WP Letter

Kaum ein Blog ohne sogenannte „Related Posts“: Gut für den Nutzer, noch besser für WordPress-SEO (Stichwort „Durchblutung“ der Website). Ob als Snippet– oder Plugin-Lösung, jeder Ansatz hat seine Berechtigung.

Doch wie steht es um die Performance der Erweiterungen? Der verlinkte Artikel hält Benchmarks parat. Einige berühmte Plugins wie Jetpack Related Posts wurden nicht berücksichtigt, der Grund wird im Artikel genannt.

Was viele WordPress-Nutzer nicht wissen: Unter „Einstellungen“ > „Diskussion“ verfügt WordPress über eine eigene Blacklist für Kommentare. Dort gepflegte Stop-Wörter berücksichtigt WordPress bei der Spam-Einstufung von eingehenden Kommentareinträgen. Es handelt sich dabei um eine native Antispam-Lösung.

Die nun im offiziellen Plugin-Verzeichnis verfügbare WordPress-Erweiterung Blacklist Updater hält die Kommentar-Blacklist auf dem aktuellen Stand, zieht für diesen Zweck die aktuelle Antispam-Liste von GitHub heran.

Weitere Abwehrtechniken im Antispam-Guide für WordPress.

Der Markt mit auf WordPress spezialisierten Hostern boomt wie nie zuvor. Zumindest im Ausland. Dienstleister versprechen das Blaue vom Himmel und den „Best service ever“.

Doch am Ende muss nicht nur die Reaktionszeit des Supports stimmen, die Server-Performance + Erreichbarkeit sollen eine primäre Rolle bei der Hoster-Entscheidung spielen.

Anbei Benchmark-Tests einiger WordPress-Hoster:

• WordPress Hosting Performance Benchmarks (November 2014)
• WordPress Hosting Review 2014: The Results
• WordPress Hosting Speed – WP Engine vs. GoDaddy

Code-Fehler, welche die Sicherheit der eigentlichen Anwendung (Plugin/Theme) und des Mutterschiffs (WordPress) gefährden, sind fatal. Wöchentlich – wenn nicht täglich – werden in WordPress-Erweiterungen Lücken gefunden und meist zeitnah geschlossen. Die Aufgabe der WordPress-Nutzer ist es, WordPress inkl. Komponenten aktuell zu halten.

Die Statistik versieht alle WordPress-Versionen mit entsprechender Anzahl an Sicherheitslücken, zeigt die Verteilung und Arten der Lücken an. Plus visuelle Top-Listen zu Themes und Plugins.

Dazu ein Begleitbeitrag.

Zwecks Fehlerprotokollierung schalten WordPress-Entwickler bzw. Dienstleister das WordPress-Logging auch auf Produktivumgebungen ein. Dies geschieht mithilfe der Konstante WP_DEBUG_LOG – nach der Aktivierung des Loggings schreibt WordPress alle Log-Einträge in die Datei /wp-content/debug.log. Dort werden PHP- und WordPress-Fehlermeldungen (je nach Servereinstellung) protokolliert.

Sicherheitsbedenklich wird es dann, wenn solche Log-Dateien per Browser zugänglich sind. Schließlich stehen dort Serverpfade, die es eigentlich zu verstecken gilt. Siehe dazu den Beitrag „Full Path Disclosure Verwundbarkeit in WordPress unterdrücken“.

Es gilt also, Log-Dateien mit sensiblen Informationen fern von der Öffentlichkeit zu halten. Dazu gehören beispielsweise auch TXT-Files, die jedes Plugin in Form von readme.txt mitbringen (Stichwort Versionsnummer).

Jeweils ein Snippet für Nginx und Apache, welches jeden Aufruf der LOG- und TXT-Dateien im Verzeichnis /wp-content/ via Client/Browser mit einem 404/403-Statuscode blockt.

• How to speed up your WordPress site with Cachify
• Must-Have Premium Plugins for Designers and Developers
• How to Internationalize Your Plugin
• 10up Engineering Best Practices: Performance
• 50 Filters of WordPress: An Introduction to Filters
• Neues WordPress-Plugin: Aged Content Message