Die Sebastian Blum GmbH betreibt seit einigen Jahren eine Multisite-Installation für eine Vielzahl an Kunden und für eigene Projekte. Durch das Hosting auf einem eigenen Server nur für WordPress läuft das System stabil, sicher und deutlich schneller als bei einem Shared Hosting.
In diesen Folien werden die Erfahrungen und Einsatzmöglichkeiten eines solchen Systems erklärt.
3. Agenda WordPress Professional
• Einführung WordPress, Multisite,
(Themes) & Plugins
• Koexistenz auf einer Domain
• Technisches Feintuning: Caching &
Sicherheit in der Multisite
5. Über WordPress
• Basiert auf PHP (mind. 5.2.4) und MySQL (mind. 5.0.15)
• GNU GPLv2 Lizenz
• Verteilung 2014 (geschätzt)
75 %
25 %
WordPress
andere Systeme
34 %
66 %
22 %
78 %
weltweit
aktive Seiten
WordPress /
andere CMS
deutsche
Blogosphäre
6. Über WordPress
• WordPress als SaaS: wordpress.com (/ wordpress.de)
Eingeschränkte Funktionen bei Plugins & Themes
Betreiber: Automattic Inc. (kommerziell)
Erweiterungen durch Jetpack & Co.
• WordPress zum selbst hosten: wordpress.org
• Plugin-Repository: 36.378 Plugins auf wordpress.org
3.331 kostenpflichtige auf codecanyon.net uvm.
• Theme-Repository: tausende auf wordpress.org
Themeforest uvm.
Stand:01.03.2015
8. WordPress Single und Multisite – Installation
• Einzeln komplett
voneinander getrennte
WordPress-Installationen
• Festlegung auf eine
Sprache
• Einzelner WP-Kern und
viele Unterseiten
• Multisite als Lösung für
mehrsprachige Websites
9. WordPress Single und Multisite – Installation
• Initiale Einrichtung,
Wartung und Updates
mehrere Seiten über Tools
wie z. B. InfiniteWP oder
ManageWP (SaaS)
• Volle Admin-Rechte für
versierte Nutzer möglich
(z. B. für Installation von
Plugins u. Ä.)
• Initiale Einrichtung leichter
und schneller, komplette
Kontrolle in eigener Hand
• Admin-Rechte für einzelne
Seiten, Super-Admin mit
Zugriff zu allen Seiten
10. WordPress Single und Multisite – Installation
• Plugins und Themes
können den gewünschten
Versions-Stand aufweisen
(z. B. Pagebuilder & dazu
optimiertes Theme)
• Plugins und Themes
werden individuell pro
Seite ausgesteuert, aber
nur ein Versionsstand pro
Plugin / Theme möglich
15. WordPress Default-Themes
• Default-Themes 2013-2015 in der 6,7 MB großen
WordPress-Installation inklusive
• Seit 2011 bereits voll responsiv
• Bis auf [caption] keine weiteren BB-Codes und
Funktionen
• Voll funktionsfähiges Theme und volle Kompatibilität bei
Theme-Wechsel
• Default-Themes auch als Starter-Theme geeignet
20. WordPress Starter Themes: Underscores _S
• Grundgerüst, auf dem Theme-Designer aufbauen können
• Entwickler hinter _S: Automattic
• Lt. Entwickler von _S Einsparung von über 1.000
Arbeitsstunden für den Grund-Aufbau
• _S ist und bleibt gratis
• Basis für rund 300 Themes im WordPress-Repository
21. WordPress Starter Themes: darauf achten!
• Empfehlenswert als Basis: Twitter BootstrapWP oder
Foundation for WordPress; HTML5 und CSS3
• Vorbereitete jQuery Plugins für Dropdowns & Co.
• Responsive CSS
• Saubere Template-Struktur und Dokumentation
http://www.elmastudio.de/wordpress/responsive-
wordpress-blank-themes-in-der-ubersicht/
24. WordPress Themes
• Installieren und sofort einsatzbereit
• Code-Qualität und Anpassbarkeit sehr unterschiedlich
• Top-Entwickler, die ihre Themes tausendfach verkaufen
• breiter Funktionsumfang
• gute Individualisierungsmöglichkeiten auch ohne
Programmierkenntnisse
• Umfangreiche Themes oft mit Plugins wie Visual Composer
(Page Builder) & Revolution Slider gekoppelt
25. WordPress Themes
• Drag & Drop Pagebuilder: Websites bauen ohne
Programmierkenntnisse
• Je nach Theme-Entwickler mit schlankem bis sehr umfangreichem
Backend
0
22,5
45
67,5
90
Anpassbarkeit
Umfangreiches
Backend
Schlankes
Backend
Anpassungen via CSS-Coding
Anpassungen via Theme Panel
27. WordPress Child Themes
• Basis ist ein vollwertiges (kein Starter!) Theme (Parent)
• Verändert das Theme in den Styles und Funktionen,
kleine Ergänzungen möglich, die zusätzlich geladen
werden
• Parent-Theme kann so aktualisiert und trotzdem
individuell angepasst werden
• Selbst gewählter Theme-Name des Child-Themes
erscheint im Quelltext
30. MU-Plugins
• Sowohl für Multisite- als auch Einzel-Installation (seit 2.8)
• Must Use Plugins (mu-plugins) erscheinen unter dem Reiter
„Obligatorisch“ bei /wp-admin/plugins.php
• MU-Plugins müssen nicht extra aktiviert werden, sondern
sind sofort nach Upload im Einsatz
• Nutzer können die Plugins nicht versehentlich deaktivieren
• MU-Plugins werden vor normalen Plugins geladen (nützlich
für Buffern, Caching, uvm.; Bereitstellung von Bibliotheken,
die in anderen Plugins oder in Themes verwendet werden)
40. Koexistenz:
2 Systeme auf einer
Domain
• Einfache Installation im
Unterordner
• Voll-Integration im
Wurzelverzeichnis
• Vor- und Nachteile
41. Koexistenz - reales Beispiel
• System A auf Symfony2 Basis mit Foundation, SASS,
AngularJS und Co.
• System B mit WordPress, Premium-Theme und Page
Builder
• Whitelisting von /magazin /informationen /blog auf
WordPress
47. Koexistenz:
2 Systeme auf einer
Domain
• Einfache Installation im
Unterordner
• Voll-Integration im
Wurzelverzeichnis
• Vor- und Nachteile
48. Koexistenz - Nachteile
• Designanpassung zwischen unterschiedlichen Systemen
mit meist unterschiedlichem HTML-Aufbau
• Alternativ zwei Designs auf einer Domain
• komplexere Webserver-Konfiguration bei Voll-Integration
notwendig
49. Koexistenz - Vorteile
• Vorteile des jeweiligen Systems im Vordergrund
• Beispiel Content-Strategie: Inhalte via WordPress
schnell und einfach wie bei einem Facebook-Auftritt
publizieren; Pflege ohne Programmierkenntnisse
• Beispiel Redirects: statt mehreren hundert 301 in
der .htaccess nach einem Relaunch, Whitelisting der
alten Seiten für WordPress und Umleitung mit WP
Redirect Plugin
• Keine Beschränkung auf Ordner (bei Voll-Integration)
50. Koexistenz: einfache vs. Voll-Integration
• alle Unterseiten von
WordPress hierarchisch
unter /magazin/unterseite
• Plugins (z. B. Redirection)
greifen nur rekursiv für
/magazin
• Whitelisting der
gewünschten URLs
Hauptsystem <-> WP
• Plugin-Funktionen für alle
white-gelisteten Seiten
62. Sicherheit - WordPress Update-Politik
• WordPress Entwickler-Team reagiert sehr schnell auf
Sicherheitslücken
• Reaktionsgeschwindigkeit zum Schließen von Lücken bei
Themes und Plugins stark unterschiedlich: große
Abhängigkeit von den Entwickler!
63. Sicherheit - WordPress Update-Politik
• Keine Updates zu installieren ist grob fahrlässig
• Änderung der Update-Politik seitens WordPress auf
Auto-Update seit Version 3.7 und deutlich höhere
Aktualisierungs-Frequenz
• Nicht immer sind Updates unproblematisch: schlecht
programmierte Plugins & Themes können die Seite
schießen
71. Sicherheit - WordPress Hack Beispiel
• Umfrage kam nur einmal pro anfragender IP-Adresse und
nicht beim eingeloggten Benutzern
• Einblendung erst nach dem 5. Klick innerhalb der Seite
• Schad-Code war zusätzliches eingefügtes JavaScript
73. Sicherheitmaßnahmen - WordPress Hardening
• Standard-Aktionen
• Verzeichnisschutz vor /wp-admin & /wp-login.php
• Kein „admin“, zufallsgenerierte Passwörter
• Snitch-Plugin (WordPress Traffic-Überwachung)
• SSL-Verschlüsselung für WordPress-Backend
74. Sicherheitmaßnahmen - WordPress Hardening
• Eigene Skripte
• Komplette Einschränkung der Verzeichnisrechte: keine
Schreibrechte für Ordner aus Upload in wp-content und
Caching: Plugin- und Theme-Installation erst nach extra
Freigabe möglich
• Ausführen von PHP-Skripten im uploads-Ordner untersagt
• Auto-Update auf Staging, erst dann Ausspielung auf Live
• Tägliche Backups der Files, des WP-Kerns und der
Datenbank
76. sblum Multisite Blogadmin
• Ein WordPress-Kern unter blogadmin.de
• Neue WordPress-Seite für Kunden in wenigen Minuten
angelegt
• keine eigene WordPress-Installation notwendig
• automatisches Anlegen der Datenbankstruktur
• Automatisierte Prozesse: komplette Sicherung und
Updates zentral für alle Installationen
77. sblum Multisite Blogadmin
• DNS-Eintrag der Kunden-Domain wird auf blogadmin.de
gelegt
• Jeder Kunde erhält einen Zugang zu seiner einzelnen
oder zu seinen mehreren Seiten
• Themes und Plugins werden geprüft, dann installiert und
anschließend gezielt für die Unterseiten aktiviert
• Deutlich höhere Absicherung als herkömmliche
WordPress-Installationen: WordPress Professional.