterungen ist also ein entscheidender Performance- und SEO-Faktor.
Plug-ins sinnvoll einsetzen
Allein in der deutschen Plug-in-Bibliothek von WordPress tummeln sich über 20.000 direkt installierbare Erweiterungen. Grundsätzlich gilt jedoch: Plug-ins sollten immer nur dann zum Einsatz kommen, wenn sich die Funktionalität nicht anders oder nur mit übermäßigem Ressourcenaufwand realisieren lässt. Dabei geht es nicht nur um die Performance, denn darauf wirken sich viele triviale Erweiterungen gar nicht so sehr aus. Vielmehr lässt sich ein System, das viele Plug-ins verwendet, deutlich schwerer administrieren.
Denn wie das eigentliche CMS sollten Sie installierte Erweiterungen regelmäßig aktualisieren. Schließlich kann es wie bei wohl jedem Open Source-CMS auch bei WordPress vorkommen, dass Sicherheitslücken entdeckt und geschlossen werden müssen. Je länger dann die Liste der installierten Plug-ins ist, desto mühsamer gestaltet sich dies. Besonders praktisch in diesem Zusammenhang: Seit WordPress-Version 5.5 lässt sich im Backend unter "Installierte Plugins" für jede Erweiterung festlegen, ob sie automatisch aktualisiert werden soll.
Nichtsdestotrotz birgt ein solches Update immer ein gewisses Risiko. So kann es zu unvorhersehbaren Inkompatibilitäten kommen, die schlimmstenfalls die gesamte Applikation lahmlegen. Aus diesem Grund ist es sinnvoll, das automatische Update gezielt nur für diejenigen Plug-ins auszuwählen, die sicherheitsrelevant sind. Handelt es sich um eine überschaubare Funktionserweiterung, ist die Aktualisierung wahrscheinlich nicht so wichtig. Anders sieht es dagegen bei Erweiterungen aus, die beispielsweise mit Uploads, Formularen und Benutzerrechten tief in vulnerable WordPress-Strukturen eingreifen.
In allen Fällen, in denen sich die Installation eines Plug-ins nicht vermeiden lässt, sollten Sie die entsprechende Erweiterung mit Bedacht auswählen. Denn viele Plug-in-Entwickler legen vor allem Wert auf maximalen Komfort und einen beeindruckenden Funktionsumfang. Hier steht vorrangig die Präsentation der Erweiterung samt zugehöriger Features im Mittelpunkt und in vielen Fällen leider weniger die Auswirkung auf die Performance. Gerade bei komplexen Erweiterungen empfiehlt es sich daher, vor und nach der Installation die Seitengeschwindigkeit zu messen, um die tatsächlichen Auswirkungen praxisnah zu bestimmen.
Interessieren Sie sich für ein kostenpflichtiges Plug-in, achten Sie zudem darauf, dass es eine kostenlose Testperiode bietet – oder Sie zumindest bei Nichtgefallen Ihr Geld zurückbekommen. Ist die zu erfüllende Anforderung nicht zu speziell, steht in der Regel eine ganze Reihe von Erweiterungen, die zum gewünschten Ergebnis führen, zur Verfügung. Ein Performancevergleich fungiert also letztlich als sinnvolles Entscheidungskriterium und lässt Rückschlüsse auf die Qualität der Erweiterung zu.
Backups, Page Builder und Zwischenspeicherung
Für welchen Weg Sie sich bei der Aktualisierung auch entscheiden: Regelmäßige Backups des Systems sind obligatorisch. Achten Sie also unbedingt schon von vornherein darauf, dass Ihr Provider solche Backups erstellt und diese Funktionalität bei der Konfiguration Ihres Webpakets entsprechend eingerichtet ist. Sollte ein (automatisches) Update fehlschlagen, lässt sich das System jederzeit komfortabel auf einen älteren Stand bringen und somit zumindest kurzfristig und zeitsparend reparieren.
Besonders großer Beliebtheit im WordPress-Umfeld erfreuen sich sogenannte "Page Builder". Dabei handelt es sich um umfangreiche Tools, mit denen sich die Unterseiten komfortabel gestalten und mit Inhalten befüllen lassen. Der Haken: Je nach Konzept des entsprechenden Tools kann ein solcher Page Builder den gesamten Seitenaufbau spürbar ausbremsen beziehungsweise durch aufwändiges Rendering den Webserver auslasten. Falls Sie also ein solches Tool einsetzen möchten, ist an dieser Stelle besondere Vorsicht bei der Auswahl geboten. Empfehlenswert ist beispielsweise das Tool "Live Canvas", da es die resultierenden HTML-Seiten bereits vorab assembliert und nicht erst on the fly beim Seitenaufbau rendert.
Neben der sorgfältigen Auswahl an Erweiterungen gibt es noch weitere Möglichkeiten, um den Server zu entlasten. Entsprechende Caching-Mechanismen lassen sich sowohl serverseitig als auch innerhalb von WordPress aktivieren. Eine effiziente und zugleich komfortable Möglichkeit des Cachings bieten beispielsweise die WordPress-Plug-ins "WP Total Cache" (kostenlos) und "WP Rocket". Diese lassen sich mit wenigen Mausklicks installieren und einrichten.
Damit wird sowohl am Server als auch über den Browser des Besuchers gecached, was die Geschwindigkeit beim Seitenaufbau erhöht und zugleich den Webserver entlastet. Serverseitig werden dynamische Seiteninhalte assembliert und als fertige statische Seiten gespeichert. Beim nächsten identischen Seitenaufruf muss der Webserver nur noch den bereits generierten Inhalt ausliefern. Das spart Datenbankabfragen, Rechenleistung und Zeit.
Erweiterungen zur Performance-Optimierung, die beispielsweise ein "Lazy Loading" von Bildinhalten ermöglichen, entlasten den Webserver ebenfalls und schonen die Bandbreite. Der Clou: Eingebundene Bilder werden damit erst dann geladen, wenn sie sich beim Scrollen der Webseite dem Sichtfeld des Besuchers nähern. Während die Effektivität dieser Methode bei Desktop-Usern oft noch überschaubar bleibt, bewährt sie sich vor allem bei der mobilen Ansicht. Speziell auf dem Smartphone werden Elemente vertikal aufgereiht, woraus lange Scroll-Zeiten resultieren. Der sichtbare Bereich ist hier recht klein und weniger wichtige Inhalte sind erst nach langem Scrollen im Blickfeld.
Hacker aussperren
Neben der Geschwindigkeit einer Webseite ist natürlich deren Absicherung relevant. WordPress wird ständig aktualisiert, die meisten Sicherheitslücken entstehen durch schlecht gewartete Plug-ins. Dennoch stellt auch das weltweit beliebteste CMS selbst eine attraktive Zielscheibe für so manchen Hacker dar. Um das Risiko zu minimieren, gibt es drei einfache Maßnahmen, mit denen sich ungewünschte Zugriffe verhindern oder zumindest einschränken lassen:
- Sicheres Passwort für den Admin-Bereich vergeben: Bei der Installation des Systems sollten Sie natürlich ein komplexes, sicheres Passwort wählen.
- Individuellen Benutzernamen festlegen: Ergänzend dazu ist es sehr empfehlenswert, vom Standard-Administratornamen "admin" abzuweichen. Denken Sie sich einen anderen Namen aus, denn Hacker spekulieren bei Attacken immer darauf, dass "admin" als Superuser mit vollem Systemzugriff existiert.
- Individuelles Datenbank-Präfix setzen: Eine weitere Hürde lässt sich durch die Vergabe eines Datenbanktabellen-Präfix errichten. Bei einer Standard-Installation beginnen die Tabellennamen alle mit dem Präfix "wp_", wobei das Kürzel für WordPress steht. Könnte ein Hacker durch eine Sicherheitslücke SQL-Anweisungen ausführen, wäre auch hier die typische Annahme, die Tabellen mit dem Standard-Präfix "wp_" auslesen oder modifizieren zu können. Diesem Umstand beugen Sie durch ein individuelles Präfix, das sich bei der Installation angeben lässt, vor.
Bei einer Standardinstallation von WordPress ist das Backend über den Unterpfad "/wp-admin/" erreichbar. Auch das ist eine Information, die Hackern bekannt und nützlich ist. Mit Plug-ins wie "WPS Hide Login" lässt sich dieser Pfad modifizieren. Zusammen mit den zuvor beschriebenen Maßnahmen ersticken Sie damit den Großteil möglicher Attacken im Keim.
Um den gesamten Konfigurationsaufwand in Richtung Sicherheit gering zu halten, gibt es bei Anbietern wie DomainFactory zudem extra zugeschnittene Produkte für ein optimales WordPress-Hosting. So lässt sich das CMS in solchen "Managed WordPress"-Paketen nicht nur schnell konfigurieren, sondern auch mit wenigen Klicks absichern und optimieren.
Besseres Ranking durch SEO
Nachdem die beiden ersten Stellschrauben "Performance" und "Absicherung" geklärt sind, geht es nun noch um die Auffindbarkeit. Mit der Geschwindigkeitsoptimierung ist bereits einer der wichtigsten Ranking-Faktoren abgedeckt. Denn eine einfache Faustregel lautet: Je schneller eine Webseite lädt, desto besser wird sie von Suchmaschinen bewertet. Doch bei der dafür notwendigen Qualitätseinschätzung legen Google & Co. noch auf einen anderen Faktor großen Wert, der sich (zumindest indirekt) anhand der Absprungrate für einen Suchergebnis-Aufruf messen lässt: Die User Experience.
Suchmaschinen möchten bereits proaktiv stets eine möglichst gute Nutzererfahrung gewährleisten. Benötigt eine Webseite für den Seitenaufbau ungewöhnlich lange, wird dieses zweifelhafte Surfvergnügen dem Nutzer gar nicht erst zugemutet. Denn der indirekte Effekt entsteht durch die Absprungrate der Benutzer, die nach dem Anklicken einer Webseite in den Suchergebnissen lange warten müssen. Schon nach wenigen Sekunden nutzen sie im Regelfall frustriert die Zurück-Funktion ihres Webbrowsers und verlassen die lahme Webseite. Ist diese Absprungrate zu hoch, wirkt sich das negativ auf das Ranking aus. Ein guter PageSpeed ist deshalb extrem wichtig für die Präsenz in Suchmaschinen.
Doch noch ein weiterer Faktor beeinflusst die Absprungrate sowie die Verweildauer auf einer Webpräsenz: Die Passgenauigkeit des Webinhalts zum in Aussicht gestellten Suchergebnis. Nur guter Content ergibt deshalb Sinn. Bei der Verbesserung der Sichtbarkeit und der Verringerung der Erwartung-Ergebnis-Schere zwischen Suchergebnis und tatsächlichem Content helfen Plug-ins wie "YOAST" oder "All In One SEO". Mit diesen Tools zur Onpage-Optimierung ist es leicht, sinnvolle SEO-Maßnahmen zu ergreifen, treffende Page-Titel und Beschreibungen zu vergeben und Inhalte zu verbessern.
Fazit
Eine einfache Handhabung, codingreduziertes Webdesign und eine überzeugende Webperformance müssen sich nicht zwangsläufig gegenseitig ausschließen. Voraussetzung ist allerdings, dass der Admin weiß, an welchen Performance-Stellschrauben er bei der Serverbasis, der CMS-Konfiguration und den SEO-gerechten Inhalten drehen muss.
(ln)
Marc Hillebrand ist Senior Product Marketing Manager bei DomainFactory.