WordPress und PHP 8 sicher zusammenbringen

Auf die Kompatibilität kommt es an.

WordPress ist weltweit das am häufigsten eingesetzte Content Management System. Auch in Deutschland ist WordPress die Nummer eins, wenn es um Standard Websites geht. Lediglich im Marktsegment für besonders komplexe WebSites mit verschiedenen Benutzerrollen ist Typo3 stärker verbreitet. Deshalb ist es für uns immer ein wichtiges Thema, dass wir Sie hier regelmäßig auf dem Laufenden halten. Denn wie bei jedem anderen professionellen Content Management System müssen Sie bei WordPress immer ein paar Bereiche im Blick haben. Dazu gehören

  • Sicherheit bzw. aktuelle Sicherheitslücken
  • Empfehlenswerte PlugIns
  • Anforderungen ans WordPress-Hosting
  • Geschwindigkeit im Seitenaufbau

In diesem Beitrag geht es um eine Komponente, die sowohl für die Geschwindkeit Ihrer WebSite als auch für Hosting im Umfeld des CMS relevant ist. Nämlich PHP bzw. besonders um das Zusammenspiel von WordPress und PHP 8.

Hier geht’s um WordPress und PHP 8.

Eine wichtige Regel beim Zusammenspiel von WordPress und PHP ist: Stets die aktuellste PHP-Version benutzen. Dies ist nicht nur für die Betriebssicherheit relevant, sondern beeinflusst auch die Ladezeit. Soweit die Theorie. In praxi allerdings muss man immer zuvor prüfen, ob die laufende WordPress-Version und alle verwendeten PlugIns sowie das hinterlegte Theme für die zu installierende PHP-Version geeignet sind.

Warum müssen Sie Kompatibilität von WordPress und PHP 8 auf allen Ebenen prüfen?

Hier sollten Sie nicht nur über das „warum“ Bescheid wissen, sondern auch darüber, was passieren kann, wenn Sie hier unvorsichtig sind. Viele Funktionen aus der alten PHP 7.x Version fehlen der neuen PHP 8 Version. Das bedeutet, dass Themes und Plugins, die noch diese alte PHP-Version benötigen, funktionieren in PHP 8 nicht mehr problemlos. Und das wiederum kann dazu führen, dass entweder einzelne Funktionen oder im schlimmsten Fall die gesamte WebSite nicht mehr funktioniert.

Leider ist dieses Problem mehr als hypothetisch oder trivial. Denn viele Anwender betreiben ihre WebSite häufig mit mehr oder weniger veralteten WordPress-Versionen des CMS. Dementsprechend veraltet sind dann auch die verwendeten PlugIns oder Themes. In erster Linie sind kostenlose Themes davon betroffen. Aber auch von Mini-Agenturen oder Freelancern erstellte oder für ein Projekt angepasste Themes werden überwiegend niemals gepflegt. Hier liegen dann auch die grössten Risiken beim Update auf eine aktuelle PHP-Version.

Wie kann man feststellen, ob die laufende WordPress-Version, ein Theme oder ein PlugIn mit einer neuen PHP-Version kompatibel ist?

Der Arbeitsaufwand geht von zwischen ganz einfach bis einigermassen aufwändig. Ob die laufende WordPress-Version beispielsweise mit PHP 8 kompatibel ist, kann man sehr leicht beim „Hersteller“ erfahren. WordPress selbst sagt, dass das eigentliche CMS mittlerweile problemlos mit PHP 8 funktioniert. Dies aber auch nur ab Release 5.8. Spannend wird es allerdings bei den Themes und PlugIns. Beide WordPress-Funktionsbereiche kennen sowohl professionelle, aber eben auch „keine“ Pflege. Letzteres trifft u. E. nach besonders häufig auf viele kostenfreie Themes zu. Während die Hersteller oder Solo-Anbieter von PlugIns häufig ihre Software kompatibel mit neueren PHP-Versionen machen, sieht das bei vielen Themes ganz anders aus.

Update von WordPress und PHP 8 richtig vorbereiten und durchführen!

Fein raus sind alle, die über ein sogenanntes Testbed oder eine Entwicklungsumgebung für jede WordPress-Installation verfügen. Das sollte zwar bei jeder professionellen Agentur die Regel sein. Ist es aber leider nicht. Wer sich also quasi im Nebenberuf um die Softwarepflege seiner WordPress-Installation kümmern möchte, sollte diese Reihenfolge beachten:

  1. eine komplette Datensicherung des Dateisystems, also der gesamten WordPress-Installation inclusive des Themes und aller PlugIns herstellen und lokal sichern
  2. ein Datenbank-Dump herstellen und lokal sichern
  3. auf die letzte/neueste verfügbare WordPress-Version updaten, häufig wird dabei die Datenbank verändert, WebSite testen, wenn das erfolgreich war:
  4. alle PlugIns aktualisieren, häufig wird dabei die Datenbank verändert, WebSite testen, wenn das erfolgreich war:
  5. das aktive Theme UND das hoffentlich vorhandene WordPress-Standard-Theme aktualisieren, WebSite testen, wenn das erfolgreich war:
  6. nun die PHP-Version aktualisieren, häufig wird dabei die Datenbank verändert, WebSite testen, wenn das erfolgreich war:
  7. 1 und 2 wiederholen.

Wie Sie die Datensicherungen und die PHP-Aktualisierungen realisieren, hängt von dem Servicepaket Ihres Hosters ab. Hier gibt es zwischen „Klicki-Klicki“ in irgendeiner graphischen Verwaltungsoberfläche und dem echten Zugriff auf den (hoffentlich) Server viele Varianten. Ganz klar, was besser ist: der direkte Serverzugriff!

Weitere Tipps und Infos

Wenn Sie noch einmal tiefer ins Thema einsteigen wollen, dann empfehlen wir Ihnen folgende Video- und Textbeiträge:

Digitale Souveränität bei Webkonferenz-Lösungen

„Zoom“ ist KEIN Synonym für innovative Webkonferenz-Lösungen

Seit Frühjahr 2020 steht das Thema Web-Conferencing in der allgemeinen Wahrnehmung wieder einmal ganz vorn. Denn Webkonferenz-Lösungen können während der Pandemie und der damit verbundenen Kontaktbeschränkungen tatsächlich den Verlust der persönlichen Meetings kompensierem. Dabei kennen wir diese Art der Webanwendung schon sehr lange. Doch obwohl sie gerne immer wieder als großartige Innovation verkauft wird, bleibt sie alter Wein in neuen Schläuchen. Aber dieses mal gelang es einem einzigen Hersteller, seine Marke als Begriff vor das Thema Web-Conferencing zu schieben. Wie bei Taschentuch = „Tempo“ oder Suchmaschine = „Google“ glaubt der Laie nun an das Genre-Synonym: Es hat „Zoom“ gemacht, wie Klaus Lage einmal so schön interpretierte. (https://www.youtube.com/watch?v=BPmmMU0COAM)

Videokonferenzen sind ein alter Hut

Doch ganz im Ernst, die „visuelle“ Telefonkonferenz, gerne auch kurz „Telko“ genannt, hieß bis vor kurzem noch „Video-Konferenz“. In jüngster Vergangenheit wurde daraus im Neusprech „Video-Call“, aber das alles bleiben immer noch alte Hüte. Doch was sich in letzter Zeit tatsächlich verändert hat, ist die Notwendigkeit, immer mehr komplexe Softwarelösungen via Internet zu betreiben. Bekanntester und vermutlich ältester Vertreter ist hier „Skype“. In letzter Konsequenz entwickelte sich die Video-Konferenz zur Web-Conference.

Abwägen: Vor- und Nachteile

Die meisten aktuellen Web-Conferencing bieten viele Vorteile:

  • schnelle Installation
  • wenig Konfigurationen
  • einfache Integration in gängige Browser
  • leicht verfügbar

Aber damit sind auch wieder einige Nachteile hinzugekommen:

  • Die Kompatibilität mit den verschiedensten Browser-Versionen und Generationen ist nicht immer gegeben.
  • Für mobile Endgeräte mit kleinem Display und unterschiedlichen Browsern sind einige Lösungen ungeeignet.

Kostenlose Hersteller-Angebote für Webkonferenz-Lösungen sind verlockend

Logo Zoom - eine der poplärsten Webkonferenz-Lösungen

Zoom ist eine von vielen Webkonferenz-Lösungen, die plötzlich populär wurden, aber eher unsicher und wenig datenschutzfreundlich sind.

In den meisten Fällen stehen kommerzielle Service-Provider hinter Angeboten wie z. B. Zoom oder LogMeIn. Sie stehen in der Regel für einen stabilen Betrieb und eine mehr oder weniger intuitive Benutzeroberfläche. Meist gibt es kostenfreie Testmöglichkeiten, die dann Beschränkungen bei der Dauer, der Anzahl der Teilnehmenden etc. beinhalten. Häufig genügen diese unentgeltlichen Services völlig den Ansprüchen der überwiegend privaten Benutzer. So weit, so gut. Aber wenigstens zwei Aspekte sollten Ihnen zu denken geben. Da wäre zum einen das „kostenfrei“ … wirklich?

Sehen Sie genau hin: Wer bezahlt wofür und womit?

Wenn dem Nutzer keine Rechnung gestellt wird, heißt das nicht, dass der Service wirklich kostenfrei ist. Denn für den Anbieter bzw. Betreiber der Webkonferenz-Lösung fallen pro Nutzer ca. 2 Mbit/s notwendige Bandbreite an. Und dann braucht man dafür zusätzlich auch sehr leistungsfähige und damit teure Server. Jeder Teilnehmer bezahlt deshalb mit seinen Daten, sowohl als Organisator als auch als Gast. Schließlich muss man diese an den Betreiber übergeben, damit man die Anwendung richtig nutzen kann. Aber das ist noch nicht alles. Man überlässt dem Betreiber de facto auch die Inhalte. Denn natürlich kann der Videostream mitgeschnitten werden.

Cookies und Cookie-Banner

Nützliche Helfer oder lästige Begleiter?

Inzwischen ist auch auf der allerletzten Website der sogenannte Cookie-Banner angekommen. Aber warum poppen diese Dinger jetzt überall auf? Und warum müssen auch Sie Ihre Webseiten nun derart verunstalten? Diese Fragen sind einfach zu beantworten, denn die Pflicht zu Cookie-Bannern entsteht aus den Richtlinien der DSGVO. Aber ist das jetzt noch nutzerfreundlich oder vielleicht doch schon zu viel des Guten? Vielleicht verkraften Websites und ihre Besucher so viel Datenschutz ja gar nicht.

Was halten Sie von Cookies und Cookie-Banner?

Hier spielt ganz sicher eine große Rolle, wie wichtig Ihnen die Privatsphäre im Web ist und wie ernst Sie den Datenschutz als persönliches Bürgerrecht nehmen. Und ganz sicher ist auch wichtig zu betrachten, ob Sie mit dem Thema Cookies als Website-Anbieter oder Besucher umgehen müssen. In jedem Fall ist es erst einmal unbequem, dem User bestimmte Cookie-Optionen anbieten zu müssen. Für den User wiederum kann die Vielfalt der Cookie-Einstellungen einfach nur lästig erscheinen.

Also, wie gehen wir mit dem Thema „Cookie-Banner“ um? Bevor wir eine klare Anwort geben können, sollten wir uns erst einmal ansehen, was überhaupt dahinter steckt.  Und welche Optionen sollten Sie sinnvoller Weise zur Verfügung stellen? Lassen Sie uns erst einmal einen Blick auf die Entstehungsgeschichte von Cookies und dem aktuellen Umgang damit werfen. Dann wird einiges klarer.

Wozu braucht man Cookies?

BB-ONE.net Magazin: „We want Cookies! – Cookies in der DSGVO“

Es gab mal eine Zeit, in welcher wir sehr gut auch ohne diese lästigen Cookie-Popups und Banner auskamen. Das war, als Cookies noch unschuldige kleine „Textdateichen“ waren, die nur wenige „Informationskrümel“ enthielten, um den Weballtag zu erleichtern.

Nützliche kleine Helfer

Cookies sind eigentlich von Hause aus eine feine Sache, denn sie beschleunigen und vereinfachen die Kommunikation zwischen Ihrem Endgerät, Ihrem Browser und der Website. Die Erfindung der Cookies sah man in den Anfängen des Internets (1970er) als so spektakulär und genial an, dass man sie zunächst „Magic Cookies“ nannte, bevor sie später als profane „HTML-Cookies“ den Webseiten-Alltag bestimmten.

So arbeiten Cookies

Der Webserver einer Website hinterlegt diese kleinen Textdateien über den Browser auf Ihrem PC, Notebook oder Smartphone. Sie enthalten technische und manchmal auch sehr persönliche Informationen darüber, wie Sie die Website nutzen und welche Daten Sie dort hinterlegen.

Wem nützen Cookies?

Manche Cookies sind gut für die Website-Analyse. Das sind die Tracking-Cookies. Andere brauchen Sie (und der Server), wenn Sie zum Beispiel in einem Webshop surfen. Denn in Ihrem Shop-Cookie, auch als Session-Cookie bekannt, ist z. B. der Inhalt Ihres Warenkorbes hinterlegt. Ansonsten dürften Sie nämlich ohne Cookie nach jedem Aufruf einer neuen Seite alle ausgewählten Artikel wieder neu erfassen. Aus dem Kopf sozusagen die ganze Liste eingeben, ohne noch mal nachzuschauen. Da ist dann nichts mit einfach mal „weitershoppen“.

Privacy by Design: Privatheit, Datenminimierung und Nutzerfreundlichkeit

„Privacy by Design“ und „Privacy by Default“ – das sind zwei Begriffe, die seit Einführung der DSGVO wieder mehr Beachtung finden. Zumindest bei all denen, deren Websites und Online-Geschäftsmodelle unabhängig von Werbeeinnahmen sind und die den modernen Datenschutz ernst nehmen. In diesem Beitrag erläutern wir die beiden Begriffe und zeigen Ihnen, worauf Sie bei der Gestaltung Ihrer Websites achten sollten.

„Privacy by Design“ – Kundenbindung durch Datenminimierung

Die „Privatheit“ Ihrer Webseitenbesucher und Kunden sollte Ihnen grundsätzlich wichtig sein, und zwar nicht nur  aus Datenschutzgründen. Betrachten wir eine Website mal einfach als Ladengeschäft. Was würde passieren, wenn jeder Passant, der aus Neugier ins Schaufenster hineinschaut, erst einmal seine Kontaktdaten abgeben müsste? Oder vor dem Eintritt in den Laden einen Fingerabdruck abgeben müsste?  Mal abgesehen von den rechtlichen Aspekten wäre das extrem kontraproduktiv. Schließlich wollen wir ja, dass der potenzielle Kunde das Ladengeschäft betritt, sich dort länger aufhält und etwas kauft. Oder sich zunächst einmal ein Prospekt mitnimmt. Dazu senken wir die Eintrittshemnisse.

Was in der „realen“ Welt ganz normal ist, sollte im Internet erst recht selbstverständlich sein. Zumal der Kunde nur schwer kontrollieren und noch schlechter beeinflussen kann, was genau mit seinen Daten geschieht. Er muss darauf vertrauen, dass Sie sich korrekt und fair verhalten. Und je deutlicher auf Ihren Websites erkennbar ist, dass Sie nicht zu den „Datensammel-Kraken“ gehören, um so nachhaltiger ist sein Vertrauen in Ihren Online-Auftritt.

Artikel 25 DSGVO – Datenschutz durch Technikgestaltung

Je weniger Daten Sie über Ihre Website-Besucher sammeln, um so weniger laufen Sie auch Gefahr, gegen den Datenschutz zu verstoßen. Dies ist der positive Effekt der Datenminimierung, wie sie in der DSGVO Art. 25 festgelegt ist. Und wenn personenbezogene Daten wie zum Beispiel IP-Adresse und Browserversion für die Website-Analyse gesammelt werden, dann kann man zum Beispiel die IP-Adresse schnell anonymisieren, indem man das letzte Oktett, also die letzten drei Ziffern weglässt. Bei Matomo (ehemals Piwik)  geht das ganz einfach, bei Google-Analytics müssen Sie etwas mehr suchen und noch genauer hinschauen, ob Ihre Website-Analyse dort mit rechten Dingen zugeht.

WLAN-Router im Visier von Hackern

Mit dieser dramatischen Überschrift titelte Anfang August 2020 ein renommiertes IT-Magazin. Einmal von der recht unprofessionellen Bezeichnung WLAN-Router abgesehen (WLAN-Router sind mir noch nicht untergekommen) und der nun wirklich nicht neuen Information, dass die DSL- und sonstigen „Router“ im Privatbereich gerne „genommen“ werden, hat der nachfolgende Artikel schon aktuelles Potential.

Warum lesen Sie diesen Artikel an dieser Stelle?

Wie Sie wissen, sehen wir unsere Pflicht darin, regelmäßig den Finger in Ihre IT-Wunden zu legen. Und dazu gehört das Thema Router (oder auch „WLAN-Router“) und IP-Gateways, weil sie immer zwischen einem lokalen Netz und dem Internet stehen. Dadurch sind sie ein beliebtes Ziel von Angriffen. Hacker „übernehmen“ gerne auf diesen Weg Ihre Infrastruktur oder sorgen für Störungen. Mögliche Konsequenzen sind Netzwerkblockaden, Datenverluste oder die Nutzung Ihrer Ressourcen für Angriffe auf Dritte. Deshalb ist extrem wichtig, diesem Gerät besondere Aufmerksamkeit zu schenken.

Aber fangen wir noch einmal vorne an und arbeiten uns dann langsam nach hinten durch.

  1. Um welche Geräte geht es hier?
  2. Warum betrifft uns das Thema gerade jetzt besonders?
  3. Besteht Handlungsbedarf?
  4. Best Practice

1. Um welche Art von Gerät geht es beim sogenannten „WLAN-Router“?

Uns geht es konkret um alle IP-Gateways, die zwischen dem Internet und dem Heimnetz stehen. Sie werden gerne oft fälschlicher Weise als Router, DSL-Router, WLAN-Router o.ä. bezeichnet. Wenn Ihnen das immer noch zu technisch oder sonstwie zu unverständlich erscheint: Sie kennen diese Geräteklasse garantiert als „Fritzbox“. Denn Deutschland ist das einzige Land weltweit, in dem „Suchmaschine = Google“ und „SoHo WLAN-Router (Small Office, Home Office) = Fritzbox“ gilt.

Dabei handelt es sich um echte Blackboxes, die meistens kostenlos vom Accessprovider (=Internetanbieter) bereitgestellt werden, um Sie mit einem Internetzugang zu versorgen und gleichzeitig ein WLAN-Netzwerk zu betreiben. Diese Geräte fallen in die Kategorie „Plug&Play“ und zielen damit klar auf den Privatmarkt. Denn hier muss der „WLAN-Router“ ohne Anwenderhilfe sofort funktionieren. Dennoch findet man sie auch in vielen Unternehmen im Einsatz, weil sie so einfach zu installieren sind. Und das freut die Hacker Community.

2. Warum betrifft uns das Thema gerade jetzt besonders?

Diese Geräte bilden derzeit häufig die Gegenstelle des Home-Office zur Verbindung in Ihre Firma. Und sie sind an zentraler Stelle verantwortlich für die Endgeräte im Home-Office, auf denen sensible Firmen-Daten lagern und bearbeitet werden. Wurden diese Geräte in der „Vor-Home-Office“-Zeit überwiegend rein privat eingesetzt, so sind sie nun vollständig im Unternehmens-Umfeld angekommen. Dadurch wächst die Attraktivität als Angriffsziel.

3. Es besteht Handlungsbedarf?

Also: Ja! Wie bereits gesagt, ist die Zielgruppe dieser „Kistchen“ der private Markt. Hier geht es um Plug&Play geht. Im Firmen-Umfeld bedeutet dies allerdings eher „Plug&Pray“, also „hoffentlich passiert nichts“. Aber was sollte schon passieren? Ganz einfach: Wegen mangelhafter Konfiguration, veralteter Firmware (das Betriebssystem der Kistchen) oder fehlerhafter Anwendung stellen diese eine permanente Sicherheits-Schwachstelle dar, über die Hacker gerne einsteigen. Und das kann sich ein Unternehmen nicht leisten.

Veraltete Software

Die Firmware ist oft veraltet, teilweise sind nach zwei Jahren keine Updates mehr erhältlich. Die Anzahl von bekannt gewordenen Exploits wächst aber auch nach zwei Jahren munter weiter. Und selbst wenn der Hersteller Firmware-Updates anbietet, dann werden diese meist nicht installiert. Denn zu Recht haben viele Anwender davor Sorge. Zum Beispiel, ob hinterher noch alles so funktioniert wie vorher, das ist nicht sicher. Daher geht der Laienanwender davon aus: Wenn man keinerlei Anpassungen vornimmt, ist diese Gefahr einigermaßen gering. Aber das greift zu kurz.