21 WordPress Fehler die sich leicht vermeiden lassen
So leicht Anfängern der Einstieg in WordPress mit der 5 Minuten Installation gemacht wird, so viele Fehler können sich gerade am Anfang einschleichen.
Im Regelfall wirst du deine neue Webseite schnell zum Laufen bringen, die Probleme in Sachen Sicherheit (Security), Suchmaschinenoptimierung (SEO) und Geschwindigkeit (Performance) zeigen sich oft erst später. Diese Fehler nachträglich zu beheben kann entsprechend aufwendig werden und kostet Zeit und Geld das du dir sparen kannst.
Wie sich die häufigsten Anfängerfehler leicht vermeiden lassen erklären wir dir in diesem Artikel.
Lesedauer ca. 12 Minuten
Leicht vermeidbare WordPress Anfängerfehler
Idealer Weise liest du dir unsere Tipps durch, bevor du mit der Umsetzung deiner Homepage beginnst. So sparst du dir viel Zeit und unnötigen Ärger. Aber sei beruhigt, nicht alle Fehler haben gravierende Auswirkungen die ins Geld gehen.
1 Schlechtes Webhosting
Beim Webhosting sind die Faktoren Sicherheit, Performance und Support entscheidend. Mit der Auswahl eines Webhosting Anbieters legst du das Fundament deiner Webseite. Entscheidend für die Auswahl des Hosters sind die Anforderungen die die Webseite an die Technik stellt. Wer einen Webshop auf einem einfachen Shared Hosting betreiben möchte wird spätestens beim ersten Kundenansturm eine böse Überraschung erleben. Grundsätzlich lässt sich jedoch sagen, dass billig nicht zwangsläufig schlecht sein muss und große Anbieter nicht unbedingt immer die Besten sind. Es kommt wie immer ganz darauf an, im Idealfall lässt du dich im Vorfeld beraten und deine individuellen Anforderungen analysieren.
2 Kein / fehlerhaftes SSL-Zertifikat
Eine Webseite mit einem SSL-Zertifikat abzusichern ist zwar nur unter bestimmten Bedingungen gesetzlich vorgeschrieben, gehört aber spätestens seit Einführung der kostenlosen Let’s Encrypt Zertifikaten zum Stand der Technik. Auch Google vertritt diese Auffassung (Rankingfaktor)! Hin und wieder gibt es Schwierigkeiten mit Zertifikaten, deshalb ist es ratsam deren einwandfreie Funktion zu überprüfen. Auch bei der Einbindung von Bildern ist darauf zu achten das dies über „https://“ geschieht. Ansonsten zeigt der Browser einen Warnhinweis an, der Webseitenbesucher verunsichern könnte.
3 Schwache (unsichere) Passworte
Leider ist es immer noch so, dass schwache Passwörter das häufigste Einfallstor für Cyberkriminellen darstellen. Laut Artikel 32 DSGVO gehört ein angemessener Passwortschutz zu den organisatorischen und technischen Maßnahmen, die Webseitenbetreiber ergreifen müssen, um personenbezogene Daten zu schützen. Wie nachstehende Tabelle zeigt sollte ein halbwegs sicheres Passwort mindestens 11 Zeichen haben und aus Zahlen sowie Klein- und Großbuchstaben bestehen.
So einfach und banal das Thema Passwort doch erscheint, so vermeintlich problematisch ist der Umgang mit sicheren Passwörtern in der Praxis. Laut Statistik sind sich 89 % der Anwender bewusst, dass es äußerst riskant ist, ein Passwort in identischer oder leicht abgewandelter Form mehrfach zu verwenden. Aber nur 12% schützen ihre Konten mit unterschiedlichen Passwörtern. 62 % nutzen immer oder meistens dasselbe Passwort oder Varianten davon. Erschreckend jedoch ist, dass nur 31 % der Nutzer nach einer entsprechenden Cybersicherheits-Schulung die Mehrfachnutzung von Passwörtern aufgaben.
4 ADMIN als Username
Damit ein Login-Angriff erfolgreich ist, muss der Angreifer sowohl den Benutzernamen als auch das Passwort herausfinden – normalerweise ein unmögliches Unterfangen. Deutlich einfacher wird es jedoch, wenn der Benutzername „admin“ oder leicht zu erraten ist. Die Wirksamkeit dieser wichtigen Sicherheitsbarriere verringert sich dadurch um bis zu 50%. Hat dieser Benutzter auch noch Administratoren-Rechte stehen dem Angreifer, nachdem das Passwort geknackt wurde, Tür und Tor offen. Besser ist es einen Benutzername zu wählen der Buchstaben und Zahlen enthält und nicht logisch nachvollziehbar ist.
5 Titel der Startseite
Oftmals wird als Titel der Startseite „Willkommen“ oder „Home“ verwendet. Das ist zwar höflich bzw. zweckdienlich, jedoch wenig sinnvoll für eine so wichtige Seite wie die Startseite. Wenn du möchtest das die Inhalte deiner Internetseite auch gefunden werden, dann solltest du aus SEO Gründen einen informativen und aussagekräftigen Titel wählen. Er sollte nicht mehr als 70 Zeichen (ohne Leerzeichen) haben, einen Mehrwert bieten und zum Klicken animieren.
6 WordPress Untertitel
Während der WordPress Installation wird nur der Titel deiner Seite abgefragt, aber nicht der Untertitel die sogenannte „Tagline“. Aufgrund dessen gibt es unzählige Installationen mit dem von WordPress vorgesehenen Standard Untertitel: „Eine weitere WordPress-Seite“ bzw. „Just another WordPress site“. Auch wenn der Untertitel in den meisten Themes gar nicht angezeigt wird, sollte er aus SEO-Gründen mit einem für deine Seite entsprechend aussagekräftigen Slogan gefüllt werden. Auch aus und Sicherheitsgründen ist es empfehlenswert den Standard Untertitel zu verändern, dadurch lässt sich deine Website nicht sofort als WordPress Seite identifizieren. Deshalb ist es ratsam den Inhalt abzuändern und nicht zu entfernen. Gehe hierfür in den Adminbereich auf Einstellungen → Allgemein und ändere den Text ab.
Nachtrag: Entwickler Mark Jaquith hat auf die Tagline-Problematik bereits am 30.03.2008 hingewiesen. 15 Jahre später kommt mit WP 6.1 endlich die entsprechende Änderung. Der Untertitel „Eine weitere WordPress-Seite“ wird zukünftig nur noch als Platzhalter agieren, erscheint aber nicht mehr in der Ausgabe.
7 WordPress-Logo als Favicon
Gerne wird auch vergessen ein eigenes Favicon (Favoriten-Icon) zu hinterlegen. Stattdessen erscheint dann das WordPress Logo. Dadurch kann der Anwender*in schlechter erkennen welche Webseite deine ist, außerdem wird sofort ersichtlich mit welcher Software sie gemacht ist (Sicherheitsaspekt).
8 Beispielinhalte
Neben der von WordPress installierten Beispiel-Seite (Premalink /beispiel-seite) und dem „Hallo-Welt!“-Beitrag (Premalink /hallo-welt) werden oftmals auch noch themenspezifische Beispielinhalte installiert, aber nicht abgeändert oder gelöscht. Das betrifft neben Seiten, Beiträgen und Kommentaren auch Bilder in der Mediathek. So bald diese von Google indiziert wurden können sie auch gefunden werden, was wiederum zu Irritationen bei den Besucher führen könnte. Es ist grundsätzlich ratsam alle nicht benötigten Inhalte zu löschen.
9 Nicht bei Google Search Console angemeldet
Google Search Console – ehemals Google Webmaster Tools – ist ein kostenloses Analysetool das Webseitenbetreibern wertvolle Informationen liefert und sie bei der Suchmaschinenoptimierung (SEO) unterstützt. Sie hilft dabei, den Google Suche-Traffic deiner Website und deren Leistung zu messen sowie Probleme zu beheben. Außerdem sorgt sie dafür, dass deine Website in den Google Suchergebnissen hervorragend dasteht. Vergleichbare Dienste gibt es auch von anderen Suchmaschinen wie Bing (Webmaster Tools), Yandex oder Baidu.
10 Sichtbarkeit für Suchmaschinen
Unter Einstellungen → Lesen gibt es eine Funktion „Sichtbarkeit für Suchmaschinen“ die Google & Co. signalisiert das die Webseite nicht indiziert werden soll. Diese wird in der Entwicklungsphase gerne aktiviert und später vergessen. Leider mit fatalen Folgen, da dadurch die Webseite nicht in den Suchergebnissen der Suchmaschinen gelistet wird.
11 Anpassung der Permalink Struktur
Die Permalink Struktur deiner Webseite hat entscheidenden Einfluß auf die Auffindbarkeit deiner Inhalte (SEO). Idealer Weise kontrollierst du die Einstellung bevor du anfängst Inhalte zu veröffentlichen (Einstellungen → Permalinks). Später sollte sie nicht mehr verändert werden. Wenn du dir unsicher bist wähle die Einstellung „Beitragsname“ (/%postname%/). Unter Umständen können jedoch auch andere Varianten sinnvoll sein, hier gilt es abzuwägen. Wichtig ist, dass du „sprechende Links“ verwendest. Das bedeutet, dass sich Anhand der URL schon Rückschlüsse auf den Inhalt ziehen lassen.
12 Ignorieren von Updates
Auf Grund der großen Verbreitung von WordPress ist es auch ein interessantes Angriffsziel für Hacker. Darum ist es extrem wichtig die Wartung nicht zu vernachlässigen. Updates von Plugins, Themes und dem Core müssen möglichst zeitnah eingespielt werden. Wird dies ignoriert, so ist es nur eine Frage der Zeit bis die Webseite gehackt wird.
13 Kein BackUp eingerichtet
Ein Versäumnis das sich bitter rächt, selbst wenn sich die Webseite noch in der Entwicklungsphase befindet. Über eine sinnvolle Backup- und Recovery-Strategie solltest du dir bereits in der Planungsphase deiner Webseite Gedanken machen. Idealer Weise wird das BackUp nicht auf dem gleichen Server gespeichert wie die Website sondern auf einem remote Server. Dabei ist zu beachten das die Backupdateien gemäß der DSVGO verschlüsselt gespeichert werden. So kann sichergestellt werden, dass nur berechtigte Personen Zugriff auf die Daten haben.
14 Security vergessen
Absicherung der eignen Website beginnt schon beim Installationsvorgang. Wer nicht aufpasst wird unter Umständen schon beim WordPress Setup gehackt. Nur wer entsprechende Vorkehrungen trifft kann der Vielzahl von Sicherheitsrisiken Paroli bieten. Bitte verfalle aber nicht dem Irrglauben, dass nach Installation eines Sicherheitsplugins deine Homepage vor allen Gefahren geschützt ist.
15 Hochaufgelöste Bilder
Bildauflösungen von 10 Megapixel und mehr, wie sie moderne Kammeras liefern, führen nur zu langsamen Ladezeiten der Webseite. Besser ist es Bilder auf die jeweils notwendige Größe herunter zu rechnen, zu komprimieren und dann erst in die Mediathek hochzuladen. Wer es etwas komfortabler möchte, der nutzt einen der kostenpflichtigen Bildoptimierungsdienste. Diese optimieren die Bilder nicht nur in Größe und Kompression, sondern erstellen auch eine Variante im Ressourcen schonenden webp-Format. Notabene, je kleiner das zu übertragenden Datenvolumen deiner Seite ist, desto schnell wird sie geladen.
16 Verwendung von Sonderzeichen in Dateinamen
Auch wenn moderne Betriebsysteme gut mit Sonderzeichen in Dateinamen umgehen können, so kommt es damit gerade im Web immer wieder zu Problemen. Deshalb ist von Anfang an auf die Benennung von Dateiein zu achten, die du in die Mediathek lädst. Unsere 9 Grundregeln für die Benennung von Dateien geben dir eine Hilfestellung.
17 Anpassungen direkt am Theme
Wer individuelle Anpassungen an seiner Homepage direkt am Theme vornimmt wird vermutlich beim nächsten Theme-Update eine böse Überraschung erleben. Je nach Theme bzw. Art der Modifikation werden unter Umständen alle Änderungen von der neuen Version überschrieben. Vermeiden lässt sich dies in dem du ein Child-Theme anlegst und dort deine individuellen Anpassungen vornimmst.
18 Nachträgliches Verändern von veröffentlichten URLs
Ist eine Seite oder ein Beitrag erst einmal veröffentlicht wird dieser von den Suchmaschinen indiziert und evtl. auch von anderen Seiten verlinkt. Die damit verbundene URL (Internetadresse) nachträglich zu ändern führt zu einem 404 Error (Seite nicht gefunden / Page not found). Beheben lässt er sich in dem du einen entsprechenden „Redirect“ anlegst. Das ist eine Umleitung die dem Browser mitteilt wie der URL der neuen Seite heißt. Aus SEO- und Performance-Gründen ist es jedoch besser, so gut wie möglich auf das Verändern veröffentlichter URLs zu verzichten.
19 Unbenutzte Themes
Grundsätzlich werden immer mehrere WordPress Themes mitinstalliert. Solltest du keines davon verwenden, reicht es vollkommen wenn du alle bis auf eines löscht. Dieses dient als Default Theme falls es mit dem Standard Theme das du verwendest einmal Probleme gibt. Alle was darüber hinaus geht ist unnötiger Ballast der Backups aufbläht und ein potentielles Sicherheitsrisiko darstellt.
20 Zu viele Plugins / veraltete oder deaktivierte Plugins
Weniger ist mehr das gilt auch bei Plugins. Deaktivierte bzw. unbenutzte Plugins deshalb bitte löschen (Security) und die Anzahl insgesamt auf ein Minimum beschränken (Performance + Security). Bei der Auswahl von Plugin ist auch auf deren Aktualität zu achten. Ein Plugin das seit längerer Zeit nicht mehr aktualisiert wurde, oder gar nicht mehr weiterentwickelt wird, könnte sich auch zum Sicherheitsproblem entwickeln. So kann zum Beispiel das „Hello Dolly“ Plugin problemlos gelöscht werden, oder „Akismet“ falls die Kommentarfunktion deaktiviert wird.
21 Alte- oder Testinstallation vergessen
Auf vielen Webservern tummeln sich noch alte Website-Versionen oder auch Testinstallationen. Diese werden gerne vergessen und somit auch nicht mehr gepflegt. Das birgt ein großes Sicherheitsrisiko das sich durch einfaches LÖSCHEN beheben lässt!
Tipps für den Einstieg in WordPress
Abschließend noch ein paar Tipps die du befolgen kannst, es aber in deinem Ermessensspielraum liegt welche Schwerpunkte du auf deiner Webseite setzt.
› Pagebuilder oder Block Editor?
Eine Grundsatzentscheidung die reiflich überlegt sein sollte, denn ist die Wahl getroffen, gibt es eigentlich keinen Weg mehr zurück. Für Pagebuilder wie Elementor, Divi und Co. werden in Zukunft die Anpassungen an das auf dem Block Editor basierende WordPress Ökosystem immer aufwendiger. Wie sich die Pagebuilder weiterentwickeln lässt sich jetzt noch nicht vorhersagen. Grundsätzlich kann aber davon ausgegangen werden, dass je kleiner die installierte Basis, desto schwieriger dürfte das Überleben werden. Von daher gilt es die Vor- und Nachteile genau gegeneinander abzuwägen.
› SEO Plugin
Keine SEO Plugin zu verwenden ist nicht zwingend ein Fehler. Wird die Seite ausschließlich für einen kleinen privaten Kreis betrieben, ist es unter Umständen gar nicht erwünscht das die Inhalte besonders gut über Google oder andere Suchmaschinen gefunden werden können. Ist das nicht der Fall, solltest du von Anfang an ein SEO Plugin installieren und dieses auch konsequent nutzen (Die Installation alleine reicht nicht aus!). Die kostenlosen Varianten sind oft schon sehr gut ausgestattet und genügen den meisten Anforderungen.
› Kommentarfunktion, Avatare, Pingbacks
Falls du dich entschieden haben solltest die Kommentarfunktion nicht zu verwenden, benötigst du auch das „Akismet“ Plugin nicht. Auch die Avatare können dann deaktiviert werden (Einstellungen → Diskussion → Avatare). Wobei wir erwähnen möchten, dass beide nicht DSGVO konform sind und falls benötigt sowieso ersetzt werden müssen. Auch die Pingback Funktion kann, muss aber nicht verwendet werden (Einstellungen → Diskussion → Standardeinstellungen für Beiträge).