+49 (0) 30 405 77 627 info@nextab.de

Die 4 wichtigsten Grundsätze bezüglich WordPress Plugins

Kurze Hintergrundinfo: Diese Artikel wurden ursprünglich für Sandra Holzes Firmenblog verfasst. Da mich jedoch die Schreibwut gepackt hatte, wurden sie etwas länger als gewünscht. Eine komprimierte Version dieser 3 Artikel gibt es daher bei Sandra und hier veröffentliche ich nun die sehr viel ausführlicheren Varianten.

Unlängst hat die Phrase „Gibt’s da ne App für?“ im Zusammenhang mit Smartphones Einzug in unseren Alltag gefunden. Egal, welchen neuen Trick das Mobiltelefon beherrschen muss – vielleicht soll es euch den Namen eines Musikstücks nennen, das im Hintergrund im Restaurant läuft, oder ihr wollt ein Uber für die Fahrt zum Flughafen bestellen -, die Chancen stehen äußerst günstig dafür, dass ihr mit Hilfe einer App die gewünschte Funktionalität in Windeseile aufs Smartphone bekommt.
Dabei ist das Prinzip überhaupt nicht so neu wie es möglicherweise einigen Lesern erscheint. Denn im Grunde machen Plugins für WordPress genau das gleiche und diese gibt es sogar schon seit dem 22. Mai 2004 – also mehr als 3 Jahre vor Veröffentlichung des ersten iPhones.

Plugins sind eines DER zentralen Argumente für WordPress. Klar, das „Content Management System“ erlaubt es dir auch, deine Inhalte selbst zu bearbeiten, so dass sich die Kosten für deinen Webdesigner / Programmierer nach dem ursprünglichen Online-Stellen der Seite (hoffentlich) in Grenzen halten. (Der Begriff „Content Management System“ lässt sich im Grunde auch schlichtweg als „System, um Inhalte verwalten zu können“ übersetzen, aber für so langweilige Umschreibungen gibt es heutzutage immer eine sehr viel griffigere angelsächsische Bezeichnung, dabei bleiben wir mal bei „CMS“.) Das können aber auch viele andere ähnliche Systeme von sich behaupten.

Plugins (und Themes) sind der Grund, warum WordPress das beliebteste CMS der Welt ist…

… und mehr als ein Viertel aller bekannten Webseiten darauf setzen (Stand Februar 2016; Quelle)! Möchtest du Besuchern deiner Webseite die Möglichkeit geben, einen Termin mit dir zu vereinbaren? Ein Plugin erledigt das für dich. Willst du Leuten die Möglichkeit geben, mit ihren Facebook-Accounts Kommentare zu hinterlassen? Auch hier schafft ein Plugin Abhilfe.

Bevor ich hier ein viel zu positives Bild male, sei gesagt: Plugins können aber nicht nur Segen, sondern offen gestanden auch Fluch sein. Daher möchte ich im heutigen Artikel etwas mehr Hintergrundwissen unters Volk bringen, bevor wir dann in den Teilen 2 und 3 meine persönliche Top 10 Liste der empfehlenswertesten Erweiterungen für WordPress herunterbrechen.

Wichtige Grundsätze bezüglich Plugins

1 Bei Plugins gilt: Weniger ist mehr!

DAS oberste Gebot, das in jeder Diskussion zum Thema WordPress Plugins JEDEN anderen Grundsatz schlägt, lautet: „Weniger ist mehr.“
Ich setze professionell Webseiten auf und mein Höchstwert für die Anzahl installierter Plugins in den vergangenen zwei Jahren liegt bei 12. Dann haben wir aber auch eine Webseite, die noch einen Twitter- sowie einen Facebook-Feed einbindet, die individuelle E-Mails verschickt, wenn Leute Aktionen ausführen, die Statistiken in Beiträgen mit Diagrammen untermalt und die noch so einige andere Scherze beherrscht. Wenn eure Webseite also weitaus weniger Funktionalitäten abdeckt, ihr aber trotzdem 15 oder noch mehr Plugins im Einsatz habt, dann läuft hier in den meisten Fällen etwas falsch.
Ich habe aber offen gestanden auch mal kleiner angefangen und meine alte Firmen-Homepage hatte auch mehr Plugins im Einsatz als mir lieb war; es ist also mehr oder weniger „normal“, dass man in der Kennenlernphase mit WordPress viel ausprobiert (und sehr häufig vergisst, später mal ordentlich auszumisten; mir liegt ein Vergleich zu jugendlichen Liebschaften auf der Zunge, ich beiße aber besser mal drauf).

Aber warum ist weniger denn mehr? Hierzu ist es wichtig, die Funktionsweise von Plugins (zumindest im Groben) zu verstehen. Jedes Plugin umfasst mindestens eine .php Datei, die vom Server geladen wird, um die Funktionalität von WordPress zu erweitern. Dann kommt in vielen Fällen noch ein wenig Javascript dazu, um irgendeine Art von Interaktivität zu ermöglichen (z. B. einen Hinweis anzuzeigen, dass die E-Mail Adresse im Newsletter-Verteiler eingetragen wurde, nachdem ein User auf den „Absenden“-Button geklickt hat) und nicht selten auch noch ein Stylesheet, um das Aussehen der Plugin-Elemente zu steuern. Das sind zwar im Idealfall alles nur kleine Dateien, aber die müssen trotzdem erstmal alle vom Server geladen werden, wenn jemand die Seite betritt. Wenn man sich mit dem Thema Webseiten-Geschwindigkeit etwas näher befasst und dann einige Speedtest durchführt, z. B. mit Hilfe der Google Developer Tools, so bemerkt man sehr schnell beim Vergleich einiger WordPress-Webseiten, dass ein sehr typisches Problem die hohe Anzahl von JavaScript und CSS Dateien ist. Und das ist nicht selten ein Hinweis auf „zu viele“ Plugins.

Gefühlte 60% aller WordPress-Seiten setzen auf zu viele Plugins!

Daher wird es euch nicht überraschen, dass mein Nummer 1 Optimierungstipp für WordPress Seitenbetreiber nach einem ersten Blick fast immer lautet: Reduziere die Anzahl deiner Plugins.

2 JEDES WordPress Plugin ist eine potenzielle Sicherheitslücke!

Wie gesagt besteht jedes Plugin aus zumindest einer .php Datei. Und wenn der Plugin-Autor nicht genau weiß, was er tut (und manchmal selbst dann, wenn er relativ genau weiß, was er tut), dann öffnet diese Datei ein kleines Türchen in deine Webseite. Es ist sehr schwierig, diese Problematik mit rein theoretischen Erläuterungen zu verdeutlichen, also werde ich mal konkret und bringe ein Beispiel:

Vor ein paar Jahren war das timthumb.php ein extrem beliebtes Script, um Bilder zu schrumpfen. Hatte man ein 1200 x 600 Pixel großes Bild in die Mediathek geladen, so konnte man mit einem Aufruf, wie „http://deinewebseitenurl.de/timthumb.php?id=bildadresse&w=400&h=400″ das Bild als 400 x 400 Pixel ausliefern lassen. Ohne weiteren Aufwand! Klingt erstmal cool und macht das Leben eines Theme-Designers von WordPress extrem viel einfacher – wer will sowas schon selbst von Hand schreiben?

Nun ist dieses timthumb-Script aber einigermaßen „historisch gewachsen“. Das heißt, es hatte ursprünglich mal eine ähnliche, aber nicht ganz identische Aufgabe. Diese hatte mit blogger-Seiten zu tun, wenn ich mich recht entsinne, weil dort Leute auch ständig Bilder hoch geladen hatten. Und daher hat das timthumb-Script nahezu alle Dateien, die an es überliefert wurden und die auf einer URL lagen, die mit „http://blogger.com“ begannen, akzeptiert. ALLE Dateien. Auch Nicht-Bilder, also z. B. auch virus.php.
Wenn also jetzt jemand wusste, dass bei dir timthumb im Einsatz war, dann musste der nur in seinem eigenen Browser „http://deinewebseitenurl.de/timthumb.php?id=http://blogger.com/meincoolervirus.php“ eingeben und schon hat DEIN Server seinen Virus rein geladen.

Das klingt jetzt möglicherweise etwas unvorstellbar (es ist auch leicht vereinfacht dargestellt) und der ein oder andere Leser wird sich bei der Lektüre hier direkt an den Kopf schlagen und sich fragen, wie so eine Sicherheitslücke nicht bemerkt werden konnte, nur unterschätzt so mancher Entwickler schlichtweg das kriminelle Potenzial von Computer-Hackern. Oder er wollte ursprünglich nur ein kleines Script für sich selbst schreiben und das hat dann – zu seiner eigenen Überraschung – schnell an Popularität gewonnen und verbreitete sich plötzlich im gesamten Netz. Dann vergisst man mitunter schon mal, das Script noch auf Herz und Nieren zu prüfen – immerhin geht man nicht davon aus, dass es der Rest der Welt kopiert, wenn es nicht sicher ist…

Die timthumb-Problematik schlug so große Wellen, dass es sogar Plugins gab, die sich nur mit diesem Thema beschäftigten...

Die timthumb-Problematik schlug so große Wellen, dass es sogar Plugins gab, die sich nur mit diesem Thema beschäftigten…

Kurze Klarstellung: Diese Story ist zu 90% richtig; Hacker mussten noch einen kleinen zusätzlichen Schritt gehen, aber ich will hier nicht unbedingt erklären, wie man Webseiten außer Gefecht setzt (was offen gestanden auch nicht mein Fachgebiet ist). Wenn ihr auf eurer Seite jedoch timthumb im Einsatz habt (das Script ist nach wie vor beliebt), so stellt sicher, dass ihr es auf die aktuellste Version updatet, die hier kostenlos herunter geladen werden kann: timthumb bei Google Code. Dann reduziert ihr direkt die Gefahr eines Hacks eurer Seite um ein Vielfaches. Es ist jedoch kein Zufall, dass bei einer Google-Suche nach „timthumb“ mindestens 3 Ergebnisse auf Seite 1 von einer „vulnerability“ oder einem „security risk“ sprechen.

3 Nur aktuelle Plugins sind GUTE Plugins

Es kommt nahezu zwangsweise vor, dass sich früher oder später eine Sicherheitslücke – insbesondere in beliebten – WordPress Plugins einschleicht. Dementsprechend solltet ihr nicht automatisch jegliches Vertrauen in einen Plugin-Entwickler verlieren, wenn mal bekannt wird, dass eine von ihm veröffentlichte Erweiterung den Hack einer Webseite ermöglicht hat. Wichtig ist jedoch, dass diese Sicherheitslücke behoben wird und ihr im Gegenzug eure Plugins immer schön up to date haltet, damit euer Blog nicht betroffen ist.

Der Leak der „Panama Papers“, der in den vergangenen Wochen die Schlagzeilen dominiert hat und zumindest einen Premierminister schon mal den Job gekostet hat, wurde laut dem empfehlenswerten WordFence Blog beispielsweise auch durch eine veraltete Version des Revolution Slider Plugins ermöglicht. Jetzt bin ich zwar kein Fan des Revolution Sliders (oder irgendeines Sliders…), mit der Meinung stehe ich aber relativ allein – es ist eines der beliebtesten Slider-Plugins, die es gibt.

Noch mal:

Hätte Mossack Fonseca, eine der riesigsten Offshore-Firmen der Welt, einen dressierten Affen an einen Computer gesetzt, der einmal pro Woche auf „Update“ im WordPress Backend geklickt hätte, hätte Island immer noch denselben Premierminister wie vor einem Monat. Klingt komisch, ist aber so.

4 Installiert idealerweise NUR gepflegte und bewährte Plugins

Wenn ein Plugin das letzte Mal vor 3 Jahren vom jeweiligen Entwickler geupdatet wurde, dann spricht das offen gestanden nicht unbedingt für das Plugin. Gute Plugins werden üblicherweise regelmäßig geupdatet, um beispielsweise sicherzustellen, dass sie auch immer mit der neusten WordPress Version perfekt zusammenarbeiten. Gleichzeitig signalisieren häufige Plugin-Updates, dass der Entwickler auf Feedback der Anwender eingeht und dementsprechend auch mögliche Sicherheitslücken sehr schnell behebt.

Ein weiterer brauchbarer Indikator für gute Plugins sind logischerweise deren Bewertungen. Mittlerweile versucht WordPress bei der Installation von Plugins etwas gezielter Empfehlungen anzuzeigen, die über mehr Bewertungen verfügen und häufig installiert wurden (das war mal anders und man musste oft viele Seiten durchforsten, um wenigstens ein brauchbares Plugin zu finden), daher kann man in dieser Hinsicht jetzt nicht mehr so viel falsch machen, trotzdem sei das euch noch mal ans Herz gelegt.

Offen gestanden gibt es in seltenen Einzelfällen auch Ausnahmen – ich hatte für einen speziellen Anwendungsfall mal ein Plugin benötigt, das reguläre Ausdrücke in einem Blog dynamisch ersetzt und das beste Plugin dafür hat jetzt 1 Bewertung (von mir) und es wurde zuletzt vor 6 Jahren geupdatet, es war aber auch wirklich das einzige Plugin, das alle Voraussetzungen, die wir an es gestellt haben, erfüllt hat (wenn ich mich manchmal frage, wie nerdig ich bin, erinnere ich mich immer an diesen speziellen Fall…) -, diese sollten dann aber noch ausführlicher von euch getestet werden. Es ist zwar nachvollziehbar, dass der Entwickler wenig Interesse daran hat, etwas weiterzuentwickeln, das von nur wenigen Leuten genutzt wird, möglicherweise macht das Plugin auch in seiner ursprünglichen Form genau das, was es machen soll und es sind absolut keine Änderungen notwendig, das ist aber wie gesagt eher die Ausnahme und lässt sich auf nur wenige Anwendungsfälle übertragen.

re.place mit seiner stolzen 1 Bewertung...

re.place mit seiner stolzen 1 Bewertung…

Ich hoffe, damit habe ich euch einige gute Hinweise mit an die Hand gegeben, die euch dabei helfen können, die richtige Entscheidung zu treffen, wenn es um die Installation eines neuen WordPress Plugins geht.

In Teil 2 dieser Mini-Serie werde ich damit beginnen, auf meine Top 10 der wichtigsten Plugins einzugehen. Bis dahin könnt ihr ja mit dem Rest der Leserschaft eure besten Plugin-Stories teilen, auch wenn diese vielleicht nicht ganz mit der Mossack Fonseca Story mithalten können.

Über Oliver Gehrmann

Oliver Gehrmann ist Gründer der Agentur nexTab, Fan von Sammelkartenspielen, verheiratet und Vater eines furchtbar niedlichen Kindes, von dem gerüchteweise sogar vereinzelt Bilder in dieser Webseite eingearbeitet sind...