Photoshop PSD zu WordPress Template

Die Umwand­lung von PSD (Pho­to­shop Gra­fik Datei) in ein Word­Press Tem­pla­te ist ein wich­ti­ger Schritt, um eine SEO-freund­li­che, wirk­lich maß­ge­schnei­der­te, benut­zer­freund­li­che und voll­wer­ti­ge Web­site zu ent­wi­ckeln.

Nur muß man unter­schei­den zwi­schen Kon­ver­tie­run­gen die mit Hil­fe von Pro­gram­men durch­ge­führt wer­den und anschlie­ßend nicht wei­ter bear­bei­tet wer­den und zwi­schen Kon­ver­tie­run­gen die opti­mal ange­passt wer­den.

Ein guter Kon­ver­tie­rer wird Ihnen auch sagen wo es Sinn macht Anpas­sun­gen durch­zu­füh­ren. Nicht alles was ein Gra­fi­ker (ohne Erfah­rung mit Tem­pla­tes) erstellt ist auto­ma­tisch auch taug­lich für Inter­net und Word­Press. Wie es so schön heißt : „Auf dem Blatt Papier sieht es schön aus, in der Pra­xis nicht zu gebrau­chen …“.

Design im Druck, Inter­net und im Film (Video) sind jeweils eige­ne Wel­ten für sich und die Auf­ga­be des Pro­fis liegt dar­in dafür zu sor­gen das trot­zem alles wie aus einem Guß wirkt, aber vor allem auch 100% funk­tio­niert.

Ich arbei­te seit der ers­ten Ver­si­on mit Pho­to­shop (also gute 30 Jah­re) und ken­ne und arbei­te mit Word­Press eben­falls seit der ers­ten Ver­si­on (nun fast 20 Jah­re).

WordPress sicher einstellen

Heu­te geht es um die Sicher­heit von Web­sites, ins­be­son­de­re um die Sicher­heit von Word­Press-Web­sites.

Schnap­pen Sie sich Stift und Papier. Machen wir uns ein paar Noti­zen. Num­mer eins. Die aller­ers­te ist Ihr Hos­ting-Unter­neh­men. Sie müs­sen eine gute Hos­ting-Fir­ma wäh­len. Nun, es gibt hier ein paar ver­schie­de­ne Varia­blen, aber ich kann das ein­fach zusam­men­fas­sen und sagen : „Wäh­le nicht das bil­ligs­te.“

Num­mer zwei auf mei­ner Lis­te ist die Wahl des The­mes und Ihre Wahl der Plugins. Ver­wen­den Sie nicht ein­fach ein kos­ten­lo­ses The­ma und ver­su­chen Sie, die kos­ten­lo­sen Plugins zu ver­mei­den, wenn Sie kön­nen. Ich weiß, dass das nicht immer mög­lich ist, aber wenn Sie das Plugin kau­fen, tes­ten Sie es, ver­su­chen Sie es. Wenn es eine Pro-Ver­si­on gibt, aktua­li­sie­ren Sie es, damit Sie die Updates stän­dig erhal­ten, damit Sie die Benach­rich­ti­gun­gen erhal­ten. Und Leu­te, nur so neben­bei, wenn Sie eine neue Word­Press-Web­site ein­rich­ten, stel­len Sie bit­te sicher, dass Sie beim Erstel­len der Ein­rich­tung Ihre Daten­bank­da­tei­en in etwas siche­res umbe­nen­nen, nicht nur in den Stan­dard, denn alle Hacker ken­nen nur den Stan­dard.

Der nächs­te auf der Lis­te. Num­mer drei ist ein gutes, star­kes Word­Press-Sicher­heits-Plugin. Nun, es gibt drei oder vier wirk­lich gute. Mein Team und ich ver­wen­den Wor­d­fence. Und es erle­digt für uns das, was wir brau­chen. Das Wich­tigs­te ist, dass Sie sicher­stel­len müs­sen, dass Sie nach der Ein­rich­tung die Log­in-URL ändern, damit es sich nicht nur um wp-admin oder wp-login.php han­delt. Jeder Hacker auf der Welt weiß, dass dies die gene­ri­schen Stan­dard-Log­ins sind. Und Word­Press kommt mit einer gan­zen Rei­he von gene­ri­schen Stan­dard-Din­gern, die was sind ? Jeder Hacker auf der Welt weiß davon. Sie müs­sen also sicher­stel­len, dass Sie eini­ge davon ändern.

Eine wei­te­re Sache, die Sie tun soll­ten, ist die Begren­zung der Anmel­de­ver­su­che. Stan­dard­mä­ßig lässt Word­Press Sie immer wie­der ver­su­chen. Sie kön­nen dies mit einem guten Sicher­heits-Plugin tun, und wir haben unse­res so ein­ge­stellt das es auf drei begrenzt, was bedeu­tet, dass, wenn Sie sich irren, Ihre IP-Adres­se ver­folgt, pro­to­kol­liert und geschwärzt wird, so dass Sie kei­nen Zugriff mehr erhal­ten nach 3 Ver­su­chen.

Sie soll­ten sich auch, wenn es ange­mes­sen ist, die Begren­zung Ihrer Anmel­de­zei­ten anse­hen. Sagen wir zum Bei­spiel hier in Deutsch­land, wenn wir einen Kun­den haben, der wirk­lich nur tags­über, wäh­rend der Geschäfts­zei­ten, an sei­ner Web­site arbei­tet, wer­den wir Log­in-Ver­su­che deak­ti­vie­ren zu ande­ren Zei­ten. Nach Geschäfts­schluss, mit­ten in der Nacht. Wir brau­chen nicht, dass jemand aus Russ­land um 3 Uhr mor­gens kommt und die­se Web­site hackt. Also tref­fen wir die Vor­sichts­maß­nah­men und begren­zen die Anmel­de­zei­ten.

Eine wei­te­re Sache, die Sie tun soll­ten, und die­se Sicher­heits-Plugins wer­den sich für Sie dar­um küm­mern, wes­halb es so wich­tig ist, dass Sie Ihre Word­Press Ver­si­ons­num­mer ver­ste­cken. Wenn ein Hacker weiß, wel­che Ver­si­on von Word­Press bei Ihnen läuft, und Sie viel­leicht nicht ganz auf dem neu­es­ten Stand sind, weiß er, wie er hin­ein­kommt. Es ist ein­fach, es ist offen­sicht­lich. Es ist ein­fach so, wie es ist.

Sie soll­ten sich auch die Deak­ti­vie­rung der Plugin- und The­me-Edi­tor-Optio­nen anse­hen. Die Leu­te kön­nen rein­kom­men, und wenn sie eine Hin­ter­tür zu Ihrer Web­site fin­den, wer­den sie Ihr The­me, Ihre Vor­ga­ben angrei­fen und bear­bei­ten und ändern. Sie kön­nen die­se Art von Ände­run­gen ver­hin­dern, indem Sie Bear­bei­tun­gen auf Stan­dard­da­tei­en beschrän­ken oder ver­hin­dern.

Bit­te, bit­te, bit­te benut­zen Sie ein star­kes Pass­wort. Es gibt eine tol­le Web­site da drau­ßen, Strong Pass­word Gene­ra­tor. Goog­le ein­fach, wenn es sein muss, und es wird Pass­wör­ter erstel­len, zufäl­li­ge Zei­chen ver­wen­den, alle mög­li­chen Din­ge, die es nahe­zu unmög­lich machen, dass die Leu­te in der Lage sind, die­ses spe­zi­el­le Pass­wort zu erra­ten, her­aus­zu­fin­den, zu trai­nie­ren und zu kna­cken.

Ich wer­de auch emp­feh­len, dass Sie nicht Ihren Admi­nis­tra­tor, Ihr Admin-Kon­to, für die Ver­öf­fent­li­chung von Inhal­ten ver­wen­den. Haben Sie auf vie­len Blog-Bei­trä­gen bestimmt schon gese­hen und da ist der Admi­nis­tra­tor-Benut­zer­na­me ? War­um soll­ten Sie die­sen stan­dard­mä­ßig an Hacker ver­ge­ben ? Bewah­ren Sie statt­des­sen Ihre Admin-Log­ins sicher und geschützt auf, und erstel­len Sie ein Edi­tor-Log­in, das Sie dann für die Ver­öf­fent­li­chung von Inhal­ten ver­wen­den.

Und genau das soll­te heut­zu­ta­ge offen­sicht­lich sein, aber nicht für alle. Bit­te benut­zen Sie nicht den Admin als Benut­zer­na­men. Das ist der Stan­dard, wenn Sie eine neue Word­Press-Web­site ein­rich­ten. Wir sagen das schon seit … wie lan­ge gibt es Word­Press schon ? Nun, vie­le Jah­re. So lan­ge sagen wir es schon. Wenn Sie immer noch Admin als Benut­zer­na­men für die Anmel­dung ver­wen­den, sind Sie ein Narr und ver­die­nen es, gehackt zu wer­den. Hören Sie sofort auf, ändern Sie es.

Wie kön­nen Sie das tun, weil Sie den Benut­zer­na­men eigent­lich nicht ändern kön­nen ? Sie log­gen sich ein, erstel­len für sich selbst ein neu­es Admin-Kon­to mit einem ein­deu­ti­gen Admin-Benut­zer­na­men und einem star­ken Pass­wort, dann log­gen Sie sich aus, log­gen sich über das neue Kon­to ein und löschen das alte. Gleich­zei­tig über­tra­gen Sie natür­lich den Inhalt auf Ihr neu­es Kon­to. Ver­zei­hen Sie mir, wenn das ein wenig hart ist, aber es ist so wich­tig dass Sie das tat­säch­lich tun.

Ich wer­de auch vor­schla­gen, dass Sie Ihre Pass­wör­ter alle 90 Tage ändern.

Eine ande­re Sache, die eine groß­ar­ti­ge Idee ist, ist ein­fach die Feh­ler­mel­dung zu ändern. Wir spre­chen im Moment über die Anmel­dung. Also ändern Sie die Log­in-Feh­ler­mel­dung. „Hal­lo, Ihr Benut­zer­na­me ist falsch.“ Nein, sagen wir dem Hacker nicht. Ein­fach so etwas wie : „Das ist nicht ganz kor­rekt.“ Es sagt weder den Benut­zer­na­men noch das Pass­wort, es sagt dem ver­such­ten Hacker nicht, was falsch ist. Es sagt nur : „Hey, nicht ganz kor­rekt. Du musst es noch­mal ver­su­chen, Kum­pel.“ Und natür­lich haben Sie Ihre Limit-Log­in-Ver­su­che an, also sind sie nach drei Mal weg, kei­ne Chan­ce.

Ein wei­te­rer Vor­schlag ist, dass Sie eine Zwei-Fak­tor-Authen­ti­fi­zie­rung ver­wen­den könn­ten, bei der Sie sich ein­fach ein­log­gen und viel­leicht ein SMS-Code an Sie geschickt wird. Goog­le hat die­se Mög­lich­keit, ein­fach auf einer Web­site ein­zu­rich­ten, oder man loggt sich ein und dann gibt es eine zwei­te Fra­ge, den Mäd­chen­na­men der Mut­ter, den bes­ten Freund der Kat­ze, die Tan­te am Ende der Stra­ße, so etwas in der Art. Sie pas­sen es an, Sie ent­schei­den, was es sein soll. Aber das sind wich­ti­ge Din­ge für die Sicher­heit.

Und ernst­haft, Leu­te, wenn Sie ein Online-Geschäft betrei­ben ist das extrem wich­tig. Es ist genau­so schlimm, wenn Ihre Web­site gehackt wird, wie Ihr Geschäft in der Nähe, wenn ein Fens­ter ein­ge­schla­gen wird und Sie für einen Tag schlie­ßen müs­sen, wäh­rend es repa­riert wird. Und all der Van­da­lis­mus und der Müll und die Pro­ble­me, das ist das­sel­be.

Deak­ti­vie­ren Sie die Datei­be­ar­bei­tung. Denn eines der Din­ge, die Hacker tun, wenn sie erst ein­mal drin sind, imple­men­tie­ren sie und inji­zie­ren Code in die­se Stan­dard­da­tei­en. Sie müs­sen das deak­ti­vie­ren. Es ist unwahr­schein­lich, dass Sie, wenn Sie kein Ent­wick­ler sind, dort mit dem Edi­tie­ren beschäf­tigt sind, wenn Ihre Web­site erst ein­mal online ist. Also deak­ti­vie­ren Sie es.

Num­mer sechs. Sie soll­ten ein SSL-Zer­ti­fi­kat ver­wen­den, um die grü­ne Sperr­leis­te für die Brow­ser zu erhal­ten. Das sichert den Daten­trans­fer zwi­schen Ihrer Web­site und Ihrem Brow­ser, nicht nur für Ihre Kun­den, son­dern auch für Sie mit Ihren Log­in-Daten. Das ist neben­bei auch extrem wich­tig weil Brow­ser heu­te auf­merk­sam machen wenn eine Web­sei­te nicht mit SSL aus­ge­führt wird. Sie wol­len doch kei­ne Kun­den ver­lie­ren nur weil der Brow­ser sagt das Ihre Web­sei­te nicht sicher ist ?

Sie soll­ten Ihre Web­site auch regel­mä­ßig auf Mal­wa­re über­prü­fen. Num­mer sie­ben auf der Lis­te. Mal­wa­re, Viren, alles, was auf dem Ser­ver gelan­det ist.

Als nächs­tes soll­ten Sie sich über­le­gen, ob Sie Ihre wp-con­fig oder Ihre htac­cess-Datei ver­ste­cken.

Nun, was Sie auch tun müs­sen, ich glau­be, wir sind bei Num­mer 10 auf der Lis­te, ist, dass Sie Ihr The­ma und Ihre Plugins auf dem neu­es­ten Stand hal­ten müs­sen. Ich soll­te das eigent­lich nicht ein­mal sagen müs­sen, aber Sie müs­sen es tun. Lus­tig ist, dass bei einer der Web­sites, die wir erst kürz­lich repa­riert haben, der Hack nicht über die Web­site, son­dern über ein Plugin kam. Und natür­lich kam es dadurch, weil das Plugin auf der Web­site nicht auf dem neu­es­ten Stand war. Also kam der Hack auf die­sem Weg durch. Und er inji­zier­te Code und ver­ur­sach­te ein Umlei­tungs­pro­blem. Das sind also die Din­ge, die Sie selbst ein­stel­len müs­sen.

Das Nächs­te auf der Lis­te. Sichern, sichern, sichern. Las­sen Sie es mich noch ein­mal sagen : Sichern Sie regel­mä­ßig, alles, min­des­tens ein­mal im Monat sichern. Wöchent­li­che Daten­bank-Back­ups sind das abso­lu­te Mini­mum, das wir für unse­re Kun­den haben. Wir machen auch sie­ben Tage lang Ser­ver-Back­ups, falls es jemals ein Pro­blem gibt, und das muss man haben, Leu­te, denn hier liegt der Unter­schied.