Die Absicherung von WordPress-Webseiten und die Arbeit mit dem neuen Gutenberg-Editor sind zwei zentrale Herausforderungen für die professionelle Entwicklung von komplexen WordPress-Kundenseiten. Auf dem WordCamp Europe sprachen wir über diese Themen mit Jonas Hellwig, Web/UX/UI/Frontend Designer der Berliner Webdesign-Agentur Kulturbanause.
GoDaddy: Ihr entwickelt sehr individuelle Kundenlösungen. Wie steht es dabei um das Thema Sicherheit? Oder anders gefragt: Wie sichert ihr die Systeme eurer Kunden ab? Hast du bestimmte Tipps, wie man insbesondere WordPress-Kundenseiten sicherer machen kann?
Jonas: Ja, WordPress hatte da in der Vergangenheit schon ein paar Mal eine negative Presse bekommen, besonders was das Thema Sicherheit anbelangt. Aber wenn man sich dann anschaut, was das für Probleme waren, dann handelte es sich vielfach um Standard-Fehler, zum Beispiel: Admin als Benutzername, es wurden keine Updates eingespielt und so weiter … So etwas schließen wir natürlich aus. Wir achten in unserer Qualitätskontrolle darauf, dass solche Standard-Fehler nicht gemacht werden.
Das gilt auch für unsere Code-Basis, von der wir wegarbeiten. Das heißt: in unseren individuell für uns selbst gebauten Core sind alle diese Erkenntnisse der letzten Jahre mit eingeflossen. Damit können wir diese handwerklichen Sicherheits-Fehler, so will ich diese jetzt mal nennen, ausschließen.
Es gibt natürlich auch Einstellungen, die wir auf dem Server machen können: z.B. Security-Header und so weiter. Dann gibt es bestimmte Plugins, die wir installieren, die zum Beispiel Änderung auf dem Server überwachen, Zugriffe protokollieren usw.
Das würde ich aber eigentlich alles unter der Rubrik: Sicherheit für Standard WordPress-Installationen zusammenfassen. Denn das sind alles Sicherheitskriterien, die verhindern können, dass eine Webseite per Zufall gehackt werden könnte. Zum Beispiel durch Bots, durch das Ausnutzen von Sicherheitslücken oder Script Kiddies. Es ist aber auf jeden Fall kein gezielter Angriff auf diese Seite zu erwarten.
Wir hatten aber einen Fall, da haben wir mit dem Auswärtigen Amt zusammengearbeitet, dass die Sicherheitsabteilung bestimmte Seiten in ein kritisches Cluster eingeordnet hat. Da lassen wir die Finger von, denn damit kennen wir uns nicht gut genug aus. Da arbeiten wir dann mit Spezialisten zusammen, die sich auf Web-Sicherheit spezialisiert haben. In diesen Fällen arbeiten wir mit einer Agentur zusammen oder vielmehr mit einer Kombination von Agentur und Provider, die alles machen, um die Installation zu härten. Diese Zusammenarbeit suchen wir immer dann, wenn davon auszugehen ist, dass die Seite aufgrund ihrer Thematik gezielt attackiert werden könnte. Wir selbst lassen unsere Finger davon, denn alles andere halte ich für vollkommen unseriös.
Aber Standard-Sicherheitsaspekte, zum Beispiel Angriffsmöglichkeiten durch Bots und so weiter oder bekannte Sicherheitslücken schließt wir natürlich.
GoDaddy: Du hast schon erwähnt, dass ihr auf die klassischen WordPress Themes verzichtet, dass WordPress Themes keine besondere Rolle bei euch spielen. Aber wie sieht es mit Gutenberg bzw. dem Gutenberg-Projekt aus? Gutenberg hat ja die gewohnte Arbeit mit WordPress komplett umgewirbelt. Hat Gutenberg auch Einfluss auf eure Arbeit gehabt?
Jonas: Ja tatsächlich. Tatsächlich sogar sehr stark. Das generelle Problem bei WordPress ist, und das ist gleichzeitig ein Vorteil und ein Nachteil, dass das System extrem stark skalierbar ist. Ich kann mit WordPress wirklich, vom privaten Urlaubs-Blog bis zu einer internationalen Corporate-Website mit extrem hohen Anspruch das System, stufenlos skalieren.
Und genauso unterschiedlich sind dann auch die Anforderungen, was das Customizing angeht. Es gibt Kunden, die wollen WordPress wie einen Pagebuilder, wie einen Baukasten nutzen. Die wollen sich – ich sage mal: „klickibunti“ - im Backend alles selbst zusammenbauen können. Und es gibt Kunden, die wollen genau das nicht. Die sagen: Wir wollen, dass die Redakteure einer einheitlichen Struktur folgen. Wir haben wechselnde Gruppen von Menschen an verschiedenen Standorten und so weiter. Deshalb wollen diese Kunden, dass das WordPress-Backend sehr restriktiv ist. Das trifft aus meiner Erfahrung heraus auf die größeren Kunden sehr häufig zu. Und da haben wir dann einen Konflikt mit WordPress. Nicht mit WordPress selbst, sondern mit dem Gutenberg-Editor, weil der Gutenberg-Editor zu viele Freiheiten bietet. Das ist die Freiheit, die die Marketingabteilung gerne hätte. Das ist aber auch eine Freiheit, die an anderer Stelle häufig - entweder aus Agentursicht, aber eben auch vom Kunden - nicht gewünscht ist. Wir haben gemerkt, dass wir in diesen Fällen beispielsweise mit einer Lösung wie ACF (Advanced Custom Fields) und Flexibel Content in der Vergangenheit bessere Ergebnisse erzielen konnten, als mit Gutenberg. Wir hatten einige Projekte, die in die frühe Gutenberg-Phase gefallen sind. Wir mussten damals schon mit Gutenberg arbeiten, aber eigentlich war es noch zu früh. Gutenberg war noch nicht gut genug. Dann sind während der Entwicklung mehrere Updates gekommen. Und das hat uns ziemlich ausgebremst. Updates, die jetzt gekommen sind, haben das Ganze schon deutlich in die richtige Richtung gebracht.
GoDaddy: Das heißt, ihr seid mit Gutenberg versöhnt worden?
Jonas: Noch nicht zu 100 Prozent. Der Weg ist - aus meiner Sicht der richtige – langfristig gesehen. Ich verstehe die Philosophie und bin damit auch komplett d’accord. Aber es ist sehr unglücklich, wenn man eine feste Time Range hat. Wenn der Kunde sagt: „Hallo, wo bleibt die Website“ und man selber sagen muss: „Wir warten noch auf das Update.“ Und das kommt dann nicht. Und kommt wieder nicht. Und dann kommt es, aber es ist nur die Hälfte drin. Man merkt: es fehlen einfach Sachen. Das ist dann sehr unglücklich, wenn man als Dienstleister das Produkt abliefern muss.
Wenn wir in einem Jahr noch einmal darüber reden würden, sind mit Sicherheit - hoffe ich - einige dieser Probleme behoben. Matt Mullenweg hat es soeben in seiner Keynote noch einmal gesagt: wir sind in der Experimentierphase. Das ist sehr schön, wenn man das als Projekt versteht, aber nicht schön, wenn man ein Budget und eine Time Range hat und wenn man weiß: Ich muss das umsetzen - in dieser Zeit. Dann ist experimentieren nicht schön.
