Als WordPress-Blogger hat man unter anderem den großen Vorteil, aus unzähligen Plugins auswählen zu können. Damit kann man neue Funktionen in den eigenen WordPress-Blog integrieren und damit diesen sehr individuell gestalten.
Doch leider geht von den WordPress-Plugins auch eine große Gefahr aus. Im Folgenden zeige ich, welche Gefahren das sind und ich liste praktische Tipps auf, wie ihr auf der sicheren Seite seid.
WordPress-Plugins – Die unbekannte Gefahr für deinen Blog
Im offiziellen WordPress-Verzeichnis gibt es über 50.000 kostenlose Plugins, die unzählige Funktionen für fast alle Wünsche bereitstellen.
Es ist sehr verlockend viele dieser Plugins zu installieren und den eigenen Blog damit um interessante Features zu erweitern.
Aber die Installation von neuen Plugins sollte mit Vorsicht genossen werden. Es gibt 2 große Probleme bei vielen Plugins, durch die der eigene Blog in Gefahr gebracht wird.
Sicherheit
Zum einen sind es Sicherheitsprobleme, die von vielen Plugins ausgehen. Der Großteil der über 50.000 Plugins wird von Hobby-Entwicklern bereitgestellt, die aber häufig keine professionellen Programmierer sind. Deshalb gibt es hier immer wieder Sicherheitslücken, die von bösen Menschen ausgenutzt werden.
Zudem verlieren viele dieser Entwickler mit der Zeit die Lust daran und die Plugin veralten deshalb. Auch das sorgt für neue Probleme, auch wenn der Entwickler vorher gute Arbeit geleistet hat. So gab es z.B. bei einigen Plugins Probleme bei der Umstellung auf PHP 7.
Schlecht programmierte Plugins sind ein großes Problem. Zehntausende gehackte WordPress-Blogs sprechen hier Bände.



Aber teilweise greifen Plugin-Entwickler auch bewusst unwissende Blogbetreiber an. So gab es schon Fälle, wo durch vermeintlich tolle Plugins heimlich Backlinks zu Spamseiten gesetzt wurden. Auch der heimliche Austausch der AdSense-ID ist schon vorgekommen. Hier wollte der Plugin-Entwickler mitverdienen, ohne dass der Blog-Betreiber davon wusste.
Im Schlimmsten Fall ist der ganze Blog und seine Inhalte weg oder unbrauchbar. Das ist gerade für professionelle Blogger natürlich ein Alptraum.
Ladezeit
Ein zweiter Bereich, in dem viele Plugins Probleme verursachen, ist die Ladezeit. Auch hier sind es gerade die nicht so professionell entwickelten Plugins, die häufig Ärger machen. Diese haben oft zu viele Datenbank- Zugriffe, verbrauchen zu viel Arbeitspeicher oder greifen auf zu große Bilbliotheken und ähnliches zu.
Die Folge davon ist, dass solche Plugins den Blog langsamer machen und vor allem in der Summe zu deutlich höheren Ladezeiten führen. Das kann gute Google-Rankings kosten und sorgt auch dafür, dass viele Leser abspringen.
Man sollte also auch aus Sicht der Ladezeit sehr genau darauf achten, welche Plugins man installiert.
Tipps zur Plugin-Auswahl
Um diese zwei großen Gefahren für den eigenen Blog zu minimieren, solltet ihr die folgenden Tipps beherzigen:
- Nur von WordPress.org
Kostenlose Plugins solltet ihr ausschließlich aus dem offiziellen Plugin-Verzeichnis installieren. Dort gibt es zumindest eine gewisse Kontrolle und die Vielzahl der Nutzer hilft hier auch, indem z.B. Bewertungen abgegeben werden. - Empfehlungen
Erfolgreiche und bekannte Blogger geben oft Empfehlungen für gute Plugins. Wenn ihr diesen traut, dann solltet ihr euch diese Plugins mal anschauen. Ich veröffentliche z.B. ebenfalls regelmäßig Plugin-Vorstellungen. - Gute Bewertungen
Im offiziellen Plugin-Verzeichnis können Nutzer Bewertungen für Plugins hinterlassen. Die geben schon mal einen ersten Aufschluss dahingehend, ob das Plugin gut ist oder nicht. - Support-Forum
Noch genauer sollte man hinschauen, in dem man sich im Support-Forum des Plugins mal umschaut. Werden Fragen schnell beantwortet? Wird von Problemen berichtet? - Gut gepflegt
Auf keinen Fall sollte man veraltete Plugins installieren, sondern darauf achten, dass es regelmäßig Updates gibt. Das gilt übrigens auch für die Zeit nach der Installation. - Immer aktuelle Updates
Ihr solltet die Plugins in eurem Blog immer aktualisieren. Am einfachsten geht das natürlich, indem ihr automatische Plugin-Updates einrichtet. - Unsichere Plugins deinstallieren
Sollte ein Plugin nicht mehr aktualisiert werden oder Sicherheitslücken aufweisen, dann solltet ihr diese nicht nur deaktivieren, sondern komplett deinstallieren.
Fazit zu der Gefahr durch WordPress-Plugins
Die vielen kostenlosen Plugins für WordPress sind eine tolle Sache. Aber ihr solltet dabei auch einige Dinge achten, damit die falschen Plugins eurem Blog nicht schaden.
Das mit dem pagespeed ist ein außerordentlich schwieriges Thema… Ich konnte mit Plugins wie cashify oder mit Bildkomprimier-plugins schon viel in Sachen pagespeed rausholen. Dennoch finde ich reicht es noch nicht aus.
Das ganze verhält sich doch sehr simpel: Nie mehr PlugIns installieren als nötig und die, die man installiert, aktuell halten. Habe nun schon einige Seiten, die 5+ Jahre alt sind und ein WP-Angriff ist mir fremd – wer seine Sachen immer aktuell hält und ein paar Sicherheitsvorkehrungen trifft (z.B. Schutz gegen BruteForce Attacken, beispielsweise mit Limit Login Access) hat nie Probleme.
Grüße :)
Hallo Niqqi!
Gegen Brute-Force-Angriffe helfen Erweiterungen wie „Limit Login Access“ oder „Limit Login Attempts“ nur wenig. Heutzutage laufen solche Angriffe nicht über eine einzige IP-Adresse, sondern oft über ein Bot-Netz verteilt.
Dagegen helfen diese Erweiterungen nicht, sondern schaffen im Gegenteil eine neue Angriffsfläche durch die zusätzlich installierte Erweiterung.
Am besten und einfachsten hilft ein Verzeichnisschutz auf Webserver-Ebene (bei Apache mit htaccess). Damit können zwar Brute-Force-Angriffe weiterhin durchgeführt werden, aber WordPress wird dabei nicht beansprucht und die Last deines Servers sinkt enorm. Außerdem würden dieser Angriff dann nicht dein WordPress-Konto betreffen, sondern nur den Passwortschutz an sich.
Zu guter Letzt laufen die meisten Angriffe automatisiert ab. Wird WordPress entdeckt, werden automatisch Passwörter ausprobiert. Dagegen hilft auch ein Verzeichnisschutz.
Viele Grüße
Heiko Mitschke
Ich nutze so wenig Plugins wie es geht, gerade die Ladezeiten können dadurch sehr schwanken, wie schon beschrieben. Aktuell habe ich einen PageSpeed von 89 Punkten und das ohne Cache Plugin, bin damit eigentlich super zufrieden.
Krass, ich wusste garnicht das durch Plugins Gefahr für den Blog enstehen kann, habs mir mal durchgelesen und war überrascht. Danke schonmal dafür warr sehr hilfreich :)
Wenn man ehrlich ist, erwischt man sich öfter dabei nicht genutzte Plugins einfach draufzulassen statt sie zu löschen.Und man muss auch nicht für jeden Pups ein Plugin installieren. Nur wenn es nicht anders geht installiere ich Plugins.
Und nicht vergessen: WordPress und Plugins aktuell halten!
Eine Freundin von mir hat schlechte Erfahrungen gemacht das nach einer Aktualisierung ihr Blog nicht mehr funktionierte. Um dies zu vermeiden hat sie keine Updates mehr gemacht. Ein paar Monate später rief sie mich an weil ihr Blog gehackt wurde und die Seite vom Hoster gesperrt wurde.
Kleiner Tipp von mir. Wenn ihr auf Nummer sicher gehen wollt wartet ein paar Tage nachdem ein neues Updates rausgekommen ist. Sollten mit dem Update also Konflikte auftreten hat der Entwickler das im Idealfall schon mitbekommen und den Fehler behoben. Ich installiere Updates deswegen meisten eine Woche nachdem es veröffentlicht wurde.
… dass Plugins die Ladezeit negativ beeinflussen können hatte ich ganz vergessen … mist … zum Glück hab ich deinen Artikel gelesen … ich stöber gern auf deinem Blog :-)
Was ich auch nicht verstehe, wieso man bei WordPress nicht langsam den Admin Login durch eine andere url ersetzen kann (ohne plugin). Auch ein beliebtes Angriffsziel. Da wäre schon vielen geholfen.