Deppensicher * WordPress installieren, konfigurieren, SEOptimieren
Update: User "admin" löschen => siehe Konfigurieren
COOL!!! Wer mein Projekt "deppensicher" kennt, weiß, dass diese Überschrift keinesfalls despektierlich gemeint ist und daher kommt, dass mich meine KursteilnehmerInnen immer händeringend anflehen, die Dinge doch "deppensicher" zu erklären. Was ich hiermit versuche. Die nachfolgende Checkliste habe ich selbst immer bei der Hand, wenn ich eine WordPress-Site installiere, was mindestens einmal wöchentlich vorkommt.
Installieren
Voraussetzung:
- Domain oder Webverzeichnis mit ca. 20 MB Webspace,
- PHP ab 4.3,
- mySQL Datenbank ab 4.0 (mehrere Wordpress Installationen können in der gleichen Datenbank angelegt werden)
- Zugangsdaten FTP: Hostname, Benutzername und Passwort
- Zugangsdaten mySQL: Datenbankhost, Datenbankname, Datenbankuser, Passwort
Domainfactory bietet (ebenso wie andere Hosting-Provider) Webspace mit One-Click Installation von WordPress an.
Download WordPress Englische Version oder WordPress Deutsche Version
Entpacken (z.B. mit kostenloser Software 7-Zip)
Die Datei config-sample.php umbenennen auf config.php
Darin mit einem Texteditorfolgende Änderungen durchführen
(z.B. mit kostenlosem Text- und HTML-Editor ConTEXT)
- Datenbankname
- Datenbankuser
- Passwort
- Datenbankhost
eintragen. Sicherheitshalber immer einen Tabellenvorspann eingeben ($table_prefix), damit Du später evt. weitere WordPress Installationen in der gleichen Datenbank vornehmen kannst. Zusätzlich 3 Sicherheitscodes eintragen (musst Du nur von der angegebenen Webadresse kopieren).
Das ist die einzige Anpassung, die Du vor der Installation vornehmen musst.
Upload per FTP – alle Verzeichnisse und Daten (z.B. mit kostenlosem FTP Client FileZilla)
entweder im Rootverzeichnis Deiner Domain oder einem anderen Verzeichnis, das Du für Deine WP-Site vorgesehen hast.
Domain oder Verzeichnis im Browser aufrufen.
Begrüßungsfenster – gib den Titel Deiner Site ein (kannst Du später ändern) und eine Mail-Adresse
Admin-Zugang – im nächsten Fenster erscheint Dein Benutzername (der erste ist immer "admin") und ein automatisch erzeugtes Passwort. Notiere dieses (Du wirst es beim ersten Besuch in der Administration ändern).
Adresse Administration – diese ist immer http://www.meinedomain.com/wp-admin/ Solltest Du WP in ein eigenes Verzeichnis kopiert haben, z.B. namens "blog", dann muss die Adresse natürlich http://www.meinedomain.com/blog/wp-admin/ lauten.
Einloggen
Du landest auf einer Überblicksseite (engl. Dashboard), darüber befindet sich das Hauptmenü.
Konfigurieren
Update: Neuen User anlegen, admin löschen
Robert von Talk.de hat mich darauf aufmerksam gemacht, dass man aus Sicherheitsgründen den automatisch angelegten User namens admin nicht verwenden sollte. Als erstes solltet Ihr also einen neuen Benutzer anlegen => Menüpunkt =>Benutzer (rechts oben), vergib einen Benutzernamen und ein Passwort mit mindestens 8 Stellen (am besten Buchstaben UND Ziffern) und wähle im DropDown "Rolle" => Administrator.
Ausloggen und mit dem neuen Benutzernamen und Passwort einloggen und den User "admin" löschen.
Plugin Lighter Menus
Der nächste Schritt ist bei mir neuerdings immer die Installation des Plugins „Lighter Menus“, damit wird die Admin-Oberfläche erheblich übersichtlicher. Danke Sascha für den Tipp!
Zur Installation & Aktivierung von Plugins lies den Abschnitt "Expandieren".
Und jetzt geht’s richtig los!
Gehe zum Menüpunkt =>Einstellungen
Allgemein
Hier legst Du Titel und Untertitel Deines Blogs fest, weiters
- die WordPress URL und evt. eine Blog URL (diese müssen nicht identisch sein),
- Mitgliedschaft – wer darf sich registrieren, muss man zum Kommentieren registriert sein
- Subscriber – welche „Rolle“ wird registrierten Usern automatisch zugewiesen
- Zeitzone, Datumsformat, Zeitformat, Wochenanfang
Schreiben
Hier solltest Du die beiden Checkboxen „Atom Publishing Protocol“ und „XML-RPC“ anklicken, damit Deine Feeds kompatibel sind und Du z.B. einfach mit Blog-Clients arbeiten kannst.
Möchtest Du per eMail bloggen, füllst Du die entsprechenden Felder aus, andernfalls bleiben diese leer
Pingdienste
Im Menüpunkt =>Einstellungen =>Schreiben befindet sich am Ende der Seite ein Textfenster, in dem Du Ping-Dienste auflisten kannst. Dabei handelt es sich um Services (üblicherweise Blog-Suchmaschinen und -Verzeichnisse o.ä.), die informiert werden, sobald Du einen neuen Beitrag geschrieben hast. Dies ist also ein wichtiger Punkt für die Auffindbarkeit Deines Blogs und Deiner Beiträge.
Hier eine Liste an Pingdiensten zum Downloaden. Kopiere einfach die Liste der URLs und füge diese im Textfenster ein.
Ausgabe
Hier kannst Du festlegen, ob als Homepage eine Seite mit den aktuellsten Beiträgen erscheint oder eine statische Seite, die Du festlegen kannst.
Die anderen Einstellungen belasse ich üblicherweise.
Diskussion
Lasse ich üblicherweise unverändert
Du kannst hier festlegen, ob Kommentare erlaubt sind und wie weit User sich identifizieren müssen, um kommentieren zu dürfen. Du kannst diese allgemeinen Einstellungen bei einzelnen Beitrag individuell einstellen.
Datenschutz
Belasse ich in den meisten Fällen, da Blogs ja üblicherweise öffentlich sein sollen. Während einer Testphase wähle ich manchmal die Option „Suchmaschinen und Archivdienste abweisen“.
Permalinks
Legt fest, wie die Links zu Deinen Beiträgen aussehen sollen. Ich wähle meist die zweite Option „Nach Datum und Titel“
Verschiedenes
Auch hier musst Du nichts ändern, kannst aber bestimmte Formate für Vorschaubilder und die mittlere Größe von Bildern definieren.
Expandieren
Die Installation von Plugins ist einfach:
- Download der (üblicherweise) zip-Datei,
- entpacken und
- den darin liegenden Ordner per FTP in Dein Plugin-Verzeichnis hochladen. Findest Du unter /wp-content/plugins
Wenn Du danach in der Administration auf den Menüpunkt => Plugins klickst, sind Deine Erweiterungen bereits gelistet.
In der rechten Spalte findest Du den Link „aktivieren“.
Wo kannst Du die Plugins konfigurieren?
Wo Du danach Optionen, Einstellungen oder z.B. neue „Widgets“ findest, hängt von der Art des Plugins ab. Entweder Du liest die Beschreibung des Herausgebers oder Du suchst einfach danach.
Manche Plugins erscheinen als eigener Menüpunkt, manche erzeugen ein neues Widget (Menüpunkt =>Darstellung =>Widgets), manche erscheinen als neuer Menüpunkt unter =>Einstellungen, bei manchen musst Du einen kleinen Code-Schnippsel in Deinen Seitenvorlagen einfügen.
Auf folgende Plugins kann ich nicht verzichten:
Akismet 2.1.8 by Matt Mullenweg
Dieses Plugin, das mit WordPress mitgeliefert wird, verhindert, dass Deine Kommentarfunktion durch Spammer missbraucht wird. Ich verwende Akismet seit ich WordPress kenne, also seit einigen Jahren und es hat sich bestens bewährt. Nach dem Aktiveren des Plugins musst Du einen API-Key eingeben, damit das Teil auch funktioniert. Einen solchen erhältst Du bei der Registrierung auf wordpress.com.
Bei den nachfolgenden Must-have Plugins führe ich nur mehr die englische Kurzbeschreibung an (sonst wird’s ein Roman).
All in One SEO Pack 1.4.6.13 by Michael Torbert
Out-of-the-box SEO for your Wordpress blog.
Dean’s FCKEditor For Wordpress 2.4.1 by Dean Lee
Replaces the default Wordpress editor with FCKeditor
Just One Category 1.0 by Michael D Adams
On a category’s archive page do not show posts from that category’s children categories unless those posts are also a member of the original category in question. Based on Front Page Categories by Ryan Boren.
Lighter Menus 2.7.2 by corpodibacco
Creates Drop Down Menus for WordPress Admin Panels. Fast to load, adaptable to color schemes, comes with silk icons, a option page, and a design that fits within the Wordpress 2.5 interface taking the less room possible.
Manageable 1.1 by Aaron Harp
Inline editing of the date, title, author, categories, tags, status and more on both posts and pages without leaving the “Manage” admin sections. No need to load each post or page individually. Simply double-click anywhere in the post or page row and when you’re done, press enter. Requires WordPress 2.5 or above.
My Category Order 2.6.1 by froman118
My Category Order allows you to set the order in which categories will appear in the sidebar. Uses a drag and drop interface for ordering. Adds a widget with additional options for easy installation on widgetized themes. Visit the My Category Order page after updating Wordpress to apply essential file patches.
Uploaded File Permissions 2.7 by Sven Kubiak
Changes the permissions of uploaded files, pictures and thumbnails after the upload.
(Dieses Plugin ist ein Sonderfall, wird bei manchen Providern benötigt (z.B. Domainfactory), damit Datei-Uploads korrekt funktionieren.
Auf folgende Plugins will ich nicht verzichten:
Link Summarizer 1.5.5 by Christoph Erdle
Create a link summarizer at the bottom of every post
Slimbox Plugin 1.3 by Peppe Argento
Used to overlay images on the current page. This plugin includes the new Slimbox 1.64 javascript written by Christophe Beils and got transformed into a Wordpress Plugin by me.
Smart Youtube 2.2.1 by Vladimir Prelovac
Easily insert YouTube videos in posts, comments and RSS feeds.
TechTags 7.2.15 by Chris Hatcher
TechTags is a simple Technorati tags plugin for WordPress. Insert "
WP-Print 2.31 by Lester Chan
Displays a printable version of your WordPress blog’s post/page.
Deaktivieren von Plugins – in der Plugin-Liste in der rechten Spalte "deaktivieren" klicken.
Entfernen von Plugins – einfach aus dem Plugin-Verzeichnis löschen. That’s it.
SEOptimieren
Die nachfolgenden Informationen sind keine allgemeine Anleitung zur Suchmaschinenoptimierung, das ist nicht der Sinn dieses Beitrags. Ich beschränke mich hier ausdrücklich auf die ersten SEO-Maßnahmen, die Du im Zuge einer WP-Installation vornehmen solltest.
Das Plugin All in One SEO hilft Dir dabei, Deine Seiten für Suchmaschinen freundlicher zu gestalten.
Darüber hinaus gibt es noch ein paar Punkte, die Du tun kannst, um Deine Seiten zu optimieren.
Konfiguration von All in One SEO Plugin
Du findest die Optionen unter Menüpunkt =>Einstellungen =>All in One SEO
Die Namen der einzelnen Optionen sind verlinkt, wenn Du drauf klickst, erscheinen darunter kleine Hilfetexte.
Home Title – das ist der Titel Deines Blogs, der bevorzugt angezeigt wird (auch wenn Du unter =>Einstellungen =>Allgemein) etwas anderes angegeben hast. Lässt Du dieses Feld leer, wird der Titel aus =>Einstellungen verwendet. Hier sollten sich die wichtigsten Suchbegriffe Deines Blogs finden.
Home Description ist für eine Kurzbeschreibung Deines Blogs vorgesehen.
Home Keywords – wie der Name sagt, werden hier die wichtigsten Suchbegriffe eingetragen.
Die beiden Felder werden als sogen. „Meta-Tags“ ausgegeben. Lässt Du sie leer, erscheint Deine Homepage ohne solche Meta-Tags.
Mit „Rewrite titles“ legst Du fest, dass alle Titel entsprechend der nachfolgenden Platzhalter umbenannt werden sollen.
Du hast später beim Schreiben von Beiträgen und Seiten nochmals die Möglichkeit, dezidiert jeweils andere Titel einzutragen.
Die 5 Checkboxes am Ende der Liste werden sinnvollerweise angeklickt.
Zusätzlich hast Du noch drei Felder, wo Du zusätzlichen Code in Header, Footer und Home-Header schreiben kannst.
Ich kopiere hier in den Header z.B. meinen Google Analytics Code.
Weitere wichtige Maßnahmen
Ich will hier nicht Eulen nach Athen tragen und/oder Romane über SEO schreiben, aber ich möchte Euch an ein paar Punkte erinnern, die ich oft – besonders bei Blogs – vermisse:
Textgliederung!!!
Es freut nicht nur Eure Leser, wenn Ihr Eure Texte in lesefreundliche „Häppchen“ unterteilt und mit Zwischenüberschriften verseht, es freut auch Suchmaschinen, wenn sich wichtige Suchbegriffe in „Überschriften“ finden. Der FCKEditor erlaubt Euch, Texten HTML-Headings zuzuweisen (erscheinen im Editor in der Dropdown-Liste „Format“ als Überschrift 1, Überschrift 2 etc.). Verwendet diese regelmäßig!
alt-Text für Bilder
Bilder sollen einen alt-Text haben. Dies gilt nicht nur im Sinne der Barrierefreiheit, sondern Suchbegriffe im alt-Text werden auch von Suchmaschinen honoriert.
Linktexte
Nennt einen Link nicht „hier klicken“, sondern besser z.B. „lies mehr zu Suchmaschinen“ etc.
Darüber hinaus könnt Ihr Euch den Kopf vollstopfen mit 1000 +1 SEO-Trick – verschwendet Eure Zeit lieber damit, guten Content zu schreiben! Das ist zweifelsohne der wirkungsvollste SEO-"Trick"…
4 Comments
eliZZZa on September 3rd, 2008
Hallo Robert,
vielen Dank für den Tipp, die Sache mit den immer gleichen “admins” war mir schon ein wenig suspekt…
Werde ich in der Checkliste gleich ergänzen.
Majos & Janas Blog » Blog-Info-Artikel on September 4th, 2008
[...] http://www.elizzza.net/530/wordpress-einstellungen/ [...]
Oberlehrer on September 18th, 2008
Danke für die Plugin-Empfehlungen, werde bestimmte einige davon ausprobieren.
Ich habe übrigens die Sache mit dem “admin” in meinem Beitrag Wordpress: Angriff auf den “admin” erschweren ausführlich erläutert. Man sollte m. E. auch zwischen User- und Autoren-Namen unterscheiden.
Robert on September 3rd, 2008
Aus Sicherheitsüberlegungen würde ich nicht nur – wie vorgeschlagen – wdas Passort des Users “admin” verändern, sondern einen weiteren User mit einem frei gewählten Namen anlegen, der die Administration des Blogs übernimmt, und “admin” anschliessend löschen.
Grund: In der Vergangenheit sind einige Sicherheitsprobleme in WordPress deswegen so einfach ausnutzbar gewesen, weil Angreifer von einem bekannten User “admin” mit einer bekannten ID (1) ausgehen konnten.