Die Verwendung eingebetteter HTML-Dokumente in Phishing-E-Mails ist eine Standardtechnik, die von Cyberkriminellen eingesetzt wird. Dadurch entfällt die Notwendigkeit, Links in den E-Mail-Text einzufügen, was Antispam-Engines und E-Mail-Antivirenprogramme normalerweise problemlos erkennen. HTML bietet mehr Möglichkeiten als E-Mail, Phishing-Inhalte zu tarnen.

Es gibt zwei Haupttypen von HTML-Anhängen, die Cyberkriminelle verwenden: HTML-Dateien mit einem Link zu einer gefälschten Website oder eine vollwertige Phishing-Seite. Im ersten Fall können die Angreifer nicht nur einen Link in der Datei verbergen, sondern den Benutzer beim Öffnen dieser Datei auch automatisch auf die betrügerische Seite umleiten. Die zweite Art von HTML-Anhang ermöglicht es, die Erstellung der Website ganz zu überspringen und Hosting-Kosten zu sparen: Das Phishing-Formular und das Skript, das die Daten sammelt, werden direkt in den Anhang eingebettet. Darüber hinaus kann eine HTML-Datei wie eine E-Mail entsprechend dem beabsichtigten Opfer und dem Angriffsvektor geändert werden, was personalisiertere Phishing-Inhalte ermöglicht.

Abb.1. Beispiel-E-Mail mit HTML-Anhang

Struktur von Phishing-HTML-Anhängen

Phishing-Elemente in HTML-Anhängen werden normalerweise mithilfe von JavaScript implementiert, das die Weiterleitung des Benutzers auf eine Phishing-Site oder das Sammeln und Senden von Anmeldeinformationen an Betrüger übernimmt.

Abb. 2. Phishing-HTML-Seite und ihr Quellcode

Typischerweise sendet die HTML-Seite Daten an eine im Skript angegebene schädliche URL. Einige Anhänge bestehen vollständig (oder größtenteils) aus einem JS-Skript.

Im E-Mail-Quellcode sieht der HTML-Anhang wie einfacher Text aus, der normalerweise Base64-codiert ist.

Abb. 3. HTML-Anhang im E-Mail-Quellcode

Wenn eine Datei bösartige Skripte oder Links im Klartext enthält, kann die Sicherheitssoftware sie schnell analysieren und blockieren. Um dies zu vermeiden, greifen Cyberkriminelle auf verschiedene Tricks zurück.

JavaScript-Verschleierung

JavaScript-Verschleierung ist eine der am häufigsten verwendeten Techniken zur Verschleierung von HTML-Anhängen. Um zu verhindern, dass die URL in der Datei schnell erkannt und blockiert wird, verschleiern Phisher entweder den Phishing-Link selbst oder das gesamte Skript und manchmal auch die gesamte HTML-Datei. In manchen Fällen verschleiern Cyberkriminelle den Code manuell, oft nutzen sie jedoch vorgefertigte Tools, von denen viele frei verfügbar sind, wie etwa JavaScript Obfuscator .

Wenn wir beispielsweise den HTML-Anhang in der angeblich von der HSBC Bank stammenden Phishing-E-Mail (siehe Abb. 1) in einem Texteditor öffnen, sehen wir einen ziemlich verwirrenden JS-Code, der scheinbar weder auf das Öffnen eines Links noch darauf hinweist jede andere sinnvolle Aktion.

Abb. 4. Beispiel für Verschleierung in einem HTML-Anhang

Tatsächlich handelt es sich jedoch um ein verschleiertes Skript, das den Benutzer auf eine Phishing-Site weiterleitet. Um den Phishing-Link zu verschleiern, verwendeten die Angreifer ein vorgefertigtes Tool, mit dem wir das Skript leicht entschlüsseln konnten.

Abb. 5. Entschlüsseltes Skript aus einem E-Mail-Anhang, der scheinbar von der HSBC Bank stammt: Link zur Weiterleitung des Benutzers

Wenn ein Skript, ein Link oder eine HTML-Seite manuell verschleiert wird, ist es viel schwieriger, den ursprünglichen Code wiederherzustellen. Um Phishing-Inhalte in einer solchen Datei zu erkennen, ist möglicherweise eine dynamische Analyse erforderlich, die das Ausführen und Debuggen des Codes umfasst.

Codierung

Manchmal verwenden Angreifer interessantere Methoden. In einer Phishing-E-Mail fanden wir beispielsweise einen ungewöhnlichen HTML-Anhang. Wie im obigen Beispiel enthielt es JavaScript. Da der Code so kompakt war, könnte man meinen, dass er das Gleiche tat wie der Code in der gefälschten HSBC-E-Mail – nämlich den Benutzer auf eine Phishing-Site umzuleiten. Aber als wir es ausführten, fanden wir eine vollwertige Phishing-Seite, die in diesem kleinen Skript codiert war.

Abb. 6. HTML-Datei mit der Methode unescape() – der Quellcode der Datei enthält nur fünf Zeilen, von denen eine leer ist

Abb. 7. Phishing-Seite im HTML-Anhang

Die Cyberkriminellen nutzten einen interessanten Trick, bei dem es sich um die veraltete JS-Methode unescape() handelt. Diese Methode ersetzt die „%xx“-Zeichenfolgen durch ihre ASCII-Entsprechungen in der an sie übergebenen Zeichenfolge. Wenn wir das Skript ausführen und den Quellcode der resultierenden Seite anzeigen, sehen wir einfaches HTML.

Abb. 8. Die resultierende HTML-Datei

Anstelle von unescape() verwendet JavaScript jetzt die Methoden decodeURI() und decodeURIComponent(), die meisten modernen Browser unterstützen jedoch weiterhin unescape(). Wir können nicht sicher sagen, warum die Angreifer eine veraltete Methode gewählt haben, aber es könnte daran liegen, dass moderne Methoden eher von Antispam-Engines interpretiert und erkannt werden.

Statistiken

In den ersten vier Monaten des Jahres 2022 haben die Sicherheitslösungen von Kaspersky fast 2 Millionen E-Mails mit schädlichen HTML-Anhängen entdeckt. Fast die Hälfte davon (851.328) wurde im März entdeckt und blockiert. Der Januar war der ruhigste Monat. Unsere Antispam-Lösungen erkannten 299.859 E-Mails mit Phishing-HTML-Anhängen.

https://e.infogram.com/_/RJfpgOWY4DJscTn5S7Rk?parent_url=https%3A%2F%2Fsecurelist.com%2Fhtml-attachments-in-phishing-e-mails%2F106481%2F&src=embed#async_embed

Anzahl der erkannten E-Mails mit schädlichen HTML-Anhängen, Januar–April 2022 ( Download )

Abschluss

Phisher nutzen verschiedene Tricks, um die E-Mail-Blockierung zu umgehen und möglichst viele Nutzer auf ihre betrügerischen Seiten zu locken. Eine gängige Technik sind HTML-Anhänge mit teilweise oder vollständig verschleiertem Code. Mithilfe von HTML-Dateien können Angreifer Skripte verwenden, bösartige Inhalte verschleiern, um deren Erkennung zu erschweren, und Phishing-Seiten als Anhänge statt als Links versenden.

Die Sicherheitslösungen von Kaspersky erkennen HTML-Anhänge, die Skripte enthalten, unabhängig von der Verschleierung.

WordPress und die robots.txt-Datei

Standardmäßig bietet WordPress keine robots.txt-Datei an. Verwendet man das Plugin Yoast SEO, wird über die Menüfolge
Werkzeuge->Datei->Editor erkannt, ob in WordPress eine robots.txt – Datei vorhanden ist.

User-agent: *
Disallow: /

OpenAI hat eine Anleitung veröffentlicht, die zeigt, wie Webseiten das Crawlen durch seinen GPTBot verhindern können.
Über den GPTBot-Benutzeragenten ausgewertete Webseiten tragen laut OpenAI potenziell dazu bei, das Modell von ChatGPT zu verbessern. OpenAI betont, dass die vom Bot gesammelten Informationen gefiltert würden. Dabei entferne man etwa Quellen, die einen Paywall-Zugang erfordern, die persönlich identifizierbare Informationen sammeln oder Text enthalten, der gegen die OpenAI-Richtlinien verstößt, heißt es weiter.
Wer dem GPTBot den Zugang zu seiner Website gewähre, könne den KI-Modellen dadurch helfen, genauer zu werden und ihre allgemeinen Fähigkeiten sowie die Sicherheit zu verbessern.

Um den AI-Bot fernzuhalten, genügt beispielsweise folgender Eintrag in der robots.txt:
User‑agent: GPTBot
Disallow: /

Alternativ funktioniert eine Blockade der IP-Adressen des Bots.
Die finden sich auf https://openai.com/gptbot-ranges.txt.

Ende 2022 haben Forscher von Patchstack insgesamt drei kritische Sicherheitslecks in Learnpress entdeckt. Bei zweien handelt es sich um klassische SQL-Injection-Attacken, wobei eine der beiden eine Contributor-Rolle im CMS seitens des Angreifers erfordert. Die andere Schwachstelle kann ein Angreifer ohne jegliche Authentifizierung ausnutzen, sie ist demnach deutlich kritischer.

Eine SQL-Injection entsteht durch einen Fehler im Programmcode, der auf die SQL-Datenbank zugreift. Ein lokaler oder entfernter Angreifer kann dadurch SQL-Befehle ausführen. Je nach Applikation und Datenbankkonfiguration kann er so die Datenbank auslesen, Daten modifi-
zieren oder Einträge aus der Datenbank löschen. Die konkrete SQL-Injection-Attacke im Learnpress-Plugin hat zur Folge, dass ein entfernter Angreifer beispielsweise neue Konten anlegen kann. Unter anderem kann er so auch einen Administrator-Zugang erstellen und damit weit-reichende Kontrolle erlangen.

Der Programmierfehler befindet sich in der execute-Funktion der Datei inc/databases/class‑lp‑db.php. Die Funktion verarbeitet die Variable $filter, die SQL-Filteranweisungen enthalten kann.

Diese Variable ist ein Objekt der Klasse LP_Filter, die die Variable order_by und order enthält. Deren Werte kann ein Angreifer modifizieren.
Die execute-Funktion verwendet diese Strings zum Zusammenbauen der Zeichenkette $ORDER_BY. $ORDER_BY wird dabei direkt eingefügt, ohne den String zuvor auf problematische Zeichen zu überprüfen.

Die Lösung dieses Problems besteht nun darin, $ORDER_BY zu filtern. Das übernimmt die Funktion sanitize_sql_orderby (Listing 1). Die PHP-Funktion preg_match überprüft, ob der übergebene Text einem Muster entspricht, das per regulärem Ausdruck definiert ist.

Mithilfe dieses Patchs wird die SQL-Injection-Attacke vereitelt.

Weitere Infos und
interessante Links
www.lm-online.de/qr/47375

https://patchstack.com/articles/multiple-critical-vulnerabilities-fixed-in-learnpress-plugin-version/

Listing 1: sanitize_sql_orderby

function sanitize_sql_orderby( $orderby ) {
if ( preg_match( '/^\s*(([a‑z0‑9_]+|`[a‑z0‑9_]+`)(\s+(ASC|DESC))?
\s*(,\s*(?=[a‑z0‑9_`])|$))+$/i', $orderby ) || preg_match( '/^\s*RAND\
(\s*\)\s*$/i', $orderby ) ) {
return $orderby;
}
return false;
}

Es ist keine große Überraschung, dass Sicherheit ein wichtiges Thema für Webentwickler und Betreiber von Webseiten geworden ist. Da das Internet immer beliebter wird und die neue Methode zur Kommunikation, Recherche und zum Einkaufen ist, sind Sicherheitschecks für Webseiten entscheidend, um die Verbreitung von Malware und Spam zu verhindern.

Egal ob du einen kleinen persönlichen Blog oder einen riesigen multinationalen Online-Shop betreibst, die Gefahr, gehackt zu werden, ist immer gegeben. Einige Leute werden deine Webseite verunstalten und Malware darin einbetten, versuchen, deine Daten oder die deiner Kunden zu stehlen und wichtige Inhalte auf deinem Server zu löschen. Du musst dich und deine sensiblen Informationen schützen.

Lass uns genau herausfinden, wie sicher deine Webseite im Moment ist. Außerdem geben wir dir ein paar Tipps, wie du die niedrig hängenden Früchte entfernen kannst, die sich Malware-Autoren zunutze machen. WordPress ist von Haus aus sicher, aber es braucht ein wenig Arbeit, um es komplett zu reparieren.

Schau dir unseren Video-Leitfaden zur Überprüfung der Sicherheit deiner Webseite an

Webseiten Sicherheitscheck: Warum ist es wichtig?

Du denkst vielleicht, dass deine Webseite so klein und unwichtig ist, dass sich niemand die Mühe machen würde, sie ins Visier zu nehmen. Oder vielleicht hast du noch nie über Sicherheit nachgedacht und denkst, dass es nicht wichtig genug ist, um sich damit zu beschäftigen.

So zu denken ist der Grund, warum im Jahr 2013 mehr als 70% der WordPress Installationen anfällig für Angriffe waren. Viele dieser Angriffe waren auf veraltete Software zurückzuführen – weil die meisten Leute entweder nicht genug wissen oder sich nicht genug darum kümmern, ihre Webseiten zu sichern, was zu einer massiven Welle von Hackern führte, die es auf WordPress Installationen abgesehen hatten.

Was könnte also passieren, wenn deine Webseite ein unerwünschtes Ereignis erlebt? Es ist nicht nur ein einfaches Ärgernis, das leicht durch das Ändern deines Passworts gelöst werden kann.

• In deine Webseite könnte Code eingeschleust sein, der Besucher dazu bringt, sich mit Malware zu infizieren, die extrem schwer zu finden und zu entfernen sein könnte.
• Deine kritischen Seiten können verunstaltet, ausgeblendet oder mit Links zu illegalen Webseiten gefüllt sein.
• Es kann zur Löschung von Inhalten wie Blogposts und Seiten führen.
• Sensible Daten wie Login- oder Kreditkarteninformationen, die dir, deinen Nutzern oder Kunden gehören, können gestohlen und online verkauft werden.
• Angriffe können sich auf andere Webseiten auf deinem Server ausbreiten.
• Wenn Google Malware auf deiner Webseite entdeckt, wird es den Zugang blockieren und sie aus den Suchergebnissen entfernen, was deine Bemühungen zur Suchmaschinenoptimierung (SEO) zunichte macht.
• Der Benutzername und das Passwort des Admin-Accounts könnten geändert werden, sodass du überhaupt keinen Zugriff mehr auf dein Backend hast.

Gehackte Webseiten können ein großes Problem darstellen, wenn du einen E-Commerce-Shop betreibst.

Und während du vielleicht sagst, dass deine Webseite nicht wichtig genug ist, sind nicht alle Angriffe gezielt. Viele WordPress Angriffe sind automatisiert – ein Bot sucht deine Webseite nach Schwachstellen ab und startet einen Angriff ohne menschliches Zutun.

Deshalb musst du Maßnahmen ergreifen, um deine Webseite zu sichern, egal was passiert.

Warum wird WordPress gehackt?

Hacking ist weit verbreitet, aber was sind die häufigsten Schwachstellen, die Hacker ausnutzen, um in deine Webseite einzubrechen?

Du stellst dir vielleicht vor, dass es ein schwieriger Prozess ist, in eine Webseite einzudringen, der Tage oder Wochen an Arbeit und ein enormes Wissen über Computer, Codierung und Server erfordert. Diese Situation könnte für gezielte Versuche zutreffen, die Verteidigungsanlagen einer großen, gut geschützten Webseite zu überwinden, aber die Geschichte sieht ganz anders aus, wenn es um kleine WordPress Domains geht.

Die überwiegende Mehrheit der Angriffe auf WordPress sind erfolgreich, weil die Leute leicht zu erratende Passwörter benutzen und ihre Themes und Plugins nicht aktualisieren. Hacker brechen in die meisten solcher Webseiten mit Hilfe von automatisierten Programmen ein.

Passwort-Cracking ist die einfachste Form des Hackens, die möglich ist, aber es ist so verbreitet, weil es funktioniert. Viele Leute belassen ihr WordPress Login auf dem Standard „admin“, was die Hälfte des Rätselraten ausschaltet, und benutzen dann ein einfaches, erratbares Passwort.

Wenn das nicht funktioniert, nutzen Hacker häufige Schwachstellen in beliebten Plugins oder veralteten Versionen von WordPress aus. Deshalb ist es so wichtig, alles auf dem neuesten Stand zu halten.

Es gibt viele kompliziertere, komplexere Wege, um in eine Webseite „einzubrechen“. Dennoch nutzen die meisten WordPress-Angriffe die niedrig hängenden Früchte eines unsicheren Passworts und veralteter Software, die es extrem einfach macht, auf deine Webseite zu gelangen.

Wie man einen Sicherheitscheck der Webseite durchführt

Der erste Schritt zur Absicherung deiner Webseite: Feststellen, wie sicher deine Webseite bereits ist. Gibt es irgendwelche eklatanten Schwachstellen in deinem Backend, die du sofort flicken musst, oder irgendwelche einfachen Korrekturen, die du jetzt vornehmen kannst?

Verwende ein Online Tool

Eine schnelle und einfache Möglichkeit, deine Webseite auf Malware und Schwachstellen zu überprüfen, ist die Verwendung eines Online-Scanners. Diese scannen deine Webseite aus der Ferne und identifizieren häufige Probleme. Es ist super bequem, da es keine Software oder Plugins benötigt und nur ein paar Sekunden dauert.

Es gibt Dutzende von Online-Scannern zur Auswahl und wir werden ein paar weitere in unserem Tool-Bereich weiter unten auflisten, aber für den Moment nehmen wir einen beliebten, der einfach zu benutzen ist: Sucuri SiteCheck.

Dieses Tool ist eine gute Wahl, denn du kannst das Sucuri Plugin installieren und dich direkt an die Behebung der Probleme machen, die es erkennt.

Sobald du deine Webseite gescannt hast, gleicht Sucuri sie mit Blocklisten ab, sucht nach offensichtlichen Problemen wie eingeschleustem Spam oder veralteter Software und scannt kurz jeden Code, auf den es zugreifen kann, auf Malware. Sucuri bietet auch einige Vorschläge, um deine Webseite gegen Angriffe zu schützen.

Tools wie dieses sind ein hervorragender Ausgangspunkt für die Erkennung versteckter Malware und anderer Probleme.

Scanne deine Webseite mit einem WordPress Plugin

Während Online-Scanner gut genug funktionieren, ist es noch besser, ein Plugin zu installieren, das in der Lage ist, tief in die Wurzel deines Codes zu graben und Schwachstellen oder schwer zu entdeckende Malware herauszufischen.

Wir haben bereits Sucuri als eine Option erwähnt. Es gibt auch zwei noch populärere Sicherheits Plugins: All in One WP Security & Firewall und das meist heruntergeladene im Repository, Wordfence Security.

Sobald du das Plugin deiner Wahl installiert hast, wird es dich wahrscheinlich anweisen, sofort einen Scan durchzuführen. Der Vorteil dieser Plugins gegenüber Remote-Scannern ist, dass sie Malware entfernen und Änderungen automatisch vornehmen können.

Suche nach seltsamen Änderungen

Wenn du den Verdacht hast oder weißt, dass deine Webseite mit Malware infiziert wurde, kann es manchmal schwierig sein, die Quelle zu lokalisieren. Hier sind ein paar unerklärliche Änderungen, die dir auffallen könnten, sowie die Dateien, auf die es Hacker typischerweise abgesehen haben:

• Plötzliche Links zu fremden Webseiten, die du nicht selbst hinzugefügt hast
• Neue Artikel und Seiten, die du nicht erstellt hast, oder der Inhalt bestehender Seiten ändert sich plötzlich
• Änderungen an Einstellungen, die du nicht vorgenommen hast
• Ein neuer Benutzer, besonders einer mit hohen Rechten, den du nicht hinzugefügt hast
• Plugins oder Themes, die du nicht installiert hast
• Malware kann oft bösartigen Code in deine Dateien einschleusen. Überprüfe Plugin- und Theme-Dateien, den Ordner wp-content/uploads, WordPress-Core-Dateien, die sich in einem falschen Verzeichnis befinden, wp-config.php und .htaccess. Du solltest ein Backup deiner Webseite machen und den Code verstehen, bevor du sensible Änderungen vornimmst.

Wenn du dich mit FTP mit deiner Webseite verbindest, kannst du nach kürzlich geänderten Dateien sortieren, um Code zu finden, der dort nicht sein sollte.

Wenn deine Webseite regelmäßig mit Malware infiziert wird und du keine Ursache in den Dateien finden kannst, kann das Problem bei deinem Server oder einer anderen Webseite auf deinem Server liegen.

Stelle sicher, dass alles auf dem neuesten Stand ist

Wie wir bereits erwähnt haben, ist veraltete Software der mit Abstand häufigste Infektionsvektor in WordPress. Wenn es nur eine Sache gibt, die du tun kannst, um deine Webseite sicher zu halten, dann sollte es sein, WordPress auf dem neuesten Stand zu halten.

Der einfachste Weg, den Status aller Software auf deiner Webseite zu überprüfen, ist das Dashboard > Updates, welches dich darauf hinweist, wenn dein Core, Theme oder Plugins veraltet sind.

Da WordPress nun seit Version 5.5 automatische Updates durchführt, sollte nichts veraltet sein, es sei denn, du hast eine veraltete Version von WordPress. Wenn das nicht der Fall ist, kannst du alles von diesem Bildschirm aus aktualisieren.

Wenn du weißt, dass es eine neue Version von WordPress gibt, sie aber nicht angezeigt wird, klicke auf den Button Erneut prüfen unter Aktuelle Version.

Du kannst auch auf den Seiten Plugins > Installierte Plugins oder Erscheinungsbild > Themes nach Updates suchen.

Important

Es ist wichtig, PHP auf dem neuesten Stand zu halten, besonders wenn du eine Version älter als 7.3 verwendest, da es erhebliche Sicherheitslücken aufweisen kann.

Sichere Konten und Passwörter

Ein schwaches Passwort für deinen Hauptaccount macht es jedem leicht, mit Brute-Force-Programmen in deine Webseite einzubrechen, ihnen Administrator-Zugang zu geben und die Möglichkeit, alles zu ändern.

Während ein kompliziertes Passwort mühsam zu merken ist und das Einloggen weniger bequem macht, ist es noch unangenehmer, wenn du deine Webseite nach einem Hack wiederherstellen musst. Es lohnt sich auf jeden Fall, ein sichereres Passwort zu verwenden, selbst wenn du es aufschreiben musst.

Dein Passwort sollte eine Mischung aus Groß- und Kleinbuchstaben, Zahlen und Symbolen verwenden. Am besten wäre es, wenn du es nicht auf Wörterbuchwörtern oder persönlichen, erratbaren Informationen wie deiner Adresse oder dem Namen eines Familienmitglieds basieren würdest.

Im besten Fall ist dein Passwort eine lange, verworrene Kette aus zufälligen Zeichen. Wir empfehlen dir dringend, einen Passwort-Manager zu verwenden. Verwende eine Webseite wie 1Password oder LastPass, um ein sicheres, nicht zu erratendes Passwort zu generieren.

Du kannst dein Passwort und deine E-Mail in WordPress aktualisieren, indem du zu Benutzer > Alle Benutzer oder direkt zu Benutzer > Profil gehst. Scrolle nach unten und finde E-Mail unter Kontaktinformationen und Neues Passwort unter Kontoverwaltung.

Wenn du auf der Benutzerseite bist, schaue dir alle deine Benutzer an und stelle sicher, dass niemand dabei ist, den du nicht kennst oder der unangemessene Berechtigungen hat. Du solltest jeden nicht identifizierten Benutzer mit Admin-Rechten sofort entfernen.

Wir empfehlen dir auch diesen Leitfaden zur Einschränkung von Benutzerrechten, damit nur dein Konto sensible Dateien auf deiner Webseite ändern kann.

Überprüfe dein SSL Zertifikat

Wenn dein SSL-Zertifikat veraltet ist, merkst du das in der Regel sofort; Browser wie Google Chrome blockieren den Zugriff auf deine Webseite mit einer großen Warnung über das abgelaufene Zertifikat. Wenn du dir nicht sicher bist oder bereits diesen Fehler bekommst, überprüfe dein SSL Zertifikat, um zu sehen, ob es auf dem neuesten Stand ist und ob du die neueste Version von SSL/TLS verwendest.

Wenn du eine Webseite besuchst, siehst du in den meisten Browsern ein Schloss-Symbol in der Adressleiste. Wenn dein Zertifikat abgelaufen ist, kann dieses Schloss rot sein oder einen Schrägstrich haben.

Klicke auf das Schlosssymbol und dann erneut, um Informationen zum Zertifikat zu erhalten, einschließlich des Ablaufdatums.

Du kannst auch einen SSL-Zertifikatschecker verwenden, um deine Webseite zu scannen und sicherzustellen, dass dein Zertifikat nicht abgelaufen ist und keine Schwachstellen in deinem SSL-Protokoll vorhanden sind.

Häufige Schwachstellen

Viele WordPress Seiten sind voll von winzigen Angriffsvektoren, die zwar harmlos erscheinen, aber mehr Informationen liefern können, als du teilen willst.

Eine sichtbare WordPress-Version in deinem Frontend verrät Hackern genau, welche Schwachstellen auf deiner Webseite vorhanden sind. Besonders, wenn du eine veraltete Version von WordPress verwendest, solltest du diese Informationen verstecken.

In deinem Backend findest du Dateieditoren unter Appearance > Theme Editor und Plugins > Plugin Editor.

Diese Tools sind zwar sehr praktisch, aber es macht sie auch für jeden geeignet, der deine Webseite hackt, um etwas zu kaputt zu machen, also solltest du sie vielleicht abschalten. Du kannst dies tun, indem du diese Funktion in die wp-config.php einfügst:

define( 'DISALLOW_FILE_EDIT', true );

SQL-Injektionen sind eine gängige Methode, um in eine Webseite einzubrechen. Wenn du Formulare oder andere Benutzereingaben hast, schränke die Verwendung von Sonderzeichen ein und erlaube nur sichere, gebräuchliche Dateitypen, die hochgeladen werden können.

Für einen zusätzlichen Schutz kannst du Dateiverzeichnisse mit einem Passwort schützen.

Wie du deine Webseite sicher machst: Tipps und Tools

Wenn deine Webseite mit Malware infiziert ist, sollte ein gutes Sicherheits-Plugin ausreichen, um es zu entfernen. Und wir haben oben ein paar Sicherheitslücken beschrieben, auf die du achten solltest.

Schau dir unseren Video-Leitfaden zur Absicherung deiner Webseite an

Wir haben noch ein paar andere schnelle Tipps, um deine Webseite zu sichern und eine Infektion zu verhindern, bevor sie passieren kann. Die meisten dieser Tipps kannst du in wenigen Minuten umsetzen, so dass sie auch dann einfach einzurichten sind, wenn du dich mit WordPress und Websicherheit nicht auskennst.

Wähle einen sicheren Host

Wenn Hacker nach einem Weg auf deine Webseite suchen, wenden sie sich oft an den Server, um nach Exploits zu suchen. Es gibt viele billige Hosts, aber sie investieren nicht immer in die sichersten Server.

Shared Hosting kann ein Vektor für Infektionen sein. Wenn eine Webseite mit Malware infiziert ist, kann es sich potenziell auf alle Webseiten auf dem Server ausbreiten. Du könntest also mit einer Webseite voller Viren und SEO-Spam enden, und es wäre nicht einmal deine Schuld.

Deshalb ist es wichtig, dass du einen Hoster wählst, der sich um die Sicherheit kümmert und in sichere Server investiert. Du wirst immer noch Arbeit investieren müssen, um deine Webseite zu sichern, aber auf Server-Ebene sind deine Daten sicher.

Aktiviere die Zwei-Schritt-Authentifizierung (2FA)

Die zweistufige Authentifizierung (auch bekannt als Zwei-Faktor-Authentifizierung oder 2FA) fügt einen weiteren Anmeldeschritt hinzu. Neben Benutzername und Passwort brauchst du oder jemand, der sich für dich ausgibt, noch eine weitere Information: einen einzigartigen Zusatzcode.

Es könnte ein Zahlencode sein, der an dein Telefon geschickt wird, was deinen WordPress-Account durch Brute-Force nahezu unknackbar machen kann. Alternativ kann es auch eine E-Mail-Verifizierung oder eine Information sein, die nur du kennst.

Während es keine eingebaute Möglichkeit gibt, die Zwei-Faktor-Authentifizierung zu aktivieren, fügen viele Plugins die Funktionalität zu WordPress hinzu.

Kinsta bietet die Zwei-Faktor-Authentifizierung für alle Kunden an. Wenn du kein Kinsta-Kunde bist, kannst du auch das bereits erwähnte Wordfence Plugin mit integrierter 2FA nutzen. Du kannst auch andere Tools für die Sicherheit deiner Webseite ausprobieren, wie z.B. das Two-Factor Plugin für E-Mail-Codes oder Duo, um eine Zwei-Faktor-Authentifizierung per Telefon über eine App einzurichten.

Mache jeden Tag Backups

Ein Backup deiner Webseite kann sie nicht vor Hackern schützen, aber falls doch einmal etwas passiert, ist ein Backup von unschätzbarem Wert. Es kann den Unterschied ausmachen, ob du Wochen oder sogar Jahre an Arbeit verlierst oder ob du einfach ein Backup von vor dem Hack wiederherstellst.

Wenn du bei Kinsta bist, sichern wir dich mit täglichen automatischen Backups ab, die zwei Wochen lang gespeichert werden (30 Tage für diejenigen mit Kinstas Agenturpartnerprogramm). Zusätzlich kannst du fünf manuelle Backups und ein herunterladbares Backup pro Woche erstellen und es gibt optionale Add-Ons, um stündlich Backups zu erstellen oder in die Cloud zu exportieren.

Plugins wie UpdraftPlus können ebenfalls helfen. Am besten ist es, einen Dienst zu wählen, der mindestens täglich ein Backup erstellt, um den Datenverlust zu minimieren.

Verwende eine Web Application Firewall

Eine Web Application Firewall (WAF) filtert mit strengen Regeln den eingehenden Traffic und blockiert IPs, die bekanntermaßen mit Hacker- oder DDoS-Angriffen in Verbindung gebracht werden. Es verhindert, dass viele Angriffe deinen Server überhaupt erreichen.

Obwohl du WAFs auf Serverebene einsetzen kannst, ist es am einfachsten, einen Cloud-basierten Service zu kaufen, wie zum Beispiel von Cloudflare oder Sucuri.

Verbindung über SSH oder SFTP

Manchmal musst du dich per FTP mit deiner Webseite verbinden, um dort Dateien hinzuzufügen oder zu ändern. Es ist immer besser, SFTP gegenüber FTP zu verwenden; der Unterschied ist einfach: SFTP ist sicher und FTP ist es nicht.

Bei FTP sind deine Daten nicht verschlüsselt. Wenn es jemandem gelingt, die Verbindung zwischen dir und deinem Server abzufangen, kann er alles sehen, von deinen FTP-Zugangsdaten bis zu den Dateien, die du hochlädst. Verbinde dich immer mit SFTP.

Du könntest auch einen SSH-Zugang in Betracht ziehen, der es dir erlaubt, dich mit einer Aufforderung zu verbinden und deine Webseite direkter zu verwalten. Es ist sicher und kann einfache Aufgaben aus der Ferne erledigen. Unser Guide zu SSH kann dir helfen, wenn du nicht weiterkommst.

Verhindere DDoS-Attacken

DDoS-Attacken verlangsamen deine Webseite zu einem Kriechgang, indem sie deinen Server mit tausenden von gefälschten Anfragen überschwemmen und so verhindern, dass potenzielle Leser oder Kunden auf sie zugreifen können. Hier sind ein paar Tipps, um sie zu stoppen, bevor sie passieren:

• Habe einen Plan für den Fall, dass ein DDoS-Angriff zuschlägt. Du willst nicht in Panik geraten, wenn du deinen Host alarmieren und die Attacke stoppen musst.
• Verwende eine Web Application Firewall, die möglicherweise gefälschten Traffic erkennen kann.
• Verwende speziell zugeschnittene Anti-DDoS-Software.
• Deaktiviere xmlrpc.php, um zu verhindern, dass Apps von Drittanbietern deinen Server nutzen.
• Deaktiviere die REST API für allgemeine Benutzer.

Brute-Force-Attacken verhindern

Brute-Force-Angriffe können ähnlich wie DDoS-Attacken sein, aber das Ziel ist es, dein Admin-Passwort zu erraten und in deine Webseite einzubrechen, anstatt deinen Server zum Absturz zu bringen. Trotzdem können sie auch deine Webseite ausbremsen.

• Auch hier kann eine WAF Bot-Traffic und krasse Brute-Force-Versuche herausfiltern.
• Verwende eine zweistufige Authentifizierung für deinen Admin-Account.
• Richte ein Aktivitätsprotokoll ein und behalte unautorisierte Login-Versuche im Auge.
• Ändere die URL der Login-Seite und begrenze die Anzahl der Login-Versuche.
• Schütze deine Anmeldeseite mit einem Passwort.
• Verwende ein langes, zufällig generiertes Passwort und ändere es etwa alle Jahre.

Webseiten Security Tools, die du kennen solltest

Neben den bereits erwähnten Tools gibt es noch ein paar weitere Online-Sicherheitstools, die dir dabei helfen werden, deine Webseite abzusichern:

• Intruder.io: Scanne nach den neuesten Sicherheitslücken.
• SSL Server Test: Entwickler-Tool, das dein SSL Zertifikat analysiert und Schwachstellen identifiziert.
• HTML Purifier: Filtert bösartigen Code/XSS heraus, toll, wenn du infizierten Code hast, den du bereinigen musst.
• Mozilla Observatory: Umsetzbare Ratschläge, um deinen Code von häufigen Schwachstellen zu bereinigen.
• sqlmap: Ein Penetrationstest Tool, um Exploits in deinem SQL Code zu identifizieren.
• Detectify: Scanne deine Web-Apps mit der Hilfe von ethischen Hackern.
• WPScan: Ein CLI-basierter WordPress-Scanner.
• SonarQube: Schreibe standardkonformen Code frei von Sicherheitslücken.

Webseiten Sicherheit Checkliste

Ist deine Webseite sicher vor Angriffen? Stelle sicher, dass du fast alles auf dieser Checkliste angekreuzt hast:

• Nutzt du eine sichere, qualitativ hochwertige Hosting Umgebung?
• Hast du deine Webseite mit einem Plugin oder Online-Scanner auf Viren überprüft?
• Hast du ein Aktivitätsprotokoll installiert und überwachst du es auf ungewöhnliche Änderungen?
• Verwenden du und alle Benutzer mit hohen Privilegien sichere Passwörter und Zwei-Faktor-Authentifizierung? Sind alle Emails korrekt?
• Sind WordPress, seine Themes und Plugins sowie die zugrunde liegenden Systeme wie PHP auf dem neuesten Stand?
• Ist dein SSL Zertifikat sicher und auf dem neuesten Stand?
• Hast du deine Webseiten, Einstellungen und Dateien auf unerklärliche Änderungen, das Löschen oder Hinzufügen von Inhalten oder Links, die du nicht hinzugefügt hast, überprüft?
• Ist deine Login-Seite durch ein Passwort und begrenzte Login-Versuche geschützt?
• Hast du nach neuen Benutzern gesucht, die du nicht hinzugefügt hast?
• Sind Formulare, Kommentarboxen und andere Quellen für Benutzereingaben gesichert? (Verbiete Sonderzeichen und beschränke Datei-Uploads auf bekannte Dateitypen).
• Hast du xmlrpc.php und die REST API deaktiviert, um DDoS-Angriffe zu verhindern?
• Hast du die Bearbeitung von Themes und Plugins im Dashboard deaktiviert?
• Hast du einen täglichen Backup-Service eingerichtet?
• Hast du eine Web Application Firewall eingerichtet?

Zusammenfassung

Die Sicherheit einer Webseite ist keine Nebensache. Wenn du dich also noch nicht darum kümmerst, ist es jetzt an der Zeit, es zu einer Priorität zu machen. Wenn du gehackt wirst, ist das nicht nur ärgerlich – es kann in beschädigter SEO, verheerendem Datenverlust, verlorenem Vertrauen der Nutzer und Malware enden, die immer wieder zurückkommt.

Du musst kein erfahrener Entwickler sein, um ein paar zusätzliche Schritte zu unternehmen, um deine Webseite zu sichern. Und das beginnt mit einem ordentlichen Sicherheitscheck der Webseite. Selbst etwas so Einfaches wie die Wahl eines besseren Passworts oder der Wechsel zu einem sichereren Host kann den Unterschied ausmachen.

Brauchst du mehr Sicherheitstipps? Erfahre mehr über 19 weitere Möglichkeiten, deine Webseite zu sichern. Und teile deine Vorschläge gerne in den Kommentaren unten!

---

Sparen Sie Zeit und Kosten und maximieren Sie die Leistung Ihrer Seite mit Integrationen auf Unternehmensebene im Wert von über 275$, die in jedem Managed WordPress Plan enthalten sind. Dazu gehören ein leistungsstarkes CDN, DDoS-Schutz, Malware- und Hacking-Abwehr, Edge-Caching und die schnellsten CPU-Maschinen von Google. Legen Sie los – ohne langfristige Verträge, mit Migrationsunterstützung und einer 30-Tage-Geld-zurück-Garantie.

Informieren Sie sich über unsere Pakete oder sprich mit dem Vertrieb, um den für Sie passenden Plan zu finden.

Warum sind WordPress-Tests wichtig?

Es gibt viele Vorteile, wenn du deine WordPress-Website regelmäßig testest. Wie bereits erwähnt, kannst du mit dem Design und den Elementen der Benutzeroberfläche (UI) experimentieren, ohne dass dies Auswirkungen auf deine Live-Site hat.

So kannst du deine aktuelle Website beibehalten und den Geschäftsbetrieb aufrechterhalten, während du neue Ideen ausprobierst. Wenn in der Testumgebung etwas schief geht, musst du dir keine Sorgen über die Auswirkungen machen, die ein Ausfall auf deinen Webverkehr und deine Einnahmen haben könnte.

Andererseits kannst du deine WordPress-Website auch testen, um Probleme zu erkennen, die Besucher/innen haben könnten, wenn sie versuchen, deine Seiten aufzurufen. Zum Beispiel kann es sein, dass deine Seite in einem bestimmten Browser langsam läuft oder dass dein Menü auf mobilen Geräten nicht richtig angezeigt wird.

Außerdem kann eine Testumgebung eine gute Möglichkeit sein, um Sicherheitslücken zu vermeiden. Vielleicht möchtest du neue Plugins und Themes ausprobieren, bevor du sie auf deiner Website installierst. In der Zwischenzeit kannst du Updates auf deiner Testseite durchführen, um sicherzustellen, dass sie sicher sind.

Während viele Anfänger/innen davon profitieren können, mit WordPress in einem sicheren, privaten Umfeld zu experimentieren, ist das Testen auch für fortgeschrittene Entwickler/innen sehr wichtig. Mit den richtigen Tools können Entwickler/innen eine permanente Testumgebung einrichten, um die Funktionalität ihrer Produkte zu testen, bevor sie sie der Öffentlichkeit zugänglich machen.

Was sind die gängigsten Arten von Tests?

Da du nun weißt, warum es wichtig ist, WordPress sicher zu testen, werfen wir einen Blick auf einige der gängigsten Methoden.

• Funktionstests. So kannst du dir ein genaues Bild davon machen, wie sich die Nutzer/innen auf deiner Seite bewegen. Du kannst zum Beispiel überprüfen, ob Formulare, Buttons und Checkout-Seiten richtig funktionieren.
• Leistungs- und Geschwindigkeitstests. Wenn du sicherstellst, dass deine Website schnelle Ladezeiten hat, kannst du die Benutzerfreundlichkeit verbessern, die Suchmaschinenoptimierung (SEO) unterstützen und deine Core Web Vitals verbessern.
• Sicherheitstests. Dazu gehört die Analyse der Sicherheitsmechanismen auf deiner Website, wie SSL-Zertifikate, HTTPS, Web Application Firewalls und mehr. Sie hilft dir, sensible Daten zu schützen, böswillige Angriffe zu verhindern und WordPress-Schwachstellen zu erkennen.

Unabhängig davon, welche Art von Website du betreibst, solltest du dir angewöhnen, regelmäßig Funktions-, Leistungs- und Sicherheitstests durchzuführen.

Best Practices für WordPress-Tests

Es ist wichtig, den Wert der Tests deiner Website in verschiedenen Umgebungen zu erkennen. Wenn du den Unterschied zwischen den verschiedenen Umgebungen kennst, ist es einfacher, die richtige Option für deine Bedürfnisse zu wählen.

Eine lokale Umgebung wird auf deinem eigenen Computer gehostet. Daher hat nichts, was du dort tust, Auswirkungen auf deine Live-Site. Für den allgemeinen Gebrauch bietet sie eine gute Möglichkeit, neue Funktionen und Features zu testen. Für Entwicklerinnen und Entwickler ist eine lokale Umgebung der ideale Ort, um Bugs und Fehler in deinem Code zu finden.

Eine Staging-Umgebung hingegen bietet eine Kopie der Daten deiner Website auf einem Server (und nicht auf einem lokalen Rechner). Sie ist der ideale Ort, um größere Versions-Updates, Konfigurationsänderungen und Datenbankmigrationen durchzuführen. Wenn du Websites für Kunden entwirfst, eignet sich eine Staging-Site außerdem gut als Demo-Site, um den Kunden zu zeigen, wie die Website aussehen wird.

Wie du Testumgebungen einrichtest

Jetzt, wo du die verschiedenen Arten von Testumgebungen besser kennst, schauen wir uns an, wie du sie einrichtest!

So richtest du eine Testumgebung mit einer Staging-Site ein

Wie bereits erwähnt, ist eine Staging-Site im Grunde eine vollständige Kopie deiner Live-Website. Normalerweise wird sie auf demselben Server gehostet wie deine Live-Website. Der einzige Unterschied besteht darin, dass Besucher/innen nicht auf sie zugreifen können.

Das Beste am Staging ist, dass es einem realen Aufbau folgt. So kannst du genau nachvollziehen, wie sich die Kunden auf deinen Seiten bewegen.

Der einfachste Weg, eine Staging-Site einzurichten, führt über deinen Webhoster. Nicht alle Webhoster bieten Staging-Umgebungen mit ihren Hosting-Diensten an. Aber bei Kinsta ist es super einfach, die integrierte WordPress-Staging-Umgebung zu erstellen und zu konfigurieren.

Du kannst auf deine Staging-Site zugreifen, indem du dich in dein MyKinsta-Dashboard einloggst. Wähle einfach deine Website aus der Liste aus. Oben auf dem Bildschirm kannst du dann über das Dropdown-Menü von Live zu Staging wechseln:

Denke daran, dass es bis zu fünfzehn Minuten dauern kann, bis deine Staging-Site zum ersten Mal erstellt wird. Danach wird sie als Subdomain deiner Hauptdomain existieren (beide nutzen denselben Server).

Sobald du bereit bist, die Änderungen auf deine Live-Website zu übertragen, kannst du einfach die Schaltfläche Push-Umgebung in deinem Dashboard verwenden.

Wie du eine lokale Testumgebung einrichtest

Eine lokale Umgebung funktioniert ähnlich wie eine Staging-Site, allerdings musst du die Umgebung nicht extern hosten. Stattdessen befindet sich deine lokale Umgebung auf einem lokalen Rechner (meistens auf deinem Computer).

Um eine WordPress-Testumgebung lokal zu installieren, musst du dir einen AMP-Stack für deinen Computer besorgen. Diese Software (Apache, MySQL und PHP) wird verwendet, um deine echte WordPress-Website zu imitieren.

Einige der beliebtesten Möglichkeiten, WordPress lokal zu installieren, sind WAMP und XAMPP. Der einfachste Weg ist jedoch die Verwendung von DevKinsta:

DevKinsta ist ein kostenloses lokales Entwicklungstool für WordPress Single oder Multisite. Mit DevKinsta erhältst du Zugang zu einer Vielzahl von Datenbank- und E-Mail-Verwaltungstools. Außerdem lässt es sich nahtlos in MyKinsta integrieren (du musst allerdings kein Kinsta-Kunde sein, um DevKinsta zu nutzen).

Um loszulegen, musst du die neueste Version von DevKinsta herunterladen. Auf dem Mac fügst du DevKinsta zu Programme hinzu und öffnest die DevKinsta-App mit einem Doppelklick.

Der Installationsprozess unterscheidet sich leicht von Betriebssystem zu Betriebssystem, aber du kannst bei Bedarf die vollständige Installationsanleitung für DevKinsta einsehen. Anschließend kannst du Docker Desktop installieren, um Container für das lokale WordPress zu erstellen.

Sobald du DevKinsta und Docker erfolgreich installiert hast, kannst du deine lokale Website erstellen. Du kannst entweder eine neue WordPress-Site erstellen, eine bestehende Site von Kinsta importieren oder eine eigene Site erstellen:

Wähle einfach deine bevorzugte Option. Wenn du eine Website von Kinsta importierst, musst du die richtige Website für den Import auswählen und deine Anmeldedaten eingeben. Dann wirst du zum Bildschirm mit den Website-Informationen weitergeleitet, der wie ein Dashboard für deine lokale Umgebung funktioniert.

Du kannst die Kinsta-API auch nutzen, um eine neue WordPress-Seite/Installation zu erstellen, ohne auf DevKinsta zuzugreifen.

So testest du die Funktionalität deiner WordPress-Website (5 Funktionen)

Sehen wir uns nun fünf Möglichkeiten an, wie du die Funktionalität deiner WordPress-Website testen kannst. Das Beste an den Funktionstests ist, dass du sie direkt in deiner lokalen Umgebung oder mit DevKinsta durchführen kannst (im Gegensatz zu anderen Testarten, bei denen deine Website live sein muss).

Cross-Browser-Unterstützung

Es ist wichtig, deine WordPress-Website in verschiedenen Browsern zu testen, um zu sehen, wie deine Website für alle Besucher aussieht. Das liegt daran, dass verschiedene Browser unterschiedlichen Code verwenden. Daher behandelt und zeigt jeder Browser Elemente auf seine eigene Weise an.

Ein Nutzer, der deine Website mit Chrome aufruft, sieht sie vielleicht anders als ein Nutzer, der deine Website mit Firefox besucht. Und obwohl 3,2 Milliarden Internetnutzer/innen im Jahr 2021 Chrome als Hauptbrowser bevorzugen, nutzen viele weiterhin Firefox, Edge, Opera und Safari.

Vielleicht möchtest du herausfinden, welche Browser bei deinen Besuchern beliebt sind, um deine Seite speziell für diese Browser zu optimieren. Wenn du Google Analytics verwendest, kannst du diese Informationen in deinen Besucherberichten finden.

Dann kannst du deine Website mit einem Tool wie BrowserStack auf Browserunterstützung testen:

Mit BrowserStack kannst du deine Website in 3000 verschiedenen Browsern testen, darunter die neuesten Versionen von Edge, Safari, Firefox und Chrome. Du kannst auch eine kostenlose Testversion nutzen, bevor du dich für einen kostenpflichtigen Plan entscheidest.

Unit-Tests

Beim Unit Testing wird die kleinste Einheit einer Anwendung isoliert getestet. Das kann eine Funktion, eine Eigenschaft oder eine Methode sein. Diese Einheiten werden dann auf ihre Funktionstüchtigkeit untersucht, um sicherzustellen, dass sich die Anwendung wie erwartet verhält.

Du kannst Unit-Tests automatisch mit einem Drittanbieter-Tool wie Travis CI durchführen. Es ist jedoch schneller, die Tests lokal während der Entwicklung durchzuführen, als Änderungen vorzunehmen und darauf zu warten, dass Travis CI sie ausführt.

Du könntest zum Beispiel ein Theme oder ein Plugin einem Unit-Test unterziehen. Hierfür musst du Git, SVN, PHP und Apache installieren. Außerdem musst du dein Plugin fertig haben.

Um loszulegen, öffne DevKinsta, um deine lokale Entwicklungsumgebung zu starten. Installiere dann PHPUnit. Nun musst du die Testdateien für das Plugin mit folgendem Befehl erstellen:

bash
wp scaffold plugin-tests my-plugin

Jetzt kannst du die Testumgebung lokal initialisieren, indem du das Installationsskript ausführst:

bash
bash bin/install-wp-tests.sh wordpress_test root '' localhost latest

Dieses Skript installiert eine Kopie von WordPress auf /tmp directory und in den WordPress Unit Testing Tools.

Im nächsten Schritt führst du die Plugin-Tests mit Hilfe von phpunit aus. Eine ausführliche Anleitung findest du in diesem Leitfaden zu Unit-Tests.

Responsivität für Mobilgeräte/Desktop

Da über 60 Prozent der Menschen mit einem mobilen Gerät online gehen, ist es wichtiger denn je, dass deine WordPress-Website responsive ist. Auf diese Weise kannst du sicherstellen, dass deine Seiten auf allen Bildschirmgrößen, einschließlich Desktop, Tablet und Handy, reibungslos angezeigt werden.

Am einfachsten kannst du die Reaktionsfähigkeit deiner Website testen, indem du die URL deiner Website auf deinem mobilen Gerät eingibst. Wenn du jedoch die Darstellung deiner Website von deinem Desktop aus testen möchtest, kannst du den WordPress Customizer verwenden.

Gehe einfach zu Darstellung > Anpassen:

Je nach Theme siehst du unterschiedliche Panels. Unten auf deiner Seite kannst du auf das Symbol für Mobilgeräte oder Tablets klicken, um eine Vorschau deiner Website in der angegebenen Bildschirmgröße anzuzeigen.

Außerdem kannst du auf die Entwicklertools von Google Chrome zugreifen, um zu sehen, wie deine WordPress-Website auf mobilen Geräten aussieht. Dazu musst du nur eine Seite deiner Website in Google Chrome öffnen.

Dann klickst du mit der rechten Maustaste auf die Seite und wählst Inspizieren:

Jetzt suchst du die Symbolleiste Gerät umschalten oben im Popup (links neben dem Reiter Elemente):

Klicke darauf und dein Bildschirm wird sofort angepasst:

Wie du siehst, kannst du jetzt testen, wie deine Website in Responsive Dimensionen angezeigt wird. Wenn du auf das Dropdown-Menü Dimensionen klickst, kannst du deine Seite auf weiteren Geräten testen, z. B. auf verschiedenen iPhone- und Samsung Galaxy-Modellen.

Testen der Benutzeroberfläche (UI)

Wenn wir von der Benutzeroberfläche (User Interface, UI) deiner Website sprechen, meinen wir damit alle Komponenten deiner Website, mit denen Besucher interagieren können. Die meisten Websites enthalten zum Beispiel Links, Schaltflächen, Menüs usw. Irgendwann müssen die Nutzer mit diesen Elementen interagieren.

Deshalb ist es besonders wichtig, deine Benutzeroberfläche zu testen. Wenn etwas nicht richtig funktioniert, können Besucher/innen frustriert sein und deine Seite verlassen.

Du kannst eine lokale Umgebung einrichten, um deine UI-Elemente zu testen. Du könntest zum Beispiel ein neues Navigationsmenü entwickeln und es ausprobieren.

In diesem Fall kannst du in deinem DevKinsta-Dashboard deinen lokalen Verwaltungsbereich öffnen. Dann navigierst du auf der lokalen Seite zu Erscheinungsbild > Menüs . Jetzt klickst du auf Neues Menü erstellen.

Gib deinem Menü einen Namen und klicke auf Menü speichern. Füge dann auf der linken Seite deines Bildschirms Menüpunkte hinzu und wähle Zu Menü hinzufügen:

Aktiviere unter Menüeinstellungen das Kästchen Primäres Menü. Dann speicherst du deine Änderungen.

Du kannst auch auf Verwalten mit Live-Vorschau oben auf dem Bildschirm klicken, um zu sehen, wie sich dein Menü macht:

Als Nächstes öffnest du deine lokale Website in einem neuen Browser, um dein neues Menü auf dem Frontend zu sehen:

Du kannst auch die Navigationslinks testen, indem du auf jeden der Menüpunkte klickst. Wenn wir zum Beispiel auf den Link Großhandelsbestellung klicken, werden wir zu der entsprechenden Seite weitergeleitet, die wir unserem Menü hinzugefügt haben:

Auf diese Weise kannst du neue Designelemente testen und sicherstellen, dass deine Benutzeroberfläche richtig funktioniert.

Visuelle Tests

Visuelle Regressionstests (VRT) stellen sicher, dass alle deine Designelemente und Layouts so aussehen, wie sie sollen. Aus diesem Grund wird VRT oft nach Änderungen an der Website durchgeführt, z. B. wenn du das Theme wechselst oder ein Plugin aktualisierst.

Auf diese Weise kannst du sicherstellen, dass die Änderungen deine visuellen Elemente nicht beeinträchtigen. So kann es zum Beispiel sein, dass dein Inhalt falsch ausgerichtet ist oder Schaltflächen verschwunden sind.

Wie bei den UI-Tests würdest du solche Probleme oft gar nicht bemerken, wenn du deine Website nicht am Frontend besuchst. Es gibt automatisierte VRT-Tools, die deine Website kontinuierlich auf visuelle Anomalien prüfen.

Oder du kannst deine Seiten einfach manuell vergleichen, bevor und nachdem du deine Änderungen vorgenommen hast. Angenommen, du willst das Theme wechseln. Am sichersten ist es, dies in einer lokalen Umgebung wie DevKinsta zu tun, damit du visuelle Tests durchführen kannst, bevor du die Änderung auf deiner Live-Website anwendest.

Im Moment haben wir das Twenty Twenty-Theme auf unserer lokalen Website aktiviert. Wie du siehst, sind auf der Startseite alle Schaltflächen, Texte und Bilder mittig angeordnet:

Wenn wir jedoch zum Twenty Twenty-Three-Theme wechseln, kannst du sehen, dass die Schaltfläche „Jetzt einkaufen“ falsch ausgerichtet ist:

Wenn du eine lokale Umgebung für deinen Test einrichtest, kannst du visuelle Anomalien wie diese aufspüren.

Wie du die Geschwindigkeit deiner WordPress-Website testest (6 Überlegungen)

Eine weitere wichtige Methode, um deine WordPress-Website zu testen, ist die Überprüfung der aktuellen Geschwindigkeit deiner Website. In diesem Abschnitt gehen wir auf sechs Punkte ein, mit denen du die Leistung deiner Website testen kannst.

Vor diesem Hintergrund kann es hilfreich sein, mit Kinsta APM zu beginnen. Mit unserem Application Performance Monitoring Tool ist es ganz einfach, WordPress-Leistungsprobleme zu erkennen:

Du erhältst zum Beispiel Einblick in alle PHP-Prozesse, MySQL-Datenbankabfragen und externen HTTP-Aufrufe. Dadurch bist du in der Lage, lange API-Aufrufe, langsame Datenbankabfragen und nicht optimierten Plugin- und Theme-Code besser zu erkennen.

Das Beste daran ist, dass Kinsta APM in allen Kinsta-Tarifen kostenlos ist und du direkt von deinem MyKinsta-Dashboard aus auf das Tool zugreifen kannst. Insgesamt ist es eine einfach zu bedienende Lösung, die dir hilft, die Leistung und die Ladezeiten deiner Website zu verbessern.

Langsame Abfragen oder Skripte

Um sicherzustellen, dass deine Website auf höchstem Niveau funktioniert, kannst du WordPress auf langsame Abfragen und Skripte testen. Langsame Abfragen und Skripte wirken sich auf die Gesamtgeschwindigkeit deiner Seite aus und machen deine Website weniger effizient.

Der einfachste Weg, langsame Abfragen und Skripte zu erkennen, ist die Aktivierung von Kinsta APM. Wenn du ein Kinsta-Kunde bist, kannst du das Tool kostenlos nutzen. Du musst es jedoch über dein MyKinsta-Dashboard aktivieren.

Logge dich dazu einfach in dein Konto ein und wähle die Website aus, auf der du das APM-Tool nutzen möchtest. Navigiere nun zum Reiter APM und klicke auf Aktivieren:

Dann musst du die Dauer auswählen, für die du das Tool nutzen willst. Da das APM-Tool Serverressourcen verbraucht, kann es sich auf die Leistung deiner Website auswirken. Daher ist es am besten, das Tool nur für den Zeitraum zu aktivieren, in dem du aktiv an der Behebung eines Leistungsproblems arbeitest.

Triff deine Wahl und klicke auf Überwachungszeit einschalten:

Es kann ein paar Minuten dauern, bis das Tool Daten über deine Website gesammelt hat. Wechsle danach auf die Registerkarte Datenbank und suche den Abschnitt Langsamste Datenbankabfragen :

Hier findest du die zehn langsamsten Datenbankabfragen auf deiner Website. Wenn du auf eine Abfrage klickst, kannst du dir auch die Transaktionsmuster ansehen:

Auf diese Weise kannst du mehr Informationen über die Probe, die Zeitleiste, die Spandetails und den Stacktrace herausfinden.

Langsame Plugins

Schlecht programmierte Plugins können nicht nur die Sicherheit deiner WordPress-Website beeinträchtigen, sondern auch die Leistung. Deshalb ist es wichtig, dieses Problem so schnell wie möglich zu erkennen.

Auch hier kannst du das Kinsta APM-Tool verwenden, um langsame Plugins zu identifizieren. Sobald du das Tool in deinem MyKinsta-Dashboard aktiviert hast, navigiere zum Reiter APM . Wechsle dann zu WordPress:

Der erste Bereich, den du siehst, ist Langsamste WordPress-Plugins. Die langsamsten aufgezeichneten Plugins werden oben im Abschnitt aufgelistet.

Um mehr Informationen über die Leistungsprobleme zu erhalten, klicke auf eines der aufgelisteten Plugins. Dadurch werden die Transaktionsbeispiele geladen, die das Plugin ausgeführt hat. Du kannst dir zum Beispiel den Zeitstempel, die Zeitleiste der Transaktionsverfolgung, die Details der Spanne, die Zeitleiste der Verfolgung und vieles mehr ansehen.

Langsame Seiten

Es ist auch wichtig, WordPress auf langsame Seiten zu testen, da dies zu einer schlechten UX führen kann. Außerdem ist die Seitengeschwindigkeit ein Rankingfaktor für Suchmaschinen wie Google.

Du kannst ein kostenloses Website-Geschwindigkeitstest-Tool wie Pingdom oder PageSpeed Insights verwenden, um eine schnelle Bewertung der Seitengeschwindigkeit zu erhalten. Mit dem APM-Tool von Kinsta kannst du jedoch einen genaueren Einblick in die Geschwindigkeit deiner Seite gewinnen.

Sobald du Kinsta APM aktiviert hast, dauert es ein paar Sekunden, bis die Leistungskennzahlen deiner Website geladen sind. Gehe danach auf den Reiter Transaktionen :

Hier siehst du einige Daten über die gesamte Transaktionszeit deiner Website. Du kannst aber auch nach unten zu Langsamste Transaktionen scrollen, um die PHP-Prozesse zu sehen, die die meiste Transaktionszeit benötigen:

Wenn du eine Transaktion auswählst, kannst du die URL herausfinden, die sie erzeugt. Klicke dann auf die URL, um die Zeitleiste der Transaktionsverfolgung anzuzeigen:

Auf diese Weise kannst du die Zeitspanne finden, die am meisten Zeit in Anspruch nimmt. Wenn diese Zeitspannen als kritisch für deine Leistung eingestuft werden, werden sie in der Regel orange oder rot hervorgehoben.

Caching

Caching ist eine einfache Methode, um deine Ladezeiten zu verbessern. Dabei werden Kopien deiner Website auf dem Server gespeichert. Wenn ein Nutzer deine Seite aufruft, kann dein Server die im Cache gespeicherte Version anzeigen, so dass die Daten viel schneller übertragen werden können.

Bei Kinsta erhältst du Zugang zum Server-Level-Caching, das automatisch auf allen Live-Websites aktiviert ist. Wenn du jedoch eine Staging-Umgebung verwendest, musst du den Cache manuell aktivieren.

Klicke in deinem MyKinsta-Dashboard auf WordPress-Sites und wähle deine Website aus. Dann navigierst du zu Tools und klickst unter Site Cache auf Enable:

Der einfachste Weg, dein Caching zu testen, ist, deine Website mit einem Web-Speed-Test-Tool wie Pingdom zu testen. Es ist jedoch wichtig, dass du den Test mehr als einmal durchführst. Denn wenn du ihn nur einmal durchführst, kann es sein, dass der Inhalt noch nicht auf dem Server des Hosts oder im CDN zwischengespeichert ist.

Gib deine URL in das URL-Feld bei Pingdom ein und wähle einen Ort aus. Suche nun unter Response Headers nach x-kinsta-cache. Wenn hier MISS steht, wird deine Website nicht aus dem Cache geladen.

Um das zu beheben, musst du deine Website noch ein paar Mal durch den Pingdom-Test laufen lassen. Dies sollte dazu führen, dass die x-kinsta-cache und x-cache Header einen HIT registrieren. Jetzt überprüfst du die Ergebnisse und schaust auf den großen gelben Balken, der die Wartezeit oder Time to First Byte (TTFB) anzeigt.

Diese Zahl ist in der Regel hoch, wenn eine Seite nicht aus dem Cache gekommen ist. Auch hier empfiehlt es sich, den Test einmal mit deaktiviertem und dann noch einmal mit aktiviertem Cache durchzuführen, um den Unterschied deutlich zu sehen.

Content Delivery Network (CDN)

Ein Content Delivery Network (CDN) ermöglicht es dir, deine Ladezeiten zu verbessern, indem es deine Webseiten über einen Server ausliefert, der physisch näher bei deinen Besuchern steht. Mit allen Kinsta-Tarifen erhältst du Zugang zu einem von Cloudflare betriebenen CDN.

Bei neuen Websites ist das CDN standardmäßig aktiviert. Du kannst aber überprüfen, ob dein CDN aktiviert ist, indem du dich in dein MyKinsta-Dashboard einloggst.

Gehe zu WordPress Sites und wähle den Namen deiner Website aus. Klicke auf den Reiter CDN und dann auf Aktivieren. Wenn du Deaktivieren siehst, weißt du, dass das CDN aktiv ist:

Um dein CDN zu testen, ist es am einfachsten, ein Tool zum Testen der Website-Geschwindigkeit zu verwenden. Aber zuerst ist es eine gute Idee, die HTTP-Header eines statischen Assets zu überprüfen, um sicherzustellen, dass es vom Kinsta CDN geladen wird.

Du kannst dies mit dem Inspect Tool deines Browsers oder mit unserem kostenlosen HTTP-Status- und Redirect-Checker überprüfen. Jetzt musst du ein Tool zum Testen der Website-Geschwindigkeit auswählen, z. B. Pingdom:

Du kannst den ersten Test durchführen, nachdem du das CDN abgeschaltet hast. Dann kannst du deine Website mit aktiviertem CDN erneut testen, um den Unterschied zu sehen. Außerdem solltest du dein CDN von verschiedenen Standorten aus testen.

Wenn dein Test abgeschlossen ist, solltest du dir die Anfragen ansehen, die vom Kinsta CDN (xxxxkinstacdn.com) geladen werden. Ausführliche Informationen zu diesem Thema findest du in unserem Beitrag über die Durchführung eines CDN-Tests.

Lasttests

Entgegen der landläufigen Meinung gibt es einen wichtigen Unterschied zwischen Geschwindigkeitstests und Lasttests. Bei Geschwindigkeitstests wird im Wesentlichen die Ladezeit einer Seite gemessen, einschließlich der MySQL- und PHP-Antwortzeiten.

Andererseits bieten Lasttests eine feinere Granularität als Geschwindigkeitstests. Er kann zum Beispiel dazu verwendet werden, die Ladezeiten in bestimmten Situationen zu messen, z. B. wenn deine Website von einem hohen Verkehrsaufkommen betroffen ist.

Das Einrichten eines Lasttests ist ziemlich komplex. Deshalb kann es eine gute Idee sein, einen Entwickler um Hilfe zu bitten. Wenn du einen Lasttest für deine Kinsta-Website durchführen möchtest, wende dich an einen Mitarbeiter unseres Support-Teams.

Wie du die Sicherheit deiner WordPress-Website testest

Wenn du WordPress testest, musst du sicherstellen, dass die gesamte Software auf deiner Website sicher ist. Das betrifft nicht nur die WordPress-Kernsoftware, die die Plattform nutzt, sondern auch die Sicherheit von Themes und Plugins.

Das Testen von Themes und Plugins kann sogar noch wichtiger sein, da sie nicht immer aus einer seriösen Quelle stammen. Wenn du Themes und Plugins von Drittanbieter-Websites installierst, gibt es keine Möglichkeit zu überprüfen, ob die Software alle erforderlichen Sicherheitsprüfungen durchlaufen hat.

Das heißt, das Plugin oder Theme könnte schlecht programmiert sein oder sogar bösartige Skripte oder Fehler enthalten, die deine Website beschädigen können. Außerdem ist es wichtig, dass du die Software auf deiner Website immer auf dem neuesten Stand hältst, denn veraltete Software kann als Hintertür für böswillige Akteure genutzt werden, um sich Zugang zu verschaffen.

Kernsicherheit

Obwohl WordPress eine sichere Plattform ist, ist sie nicht immun gegen Cyberangriffe. Deshalb ist es wichtig, dass du die Sicherheit deiner Kernsoftware regelmäßig überprüfst.

Eine der besten Möglichkeiten, deine Kernsoftware zu schützen, ist die Entscheidung für einen guten Webhoster. Bei Kinsta bekommst du zum Beispiel Zugang zu DDoS-Schutz, Firewalls und Malware-Scans. Außerdem haben wir ein spezielles Malware-Entfernungsteam vor Ort. Selbst wenn deine Website infiziert wird, können wir sie wieder in ihren ursprünglichen Zustand versetzen.

Wenn ein neues WordPress-Update veröffentlicht wird, kannst du es auf jeden Fall zuerst auf seine Sicherheit testen, indem du es auf einer Staging-Seite oder in einer lokalen Umgebung ausführst.

Bei Kinsta ist das ganz einfach. Du musst nur zu WordPress Sites navigieren und deine Website aus der Liste auswählen. Stelle dann sicher, dass deine Website auf Staging eingestellt ist, wenn du das Update ausführst.

Wenn du sicher bist, dass die neue WordPress-Version sicher ist, kehrst du zu diesem Bildschirm zurück und klickst auf Push environment > Push to LIVE , um die Änderung zu übernehmen:

Triff deine Wahl (zwischen Dateien oder Datenbank) und bestätige deine Entscheidung mit einem Klick auf Push to live.

Theme-Sicherheit

Wenn du ein neues Theme findest, das du installieren möchtest, aktivierst du es am besten in einer lokalen Entwicklungsumgebung oder auf deiner Staging-Site. Das Gleiche gilt, wenn ein bestehendes Theme auf deiner Seite ein Update veröffentlicht.

Die meisten Theme-Updates enthalten Patches für Sicherheitsprobleme. Es kann aber auch passieren, dass du ein schlechtes Update bekommst, das mit einer anderen Software auf deiner Website kollidiert.

Wenn es sich um ein Theme handelt, das du noch nie benutzt hast (und du die Entwickler nicht kennst), ist es viel sicherer, das Theme in einer lokalen Umgebung zu installieren. Das bedeutet, dass selbst wenn das Theme deine Website beschädigt, deine Live-Website davon nicht betroffen ist.

Wenn du Kinsta-Kunde bist, kannst du also eine Testseite einrichten. Wenn deine Website nicht bei Kinsta gehostet wird, kannst du auch kostenlos mit DevKinsta eine lokale Entwicklungsumgebung einrichten.

Wenn du DevKinsta auf deinem Computer geöffnet hast, rufe die Seite Site Info auf. Hier klickst du auf WP Admin:

Dann installierst und aktivierst du das Theme, wie du es normalerweise in WordPress tun würdest. Normalerweise ist es eine gute Idee, mindestens eine Woche zu warten, bevor du das Theme auf deiner Live-Website installierst (das gilt auch für ein neues Theme-Update).

Wenn du jedoch die Sicherheit eines bestehenden Themes auf deiner Website überprüfen möchtest, ist es am einfachsten, einen Sicherheitsscanner zu verwenden. WPScan ist eine großartige Option, die alle Sicherheitslücken in deinen WordPress-Themes aufspürt.

Plugin-Sicherheit

Auch Plugins können eine Gefahr für die Sicherheit deiner Website darstellen. Deshalb ist es eine gute Praxis, die Sicherheit deiner Plugins regelmäßig zu überprüfen.

Wie bereits erwähnt, kannst du ein neues Plugin (oder ein Plugin-Update) in einer lokalen Umgebung oder auf einer Staging-Seite installieren. Auf diese Weise bleibt deine Live-Site intakt, falls etwas schief geht.

Wie bei Themes kann es aber auch nützlich sein, einen Schwachstellen-Scanner wie WPScan zu installieren. Die Nutzung dieses Tools ist völlig kostenlos. Alles, was du tun musst, ist, dich für ein Konto zu registrieren. Dann kannst du das API-Token zu deiner WordPress-Seite hinzufügen.

Sobald der Scanner mit deiner Website verknüpft ist, navigierst du zu WPScan > Einstellungen , wo du automatische tägliche oder stündliche Scans einrichten kannst:

Oder klicke auf die Registerkarte Bericht , um einen manuellen Test durchzuführen. Sobald der Test abgeschlossen ist, scrolle nach unten zum Abschnitt Plugins :

Hier kannst du eine vollständige Liste aller Plugins auf deiner Website sehen. Wenn deine Plugins sicher sind, siehst du ein Häkchen neben jedem Plugin-Namen. Andernfalls findest du einige Informationen in der Spalte „Schwachstellen„.

Geschwindigkeit und Sicherheit sind am besten, wenn du das richtige Hosting wählst

Natürlich kannst du deine Webseiten optimieren und alle notwendigen Sicherheitsmaßnahmen ergreifen, um eine erfolgreiche Website zu betreiben. Der beste Weg, um sicherzustellen, dass deine Website sicher und schnell ist, ist jedoch, einen guten Webhoster zu wählen.

Bei Kinsta legen wir großen Wert auf Geschwindigkeit und Sicherheit:

Alle unsere Angebote werden auf den besten CPUs mit globaler Verfügbarkeit gehostet. Außerdem erhältst du Zugang zu Kinstas Cloudflare-gestütztem CDN mit Servern an über 260+ Standorten.

Für alle, die sich um die Sicherheit im Internet sorgen, bietet Kinsta eine Vielzahl von Funktionen, um deine Website zu sichern. Du kannst tägliche Backups, Malware-Scans, DDoS-Schutz und Firewalls erwarten. Außerdem bieten wir einen sicheren SSH-Zugang und du kannst mit nur einem Klick ein kostenloses SSL-Zertifikat installieren.

Zusammenfassung

Ohne deine WordPress-Website zu testen, kannst du nicht richtig verstehen, wie die Nutzer deine Website erleben. Wer zum Beispiel bestimmte Browser benutzt, hat vielleicht Probleme mit deinem Menü. Mobile Besucher können mit langen Wartezeiten konfrontiert sein. Deshalb ist es wichtig, deine WordPress-Website zu testen.

Am besten testest du deine Website, indem du eine Staging-Site einrichtest oder mit DevKinsta eine lokale Umgebung erstellst. So erhältst du Einblicke in die Funktionalität, Leistung und Sicherheit deiner Website (ohne dein Live-Web-Erlebnis zu stören).

Ein bisschen zusätzliche Sicherheit kann aber nie schaden. Eine der einfachsten Möglichkeiten, um sicherzustellen, dass deine Website jederzeit reibungslos läuft, ist die Entscheidung für einen hochwertigen Webhoster wie Kinsta. Schau dir unsere Tarife an, um loszulegen!

---

Sparen Sie Zeit und Kosten und maximieren Sie die Leistung Ihrer Seite mit Integrationen auf Unternehmensebene im Wert von über 275$, die in jedem Managed WordPress Plan enthalten sind. Dazu gehören ein leistungsstarkes CDN, DDoS-Schutz, Malware- und Hacking-Abwehr, Edge-Caching und die schnellsten CPU-Maschinen von Google. Legen Sie los – ohne langfristige Verträge, mit Migrationsunterstützung und einer 30-Tage-Geld-zurück-Garantie.

Informieren Sie sich über unsere Pakete oder sprich mit dem Vertrieb, um den für Sie passenden Plan zu finden.

B2B-Verkaufstrichter: So erkennen Sie, in welcher Phase sich Ihr Käufer befindet, und wandeln ihn schnell in Kunden um

von Elise Dopson

Wenn B2B-Marken Waren online kaufen , fließen viele Überlegungen in ihre Kaufentscheidung ein. Schon eine schlecht zielgerichtete Verkaufs- oder Marketingkampagne könnte potenzielle Kunden davon abhalten, sich auf die gepunktete Linie einzulassen.

Ein Verkaufstrichter beschreibt die wichtigsten Phasen der Käuferreise. Indem sowohl Vertriebs- als auch Marketingteams die Gemütsverfassung eines Käufers in jeder Phase verstehen, übermitteln sie die richtige Botschaft zur richtigen Zeit und verbessern die Gesamtkonversionsraten.

Wie sieht also ein B2B-Verkaufstrichter aus? So nutzen Sie das B2B-Sales-Funnel-Modell, um Ihre Marketingstrategie zu personalisieren und neue Kunden zum Kauf zu bewegen.

Erhalten Sie die neuesten E-Commerce-Trends, Erkenntnisse und Ressourcen direkt in Ihren Posteingang

Email

Durch das Absenden dieses Formulars erklären Sie sich damit einverstanden, Werbenachrichten von Shopify zu erhalten. Sie können sich jederzeit abmelden, indem Sie auf den Link in unseren E-Mails klicken.

Inhaltsverzeichnis

• Was ist ein B2B-Verkaufstrichter?
• 5 Stufen des B2B-Verkaufstrichters
• Der Unterschied zwischen B2C- und B2B-Verkaufstrichtern
• So führen Sie Käufer durch den B2B-Verkaufstrichter
• Optimieren Sie Ihren B2B-Verkaufstrichter, um die Rentabilität zu verbessern

Was ist ein B2B-Verkaufstrichter?

Ein B2B-Verkaufstrichter ist ein Prozess, den alle Käufer durchlaufen, wenn sie im Namen eines Unternehmens Kaufentscheidungen treffen. Sie wird oft als Vertriebspipeline bezeichnet und stellt eine visuelle Darstellung dar, wie potenzielle Käufer durch die Käuferreise navigieren.

5 Stufen des B2B-Verkaufstrichters

Der B2B-Verkaufstrichter kann von Branche zu Branche unterschiedlich sein. Käufer können auch von einer Phase zur nächsten springen, insbesondere wenn sie Inhalte früher als erwartet entdecken oder wenn der Kaufbedarf dringend wird.

Wir können den typischen B2B-Verkaufstrichter jedoch in fünf Schlüsselphasen unterteilen.

1. Bewusstseinsphase

Wenn ein Geschäftskäufer auf ein Problem aufmerksam wird, das er lösen möchte, gelangt er an die Spitze des Verkaufstrichters. An diesem Punkt suchen Käufer nicht unbedingt nach einer Lösung. Sie sind sich lediglich eines Schmerzpunkts bewusst, weshalb dieser als Bewusstseinsphase bezeichnet wird.

2. Zinsphase

Sobald ein Käufer Interesse an der Lösung des Problems zeigt, gelangt er in die nächste Phase des B2B-Verkaufstrichters. Hier entdecken sie Produkte, die ihr Problem wahrscheinlich lösen, oder überlegen sich eine Liste der notwendigen Funktionen, die ihr nächster Kauf enthalten muss. Sie haben noch keine Lieferanten identifiziert.

3. Überlegungsphase

Geschäftseinkäufer erreichen die Phase der Überlegung, wenn sie aktiv nach einem Lieferanten suchen, der ihr Problem löst. Zu den beliebten Aktivitäten in dieser Phase gehören das Durchsuchen von B2B-Marktplätzen wie Faire , das Anfordern von Broschüren potenzieller Anbieter und das Einholen von Empfehlungen von Einzelhandelspartnern.

Bildunterschrift: Die Gorilla Group hat herausgefunden, dass Amazon Business der beliebteste Ort für B2B-Käufer ist, um sich bei der Suche nach neuen Produkten inspirieren zu lassen.

4. Evaluierungsphase

Käufer mit einer Auswahlliste potenzieller Lieferanten erreichen die Bewertungsphase. Zu diesem Zeitpunkt haben sie mehrere Lieferanten ausgewählt, die ihr Problem lösen können. Ihre Aufgabe ist es, wichtige Stakeholder im B2B-Kaufprozess davon zu überzeugen, dass Sie das beste Unternehmen für diese Aufgabe sind.

5. Kaufphase

Sobald Unternehmen die Zustimmung wichtiger Stakeholder in ihrer Organisation erhalten haben, wählen sie einen Lieferanten aus und tätigen den Kauf.

Der Unterschied zwischen B2C- und B2B-Verkaufstrichtern

Der Verkaufstrichter für B2B- und Business-to-Consumer-Unternehmen (B2C) weist einige Überschneidungen auf. Käufer durchlaufen die gleichen Phasen, wobei die größten Unterschiede zwischen beiden bestehen:

• Mehr Entscheidungsträger. Gartner berichtet, dass an der durchschnittlichen B2B-Kaufentscheidung bis zu 10 verschiedene Personen beteiligt sind. Es ist möglich, dass jeder die einzelnen Phasen des Verkaufstrichters zu unterschiedlichen Zeiten durchläuft.
• Längere Verkaufszyklen. Da an der B2B-Kaufentscheidung mehr Entscheidungsträger beteiligt sind, dauert es deutlich länger (manchmal bis zu 12 Monate ), bis ein Geschäftskunde den Verkaufstrichter passiert. Manche stecken möglicherweise wochenlang in der Evaluierungsphase fest, wenn sie von einem Stakeholder kein grünes Licht bekommen.
• Händchen halten und unterstützen. Obwohl B2B-Kunden nur 17 % ihrer Zeit im Verkaufsprozess mit einem Supportmitarbeiter verbringen, besteht für B2B-Käufer ein größerer Druck, die richtige Entscheidung zu treffen. Erwarten Sie, dass Sie den Käufern, die oft wissen möchten, wie sie Ihr Produkt an ihre eigenen Kunden weiterverkaufen können (anstatt es selbst zu verwenden), mehr persönliche Unterstützung bieten können.

Nehmen Sie es von Will Stewart, Inhaber von Cedar Spring Recreation , der sagt: „Für uns ist B2B-E-Commerce ein längerer und traditionellerer Verkaufszyklus und erfordert im Vorfeld mehr Ressourcen, um effektiv zu funktionieren.“

„Zum Beispiel erfordern B2C-Verkäufe möglicherweise einen gewissen sozialen Beweis und genügend Vertrauen, damit ein Kunde einen Erstkauf tätigen kann, während unsere B2B-Kunden möglicherweise unsere Produkte sehen oder ausprobieren müssen und dann umfassendere Produktinformationen für ihre Vertriebsteams benötigen sind in der Lage, unsere Produkte selbst effektiv zu verkaufen.“

So führen Sie Käufer durch den B2B-Verkaufstrichter

Wir wissen, dass der B2B-Verkaufstrichter viele Phasen umfasst, die ein Lead durchlaufen muss, bevor er zu einem zahlenden Kunden wird. Die eigentliche Frage ist: Wie können Sie potenzielle B2B-Kunden durch den gesamten Prozess führen, ohne Ihre Ressourcen zu belasten – oder, schlimmer noch, zu übermächtig zu sein und sie dazu zu bringen, einen Kauf abzubrechen?

Identifizieren Sie, in welchem ​​Stadium sie sich befinden

Um einem potenziellen Kunden die richtige Unterstützung zu bieten, müssen Sie zunächst ermitteln, in welcher Phase des B2B-Verkaufstrichters er sich gerade befindet.

Clare Holden, Gründerin von White Night , erklärt: „Ein Käufer eines Mehrmarkengeschäfts wird im Allgemeinen nie eine Bestellung bei einer Marke aufgeben, die er nicht im Sortiment hat, bevor er das Produkt nicht persönlich gesehen hat.“ Es ist ihnen zu riskant. Sie kaufen nicht nur ein Stück, sondern verschiedene Stile und Größen. Daher ist es im Allgemeinen wichtig, an einem Ausstellungsraum oder einer Messe teilzunehmen, damit Käufer das Produkt persönlich sehen können.

„Auf Messen haben die Einkäufer in der Regel einen engen Zeitplan. Dies ist wahrscheinlich der größte Hinweis darauf, in welchem ​​Stadium sich der Käufer befindet. Wenn sie wirklich interessiert sind, nehmen sie sich Zeit für Sie. Wenn sie kommen und einen Blick darauf werfen, sind Sie vielleicht auf ihrem Radar, aber sie sind noch nicht bereit, eine Bestellung aufzugeben. Sie warten möglicherweise darauf, zu sehen, wie Sie verkaufen und wachsen, ohne eine Verpflichtung einzugehen.“

Der Vorteil der Online-Abwicklung Ihres B2B-Geschäfts besteht darin, dass Sie einen besseren Überblick über die Kontaktpunkte haben, die ein potenzieller Käufer mit Ihrem Unternehmen hat. Erhalten Sie Einblicke in:

• Die SKUs, die sie ansehen
• Welche E-Mails sie öffnen
• Die Zielseiten, die sie besuchen (z. B. Lieferrichtlinien, die eine schnelle Lieferung als Kriterium angeben, das neue Lieferanten erfüllen müssen)
• Wie oft kehren sie auf Ihre Website zurück?
• In welchen Bereichen der Seite verweilen sie am längsten (mithilfe von Heatmaps oder Scroll-Tiefenberichten)

Sammeln Sie diese Erkenntnisse mit einem B2B-Lead-Nurturing-Tool wie Leadfeeder oder ZoomInfo . Dadurch werden Website-Aktivitäten verknüpft (auch wenn das Unternehmen noch kein Großhandelskonto erstellt hat), sodass Sie Ihre B2B-Vertriebspipeline genau vorhersagen und qualifizierte Leads erkennen können.

Leiten Sie persönliche Interessenten online um

Der traditionelle Verkauf an Geschäftskunden umfasste in hohem Maße Kaltakquise, Messen und manuelle Rechnungsstellung. Aber die Verlagerung Ihres B2B-Geschäfts ins Internet kann ein starkes Wertversprechen sein.

Experten gehen davon aus , dass im Jahr 2023 17 % der B2B-Umsätze digital generiert werden. Untersuchungen zeigen , dass neun von zehn globalen B2B-Käufern DTC-ähnliche Erlebnisse erwarten. Dennoch ist mehr als die Hälfte mit dem Online-Einkaufserlebnis der Anbieter frustriert.

„Wir wickeln unsere B2B-Verkäufe über Shopify ab. Alle Zahlungen laufen über unseren Shopify-Shop. Dadurch können wir unseren Lagerbestand effektiv verfolgen, unsere Buchhaltung sauber halten und über ein nahtloses elektronisches Zahlungsgateway für unsere B2B-Einkäufe verfügen.“ ”

-DR. Justine Ward, Mitbegründerin und CMO von Thirdzy

Clare Holden von White Night sagt: „Messen finden in der Regel zweimal im Jahr statt. Wenn sie also nicht kaufen, kann es weitere sechs Monate dauern, bis Sie die Chance bekommen, wieder an sie zu verkaufen.“

„Beim E-Commerce sieht jemand Ihr Produkt möglicherweise in den sozialen Medien, stöbert auf Ihrer Website und kommt ein paar Tage später wieder, um es zu kaufen. Manchmal haben Käufer Ihr Produkt in einer Zeitschrift oder in sozialen Netzwerken gesehen und nehmen Kontakt auf. Dies ist das beste Szenario, da Sie wissen, dass sie zum Kauf bereit sind und Sie bereits ihr Interesse geweckt haben.“

Sobald Sie die Phase des Verkaufsprozesses identifiziert haben, in der sich ein Interessent befindet, versuchen Sie, ihn auf Ihren Online-Shop umzuleiten. von Shopify Mit der B2B-E-Commerce-Plattform können Sie Folgendes tun, alles über dasselbe Back-End, das auch Ihr B2C-Storefront betreibt :

• Planen Sie Marketingkampagnen, um potenzielle Käufer in großem Umfang zu gewinnen
• Präsentieren Sie Großhandelspreislisten hinter einem passwortgeschützten Portal
• Weisen Sie B2B-Kunden individuelle Zahlungsbedingungen zu
• Laden Sie Stakeholder ein, sich unter einem Unternehmensprofil zu registrieren, um Kaufentscheidungen schnell zu genehmigen

„Eine der größten Prioritäten für uns war es, sicherzustellen, dass sich beide Teile des Geschäfts – D2C und B2B – einheitlich anfühlen. Gleiche Marke, gleiche Website, gleiche Qualität und vor allem gleicher Service. Der größte Fehler, den Unternehmen meiner Meinung nach machen, ist der Versuch, beides zu trennen. Je besser ein Unternehmen beide Arten von Angeboten integrieren kann, desto besser wird es auf lange Sicht sein!“

–Colin Barceloux, CEO von Lively Root

Das Geheimnis, B2B-Interessenten mitten im Funnel online zu bringen, besteht darin, einen Anreiz zu bieten – sei es ein kostenloses Muster, ein Rabatt auf die erste Bestellung oder das Versprechen einer schnellen Lieferung, da manuelle Abwicklungsprozesse Sie nicht ausbremsen.

Kelly Van Arsdale, Mitbegründerin und CEO von Spinnaker Chocolate , sagt: „Wir beginnen normalerweise damit, potenziellen Kunden kalte E-Mails zu senden. Angesichts des Preises unseres Produkts haben wir eine ziemlich gute Vorstellung davon, wer unserer Meinung nach interessiert sein wird. Wenn sie Interesse haben, schicken wir ihnen ein paar Proben unserer Schokolade und melden uns etwa eine Woche später bei uns.

„Wenn sie von den Mustern begeistert sind, teilen wir ihnen den Zugang zu einer Online-Seite mit unseren Großhandelspreisen und unserem Verfahren mit. Sofern sie weiterhin Interesse haben, bitten wir sie, ein kurzes Formular auszufüllen und dann eine Aktivierungs-E-Mail an unseren passwortgeschützten Online-Großhandelsshop zu senden, wo sie Bestellungen für unsere Großhandelsprodukte aufgeben können.“

Produzieren Sie On-Demand-Inhalte für jede Phase des Trichters

Setzen Sie digitale Marketingkampagnen ein, um die Fragen zu beantworten, die ein potenzieller Kunde hat, während er jede Phase des Verkaufstrichters durchläuft. Gartner hat herausgefunden, dass B2B-Kunden, die bei ihren Kaufaufträgen hilfreiche Informationen erhielten, mit einer 2,8-mal höheren Wahrscheinlichkeit eine Kauferleichterung verspürten. Außerdem war die Wahrscheinlichkeit, dass sie große Kaufentscheidungen bereuen, dreimal geringer.

Hier zahlt sich ein personalisierter Ansatz für B2B-Verkäufe aus – die Art von Inhalten, mit denen sich ein Käufer am wahrscheinlichsten beschäftigt, hängt von der Phase des Trichters ab, in der er sich gerade befindet.

Wir können dies in drei Hauptkategorien unterteilen:

• Oben im Trichter. In dieser Phase liegt der Fokus nicht auf Ihrer Marke oder Ihren Produkten. Der Inhalt sollte auf das Problem ausgerichtet sein, mit dem jemand konfrontiert ist, wenn er zum ersten Mal nach einer Lösung sucht, und in Form von Bildungs-Webinaren, Blog-Beiträgen, YouTube-Videos oder Social-Media-Beiträgen formatiert sein.
• Mitte des Trichters. Wenn sich ein B2B-Käufer mitten im Verkaufstrichter befindet, sucht er nach Lieferanten, denen er bei der Lösung seines Problems vertraut. Bauen Sie Vertrauen bei potenziellen Käufern durch Content-Marketing-Kampagnen wie Blogbeiträge, Fallstudien oder Whitepapers auf, die Ihr Wissen und Ihre Produktqualität demonstrieren.
• Boden des Trichters. Betonen Sie die Tatsache, dass Sie der beste Lieferant sind, mit Whitepapers, die die Alleinstellungsmerkmale Ihres Produkts erläutern, Erfahrungsberichten früherer B2B-Käufer und Fallstudien, die genau beschreiben, wie frühere Kunden mit Ihren Produkten das gleiche Ziel erreicht haben.

Erwarten Sie nicht, dass potenzielle Käufer diese Inhalte von selbst entdecken. von Shopify Flow, Nutzen Sie die E-Commerce-Automatisierungsfunktion um Kunden basierend auf den von ihnen durchgeführten Aktionen proaktiv Inhalte bereitzustellen.

Wenn beispielsweise ein B2B-Käufer Ihre Landingpage ansieht, erstellen Sie einen Workflow, der fünf Tage später eine relevante Fallstudie sendet. Oder vereinbaren Sie zwei Wochen nach der Erstellung eines Unternehmensprofils automatisch eine Willkommens-E-Mail, in der der B2B-Vertriebsmitarbeiter vorgestellt wird, an den er sich bei Fragen wenden kann.

Je mehr Sie mit Tools wie Flow automatisieren, desto mehr Geld kann ein Unternehmen verdienen. Dadurch konnten wir drei Shopify-Shops betreiben, ohne für jeden einen Mitarbeiter einstellen zu müssen.“

—Julio Giannotti, Webmanager bei Scandinavian Designs

Bieten Sie Vertriebsmitarbeiterunterstützung an

Obwohl ein B2B-Käufer etwas mehr als ein Viertel seiner Zeit mit einem Verkäufer verbringt, hat die Kontaktaufnahme mit einem potenziellen Kunden einen tiefgreifenden Einfluss auf dessen Kaufwahrscheinlichkeit.

Käufer brauchen oft Monate, um den B2B-Verkaufstrichter zu durchlaufen. Unbeantwortete Fragen machen den Prozess viel langsamer als nötig. Deshalb sagt Clare Holden von White Night: „Es ist wichtig, dass Sie auf alle Fragen vorbereitet sind, die Käufer unterwegs haben.“

„Sie werden die Details zu allem wissen wollen: wo Sie produzieren, Lieferzeiten, Lieferanten, Bestellmengen, Skalierbarkeit, wie Ihr Marketingplan als Marke aussieht, Verkaufsbedingungen, Liefertermine – Sie müssen sicherstellen, dass Sie schnell und bereit sind alle Informationen, die sie benötigen. Wenn Sie bei irgendetwas davon zögern, verlieren sie möglicherweise das Vertrauen in Ihre Fähigkeiten.“

Stellen Sie ein B2B-Vertriebsteam ein, um Leads bei der Entscheidungsfindung zu unterstützen, falls diese zusätzliche Hilfe benötigen. Das könnte sein:

• Live-Chat
• E-Mail-Kontakt
• Traditionelle Telefonanrufe

Beachten Sie, dass nicht jede Interaktion ein Verkaufsgespräch sein muss. Das Ziel besteht darin, die Hürde aufzudecken, die einen Käufer daran hindert, zur nächsten Stufe des Verkaufstrichters zu gelangen, und sie zu lösen – indem Sie subtil erwähnen, wie Ihr(e) Produkt(e) dies ermöglichen.

Tools für das Kundenbeziehungsmanagement (CRM) wie HubSpot , Reamaze und Endear lassen sich in Shopify Plus integrieren, sodass Sie problemlos auf frühere Interaktionen mit jedem potenziellen Kunden zurückgreifen können. Dies hilft bei der Feinabstimmung der zukünftigen Kommunikation und der Bereitstellung von Inhalten, die ein Kunde benötigt, ohne dass er zweimal nachfragen muss – selbst wenn er jedes Mal mit einem anderen Verkäufer spricht.

Wir haben jetzt Kunden, die bereit sind, Bestellungen im Wert von mehr als 50.000 US-Dollar selbst und mit minimaler oder gar keiner Händchenhaltung durch die Mitarbeiter online aufzugeben. Wenn Sie große B2B-AOVs mit geringem Umsatzaufwand erzielen können, können Sie ein ziemlich profitables Geschäft aufbauen.“

—Michael Martocci, Gründer von SwagUp

Vergessen Sie nicht den Nachkauf

Der B2B-Verkaufstrichter endet nicht, wenn ein Käufer seinen ersten Kauf getätigt hat. Machen Sie die erste Interaktion richtig und es besteht eine gute Chance, dass Ihre B2B-Kunden zum erneuten Kauf zurückkehren. Es sind diese Stammkunden , die 44 % des Umsatzes eines Unternehmens ausmachen.

Fördern Sie die Kundenbindung, indem Sie starke Beziehungen zu Ihren Kunden aufbauen. Auch hier lässt sich das meiste davon automatisieren:

• Planen Sie E-Mails nach dem Kauf ein, die personalisierte Produktempfehlungen enthalten, die den bereits gekauften Artikeln ähneln.
• Helfen Sie Einzelhändlern, Ihr Inventar zu verkaufen, indem Sie Präsentationsideen, neue Trends in der Branche und Alleinstellungsmerkmale teilen, die Sie in Produktbeschreibungen berücksichtigen sollten.
• Laden Sie bestehende Kunden ein, mit Ihnen im realen Leben in Kontakt zu treten, wenn Sie auf Branchenveranstaltungen oder Messen präsentieren.
• Heben Sie sie in den sozialen Medien als empfohlenen Lieferanten oder Handelspartner hervor. Dies wird dazu beitragen, eines der größten wiederkehrenden Probleme für Einzelhändler zu lösen: die Steigerung der Markenbekanntheit.

B2C ist hauptsächlich auf Direct-Response-Anzeigen und Social-Media-Inhalte angewiesen. Bei B2B geht es eher um die Beziehungen zwischen dem Verkaufsteam und den Käufern in Einzelhandelsgeschäften. Wir haben ein Vertriebsteam, das diese Beziehungen aufbaut und pflegt.“

–Meredith Erin, CEO von Boredwalk

Optimieren Sie Ihren B2B-Verkaufstrichter, um die Rentabilität zu verbessern

Je weniger Zeit potenzielle Käufer im B2B-Verkaufstrichter verbringen, desto mehr Gewinn wird Ihr Unternehmen generieren.

Indem Sie Ihr B2B-Geschäft online verlagern, können Kunden sich selbst bedienen und Inhalte zu ihren eigenen Bedingungen aufnehmen. Automatisieren Sie den Prozess so weit wie möglich und stellen Sie proaktiv nützliche Informationen basierend auf den durchgeführten Aktionen bereit.

Käufer, die sich bei ihrem ersten Kauf zuversichtlich fühlen, werden dies früher tun. Das wirkt sich nicht nur auf Ihr Endergebnis aus, sondern verschafft den Vertriebsmitarbeitern auch Zeit, sich mit höherwertigen Geschäften und potenziellen Kunden zu befassen, die im Entscheidungsprozess Hand in Hand gehalten werden müssen.

Benötigen Sie Hilfe bei der Abwicklung von B2B-Verkäufen online? Mit jahrzehntelanger Erfahrung im Verkauf an B2B-Kunden ist Shopify Plus hier, um Ihnen zu helfen.

Mit Shopify Plus können Sie problemlos in den B2B-Bereich expandieren Erfahren Sie mehr

Mehr lesen

• B2B-E-Commerce: Alles, was Sie für den Einstieg wissen müssen
• B2B-E-Commerce: Warum die Verlagerung Ihres B2B-Geschäfts ins Internet eine kluge Strategie zur Skalierung ist
• 12 B2B-E-Commerce-Trends zur Gestaltung Ihres Unternehmens im Jahr 2023
• Was ist B2B-Großhandel und wie verkauft man im Jahr 2023 an Kunden?
• Was sind B2B-Zahlungen? Methoden und Verarbeitungssysteme
• B2B-Marktplätze: Was sie sind, wie man erfolgreich ist und 8 Marktplätze, die man in Betracht ziehen sollte
• Finden Sie den perfekten Domainnamen
• Wie unterscheidet sich B2B auf Shopify vom Plus-Großhandelskanal? Eine Kurzanleitung zum B2B-Verkauf auf Shopify
• DTC und Großhandel auf einer Plattform – und einem Shop

Häufig gestellte Fragen zum B2B-Verkaufstrichter

Wie optimiert man einen B2B-Verkaufstrichter?

• Planen Sie Inhalte basierend auf wichtigen Auslösern oder Berührungspunkten.
• Automatisieren Sie E-Mail-Marketingkampagnen für jede Phase.
• Bieten Sie Unterstützung für B2B-Vertriebsmitarbeiter an.
• Bauen Sie Vertrauen mit Social Proof und Vertrauenssignalen auf.
• Nehmen Sie nach dem Kauf Kontakt zu Käufern auf.

Wie erstellt man einen B2B-Trichter?

1. Erstellen Sie Ihre Buyer-Personas.
2. Definieren Sie Ihre Customer Journey Map .
3. Listen Sie die Aktionen auf, die in einer B2B-Kaufentscheidung enthalten sind.
4. Erklären Sie, wer an jedem Touchpoint beteiligt ist.
5. Gruppieren Sie Aktionen in verschiedene Phasen des Trichters.

Was ist der Unterschied zwischen einem B2B-Marketing-Funnel und einem Sales-Funnel?

B2B-Vertriebs- und Marketing-Trichter werden oft verwechselt. Der Hauptunterschied besteht darin, dass ein Verkaufstrichter die Schritte enthält, die ein Käufer vor dem Kauf durchführt. Ein Marketing-Trichter ist die Bereitstellung von Inhalten, die jede Phase unterstützen.

Was sind die Phasen eines B2B-Trichters?

1. Bewusstsein
2. Interesse
3. Rücksichtnahme
4. Auswertung
5. Kaufen

Warum Ihre WordPress-E-Mails im Spam landen (+ So beheben Sie das Problem)

Sie fragen sich, wie Sie verhindern können, dass WordPress-E-Mails im Spam landen? Befolgen Sie einfach diese Schritte:

In diesem Artikel

• 1. Fehlerbehebung bei WordPress-E-Mails, die im Spam landen

  • Befindet sich Ihr Server auf einer Spam-Blacklist?
  • So erkennen Sie, ob Ihre E-Mails im Spam landen
  • Werden einige WordPress-E-Mails im Spam landen, andere jedoch nicht?
  • Senden Sie Bilder oder Anhänge?
  • Verwenden Sie eine ungewöhnliche TLD?
  • Ist Ihre E-Mail-Liste veraltet?
  • WordPress-E-Mails landen immer noch im Spam?

• 2. Installieren Sie das WP Mail SMTP-Plugin

  • Brauche Hilfe?

• 3. Wählen Sie einen E-Mail-Anbieter für WordPress
• 4. Legen Sie den Absendernamen und die Absender-E-Mail in WordPress fest
• 5. Smart Routing einrichten (optional)
• 6. Richten Sie Ihr E-Mail-DNS ein

Schauen wir uns zunächst einige häufig auftretende Probleme genauer an.

1. Fehlerbehebung bei WordPress-E-Mails, die im Spam landen

Wenn Sie sich fragen, warum die E-Mails Ihrer Website im Spam landen (oder verschwinden), führen Sie zunächst die folgenden Schritte zur Fehlerbehebung durch.

Befindet sich Ihr Server auf einer Spam-Blacklist?

Wenn Ihr Server auf der schwarzen Liste steht, bedeutet das, dass er in der Vergangenheit wegen Spam markiert wurde. Das bedeutet, dass Ihre E-Mails nicht vertrauenswürdig sind.

Dies ist ein häufiges Problem beim Shared Hosting. Wenn nur ein Kunde wegen Spam auf die schwarze Liste gesetzt wird, haben alle anderen Kunden auf demselben Server Probleme beim Senden von E-Mails.

Dies kann auch passieren, wenn Ihre Website mit Malware infiziert ist oder ein Hacker Ihren Server als E-Mail-Relay nutzt.

So erkennen Sie, ob Ihre E-Mails im Spam landen

Wenn Sie überprüfen möchten, ob Ihre E-Mails im Spam landen, können Sie prüfen, ob Sie auf einer Spam-Blacklist stehen.

Testen Sie dazu die IP-Adresse Ihres Servers mit dem Blacklists-Checker von MXToolbox . Klicken Sie einfach auf „Blacklist Check“ , um über 100 Blacklists gleichzeitig zu scannen.

Wenn Sie feststellen, dass Sie auf einer schwarzen Liste stehen, wenden Sie sich an Ihren Host und bitten Sie ihn, Sie auf einen anderen Server zu verschieben.

Werden einige WordPress-E-Mails im Spam landen, andere jedoch nicht?

Manchmal werden Sie feststellen, dass E-Mails für einen Empfänger im Spam landen, andere sie jedoch problemlos empfangen können.

Dies kommt sehr häufig bei Empfängern vor, die AOL, Yahoo oder Gmail verwenden. Diese Anbieter neigen dazu, deutlich strengere Spam-Prüfungen durchzuführen. Yahoo kann beispielsweise jede E-Mail von einer Domain ohne DMARC-Eintrag ablehnen.

Gmail zeigt möglicherweise auch die Warnung „ Seien Sie vorsichtig mit dieser Nachricht an “ an, wenn in Ihren E-Mail-Headern etwas Ungewöhnliches festgestellt wird.

Normalerweise können Sie dieses Problem beheben, indem Sie Ihre DNS-Einträge überprüfen , worauf wir später im Tutorial eingehen.

Wenn jedoch nur eine Person Ihre E-Mails nicht erhält, sollten Sie auch überprüfen, ob diese Ihre vorherigen E-Mails nicht als Spam markiert hat. In diesem Fall sollten Sie sich an Ihren E-Mail-Dienstanbieter wenden und fragen, ob Sie diese Person aus der Unterdrückungsliste entfernen können.

Senden Sie Bilder oder Anhänge?

Jede E-Mail, die Sie senden, hat einen Spam-Score, und das Einfügen von Bildern oder Anhängen erhöht diesen Score.

Obwohl Sie in WordPress E-Mails mit Anhängen versenden können , spielt die Größe der Anhänge eine Rolle. Mehrere Anhänge können dazu führen, dass Ihr E-Mail-Inhalt noch mehr als Spam aussieht.

Sie sind sich nicht sicher, ob das auf Sie zutrifft? Wenn Sie bereits über WP Mail SMTP Pro verfügen , wird die Anzahl der Anhänge im E-Mail-Protokoll angezeigt.

Darüber hinaus können große Bilder oder Anhänge dazu führen, dass E-Mails aufgrund der vom Postfach des Absenders oder Empfängers festgelegten Sendebeschränkungen fehlschlagen. Mit WP Mail SMTP können Sie gesendete Anhänge speichern, um den Verlust wichtiger Dateien zu vermeiden.

Verwenden Sie eine ungewöhnliche TLD?

Spam-Scores werden anhand einer Reihe von Faktoren berechnet, und die Top-Level-Domain (TLD) kann einer davon sein.

Die Top-Level-Domain ist der Teil der Domain nach dem letzten Punkt.

Laut Spamhaus gehören zu den am häufigsten von Spammern missbrauchten TLDs: .work, .shop, Und .biz. (Dies sind alles gTLDs, was bedeutet, dass sie nicht zu einem bestimmten geografischen Standort gehören.)

Durch die Verwendung einer nicht-traditionellen gTLD werden Sie nicht unbedingt als Spammer eingestuft. Wenn Ihre E-Mails jedoch bereits Spamfilter auslösen und den Spam-Score Ihrer E-Mails erhöhen, kann der Besitz einer dieser gTLDs dazu führen, dass Sie einen höheren Spam-Score erreichen.

Dies ist einer der Gründe, warum WPBeginner die Verwendung einer traditionellen TLD wie empfiehlt .combei der Auswahl des besten Domainnamens .

Ist Ihre E-Mail-Liste veraltet?

Ein weiterer Grund, der Ihren Spam-Score erhöhen und die Reputation Ihrer Domain beeinträchtigen kann, ist eine veraltete E-Mail-Liste.

Die E-Mail-Adressen in Ihrer E-Mail-Liste werden möglicherweise nicht mehr von Ihren Abonnenten verwendet. Oder einige Personen auf Ihrer Liste möchten möglicherweise einfach keine E-Mails mehr von Ihnen erhalten.

Wie dem auch sei: Wenn Ihre E-Mails ständig von Personen auf Ihrer Liste ungeöffnet bleiben, besteht die Gefahr, dass Sie als Spam gekennzeichnet werden.

Es ist eine gute Idee, Ihren Abonnenten hin und wieder eine Check-in-E-Mail zu senden. Auf diese Weise können Sie bestätigen, ob sie weiterhin an Ihrem Newsletter interessiert sind und ob ihre E-Mail-Adressen aktiv sind.

Anschließend können Sie inaktive Abonnenten entfernen und Ihre E-Mail-Liste bereinigen, um eine hohe Domänenreputation aufrechtzuerhalten und zu vermeiden, als Spam markiert zu werden.

Stellen Sie außerdem sicher, dass Ihre Abonnenten jederzeit eine einfache Möglichkeit haben, sich von Ihrem Newsletter abzumelden. Sie können beispielsweise einfach am Ende Ihrer E-Mail einen Abmeldelink hinzufügen.

WordPress-E-Mails landen immer noch im Spam?

Wenn keines dieser Probleme auf Sie zutrifft, liegt das Problem wahrscheinlich einfach an der fehlenden Authentifizierung. Wir können das mit WP Mail SMTP beheben. Diese Lösung funktioniert für alle auf Ihrer Website installierten Plugins, die E-Mails versenden.

Unabhängig davon, ob WooCommerce-E-Mails im Spam landen oder ein anderes WordPress-Plugin, sollte WP Mail SMTP dabei helfen, Ihre Zustellbarkeitsprobleme ein für alle Mal zu beheben.

2. Installieren Sie das WP Mail SMTP-Plugin

WP Mail SMTP ist das beste SMTP-Plugin für WordPress. Es unterstützt kostenlose und Premium-E-Mail-Anbieter, die Ihre WordPress-E-Mail-Probleme lösen.

Um das Plugin herunterzuladen, gehen Sie zur WP Mail SMTP- Website und melden Sie sich bei Ihrem Konto an. Wechseln Sie zur Registerkarte „Downloads“ , um die neueste Version der Plugin-Datei herunterzuladen.

Gehen Sie zu Ihrer Website und melden Sie sich beim WordPress-Dashboard an. Navigieren Sie nun zur Plugins-Seite und laden Sie die ZIP-Datei hoch, die Sie gerade heruntergeladen haben, um sie zu installieren.

Sobald das Plugin installiert ist, müssen Sie es unbedingt aktivieren. Sobald Sie dies tun, wird der Setup-Assistent des Plugins in Ihrem Browser gestartet.

Es ist wichtig, den gesamten Setup-Assistenten abzuschließen, um das Problem zu beheben. Denken Sie daran: Wenn Sie das Plugin installieren und es nicht einrichten, hat es keine Auswirkungen.

Brauche Hilfe?

Unsere Elite-Lizenz beinhaltet das White Glove Setup für WP Mail SMTP.

3. Wählen Sie einen E-Mail-Anbieter für WordPress

In diesem Schritt wählen wir den E-Mail-Anbieter aus, der Ihre WordPress-E-Mails zustellt.

Klicken Sie im ersten Bildschirm des Assistenten auf die Schaltfläche „Los geht’s“ , um zu beginnen.

WP Mail SMTP zeigt eine Liste der unterstützten Mailer-Dienste an.

Jeder dieser E-Mail-Anbieter hilft dabei, zu verhindern, dass Ihre WordPress-E-Mails im Spam landen. Sie haben jedoch alle unterschiedliche Sendelimits und Zulagen für Anhänge.

Darüber hinaus sind einige einfacher einzurichten als andere.

Wenn Sie einen zuverlässigen, professionellen und erschwinglichen Service wünschen, empfehlen wir SendLayer , SMTP.com oder Brevo (ehemals Sendinblue). Hierbei handelt es sich um Transaktions-E-Mail-Anbieter , das heißt, sie sind für die Verarbeitung einer großen Anzahl automatisierter Benachrichtigungs-E-Mails ausgelegt.

Im Vergleich zu Gmail oder Outlook sind sie auch einfach einzurichten.

Nachdem Sie Ihren E-Mail-Anbieter ausgewählt haben, klicken Sie auf den Link unten, um die entsprechende Dokumentation zu öffnen. Wir haben für jeden Mailer eine vollständige Anleitung erstellt, damit Sie Ihre WordPress-Site ganz einfach verbinden können:

Mailer in allen Ausführungen erhältlich	Mailer in WP Mail SMTP Pro
SendLayer	Amazon SES
SMTP.com	Microsoft 365 / Outlook.com
Kurz	Zoho Mail
Google Workspace / Gmail
Postpistole
Stempel
SendGrid
SparkPost
Anderes SMTP

Sobald Sie fertig sind, können Sie mit dem Assistenten fortfahren.

Wenn Sie über eine Pro-Lizenz zu aktivieren . die detaillierten E-Mail-Protokolle und die wöchentliche E-Mail-Zusammenfassung verfügen, empfehlen wir Ihnen dringend, im letzten Schritt

Wenn Sie diese Funktionen aktivieren, schalten Sie eine Menge zusätzlicher Funktionen in WP Mail SMTP frei:

• Vollständige E-Mail-Protokollierung : Speichern Sie eine Kopie des Textkörpers jeder E-Mail zusammen mit den Kopfzeilen
• Öffnungs- und Klickverfolgung : Sehen Sie sich Öffnungs- und Klickanalysen für Ihre WordPress-E-Mails an
• E-Mail-Anhänge speichern : Speichern Sie jeden von WordPress gesendeten Anhang
• E-Mail-Protokolle exportieren : Exportieren Sie Details gesendeter E-Mails und aller Anhänge
• Export im EML-Format : Speichern Sie eine vollständige Kopie einer gesendeten E-Mail und ihrer Anhänge
• E-Mail erneut senden : Senden Sie fehlgeschlagene E-Mails einzeln oder in großen Mengen erneut – ideal, wenn Sie die E-Mail zur Registrierung neuer Benutzer in WordPress erneut senden möchten
• Wöchentliche Updates : Erhalten Sie jeden Montag einen E-Mail-Bericht mit Ihren E-Mail-Zustellbarkeitsstatistiken , Öffnungsraten und Klickraten.

unserem Artikel zum Protokollieren von WordPress-E-Mails . Weitere Informationen finden Sie in

Und das ist es! WP Mail SMTP sendet eine automatische Test-E-Mail, damit Sie überprüfen können, ob alles funktioniert.

Sie werden feststellen, dass WP Mail SMTP Sie gefragt hat, ob Sie den Formularnamen erzwingen möchten. Werfen wir einen Blick darauf, was das bedeutet.

4. Legen Sie den Absendernamen und die Absender-E-Mail in WordPress fest

Der Absendername und die Absender-E-Mail sind wichtige Einstellungen beim Versenden von E-Mails von Ihrer WordPress-Website.

Der Absendername ist der Name des Absenders und die Absender-E-Mail ist die E-Mail-Adresse, von der die Warnung oder Benachrichtigung gesendet wird.

Die Absender-E-Mail ist hier die wichtige Einstellung. Es ist äußerst wichtig, dass die Absender-E-Mail korrekt eingerichtet ist, um zu verhindern, dass WordPress-E-Mails im Spam landen.

überprüfen Sie können Ihre Absender-E-Mail in WP Mail SMTP » Einstellungen .

eingeben Absender-E-Mail Bei einigen Mailprogrammen können Sie eine beliebige . In diesem Fall sollten Sie eine E-Mail-Adresse der Domäne verwenden, die Sie bei Ihrem E-Mail-Anbieter authentifiziert haben.

Zum Beispiel, wenn Sie sich authentifiziert haben example.comWenn Sie SendLayer einrichten, sollte Ihre E-Mail-Domäne ebenfalls mit enden example.com.

Wenn Sie dies auf Ihrer gesamten WordPress-Site erzwingen, können Sie sicher sein, dass alle Ihre E-Mails authentifiziert sind.

Wenn die Absender-E-Mail ausgegraut ist, können Sie sie nicht ändern.

Bei einigen E-Mail-Anbietern (einschließlich Zoho Mail ) können Sie nicht eine andere Absender-E-Mail-Adresse verwenden als die, die Sie bei der Einrichtung des Plugins authentifiziert haben. Deshalb haben wir diese Einstellung ausgegraut, um sicherzustellen, dass Ihre E-Mails nicht fehlschlagen.

Wenn Sie Gmail oder Google Workspace verwenden, können Sie einen beliebigen Gmail-Alias ​​verwenden, um E-Mails von WordPress aus zu senden . Ihre primäre Absender-E-Mail-Adresse auswählen können. In diesem Fall wird ein Dropdown-Menü angezeigt, in dem Sie beim Ausführen des Einrichtungsassistenten

Sie können jeden dieser Aliase verwenden, um E-Mails von WordPress aus zu versenden. Beachten Sie, dass der primäre Google-Alias ​​als Absender-E-Mail verwendet wird , wenn Sie versuchen, eine E-Mail-Adresse zu verwenden, die in Ihrem Gmail-Konto nicht vorhanden ist.

5. Smart Routing einrichten (optional)

Mit WP Mail SMTP Pro können Sie Smart Routing einrichten. Mit dieser Funktion können Sie unterschiedliche Mailer für unterschiedliche E-Mail-Typen verwenden.

Dies kann die Zustellbarkeit von E-Mails verbessern, da bestimmte Mailer für unterschiedliche E-Mail-Typen am besten geeignet sind. Beispielsweise wird häufig empfohlen, für E-Commerce-Bestellbenachrichtigungen einen Transaktionsmailer zu verwenden.

Wenn Sie den richtigen Mailer für die Art der E-Mails auswählen, die Sie versenden möchten, können Sie verhindern, dass Ihre E-Mails im Spam landen.

Um Smart Routing einzurichten, müssen Sie zunächst eine zusätzliche Verbindung hinzufügen. Gehen Sie zu WP Mail SMTP » Einstellungen und klicken Sie auf Zusätzliche Verbindungen .

Fügen Sie dann eine neue Verbindung hinzu und füllen Sie die Einstellungen aus. Dies sind die gleichen wie die Optionen für Ihre primäre Verbindung, die Sie zuvor in diesem Tutorial eingerichtet haben.

Sobald Sie mindestens eine zusätzliche Verbindung haben, können Sie Smart Routing aktivieren. Gehen Sie zur Seite „Smart Routing- Einstellungen“ und verwenden Sie die Dropdown-Listen, um eine bedingte Regel zu erstellen.

Dadurch wird WP Mail SMTP mitgeteilt, wann E-Mails über Ihre zusätzliche Verbindung gesendet werden sollen. Alle E-Mails, die die hier festgelegten Anforderungen nicht erfüllen, werden über Ihre primäre Verbindung gesendet.

Weitere Einzelheiten finden Sie in unserem Leitfaden zu Smart Routing .

6. Richten Sie Ihr E-Mail-DNS ein

Manchmal landen WordPress-E-Mails im Spam, selbst nachdem Sie WP Mail SMTP eingerichtet haben. Dies wird fast immer durch falsche DNS-Einstellungen in Ihrer Domain verursacht.

einrichten Möglicherweise müssen Sie bei Ihrem E-Mail-Anbieter SPF-, DMARC- und DKIM-Einträge , um Ihre WordPress-E-Mails zu authentifizieren. Wenn Sie diesen Schritt überspringen, landen Ihre WordPress-E-Mails wahrscheinlich immer noch im Junk-Mail-Ordner.

Glücklicherweise verfügt WP Mail SMTP über einen integrierten DNS-Prüfer, der Ihr DNS automatisch auf Probleme überprüft.

Achten Sie auf alle SPF-, SKIM- oder DMARC-Warnungen, die Sie in WP Mail SMTP erhalten. Die richtigen Einstellungen sind ein entscheidender Schritt, um zu verhindern, dass WordPress-E-Mails im Spam landen.

Sie wissen nicht, wo Sie anfangen sollen? Wir haben vollständige Schritte zur DNS-Einrichtung in unsere Mailer-Dokumentation aufgenommen, um Sie auf den richtigen Weg zu bringen. Beginnen Sie mit dieser Anleitung zum Erstellen eines DMARC-Eintrags .

Korrigieren Sie jetzt Ihre WordPress-E-Mails

Als nächstes stoppen Sie Spam in Ihrem Kontaktformular

Da Sie nun die Spam-Ordnung Ihrer WordPress-E-Mails behoben haben, besteht möglicherweise ein weiteres Problem: Sie erhalten Spam von Ihrem Kontaktformular.

Schauen Sie sich die besten Kontaktformular-Plugins an , um zu erfahren, wie Sie Kontaktformular-Spam mithilfe von CAPTCHAs und geheimen Formular-Tokens stoppen können.

Sind Sie bereit, Ihre E-Mails zu reparieren? Beginnen Sie noch heute mit dem besten WordPress-SMTP-Plugin. WP Mail SMTP Elite umfasst das vollständige White Glove-Setup und bietet eine 14-tägige Geld-zurück-Garantie.

Wenn Ihnen dieser Artikel weitergeholfen hat, folgen Sie uns bitte auf Facebook und Twitter für weitere WordPress-Tipps und Tutorials.

Sie möchten E-Mails direkt über WordPress an eine große Empfängerzahl schicken? Dann sollten Sie diesen Beitrag unbedingt lesen – denn die Gefahr ist groß, dass Ihre Nachrichten im Spam landen!

Inhalt

• Das Problem
• E-Mails über WordPress verschicken
• Webserver vs. Mailserver
• Bounce-Mails vermeiden
• E-Mails autorisieren

  • Sender Policy Framework (SPF)
  • DomainKeys Identified Mail (DKIM)
  • Domain-based Message Authentication, Reporting and Conformance (DMARC)
  • Kann ich DMARC ohne DKIM einrichten?

• Fazit
• Die wichtigsten FAQ zum Thema Autorisierung von E-Mails

Das Problem

Eines direkt vorweg: In diesem Beitrag geht’s ans Eingemachte. Wenn Sie gerade kurz angebunden sind, sollten Sie definitiv wann anders wiederkommen. Es wird technisch, komplex und viel. Wir gehen nämlich der Frage auf den Grund, wie man verhindern kann, dass E-Mails, die direkt über WordPress verschickt werden (z. B. Newsletter), im Spam landen.

Das passiert unglücklicherweise recht häufig, sobald eine kritische Empfängerzahl erreicht ist. Hält sich diese in überschaubaren Grenzen und werden nur vereinzelnd E-Mails verschickt (z. B. bei der Benachrichtigung über einen Kommentar), gibt es in der Regel keine Schwierigkeiten.

Da Sie das hier gerade lesen, haben Sie aber wahrscheinlich genau das Problem – tauchen wir also ein in die Welt des WordPress-E-Mail-Versands!

E-Mails über WordPress verschicken

Es gibt etliche Plug-ins, die das Verschicken von E-Mails über WordPress ermöglichen. Dafür wird typischerweise der Webserver Ihrer CMS-Installation genutzt – und nicht, wie wir später noch ausführlich betrachten, der Mailserver. Technisch gesehen kommt dabei das Script „PHP mail()“ zum Einsatz.

Der Vorteil: Die Nutzer werden nicht damit belastet, sich über die Funktionsweise im Hintergrund Gedanken machen oder technische Einstellungen vornehmen zu müssen. Leider ist genau das jedoch notwendig, um das Spam-Problem zu lösen. Bei großen Mengen stößt der Webserver einfach an seine Grenzen.

Das hat vor allem drei Ursachen:

• Viele Shared-Webhoster limitieren die Anzahl der E-Mails, die per PHP-Script verschickt werden können – oder die Funktion ist gänzlich deaktiviert.
• Webserver verfügen häufig nicht über die notwendige Konfiguration sowie die erforderlichen Zertifikate, um als vertrauenswürdig eingestuft zu werden.
• In manchen Fällen wird vom Empfänger – u. a. aus Gründen des Spam-Schutzes – per Einstellung verlangt, dass E-Mails nicht sofort zugestellt, sondern zu einem späteren Zeitpunkt noch mal verschickt werden, wozu viele Webserver nicht in der Lage sind.

Webserver vs. Mailserver

Auch wenn Sie Ihre Domain und Ihr E-Mail-Postfach vom selben Anbieter haben, hat der Webserver erst mal nichts mit Ihrer E-Mail-Adresse zu tun. Es kann also sein, dass eine E-Mail mit dem Absender info@ihre-domain.de, die vom Webserver verschickt wird, beim Empfänger als Spam angesehen wird, da sie nicht von Ihrem offiziellen Mailserver stammt.

Dieser ist für nichts anderes da, als sich um das Verschicken, Entgegennehmen, Weiterleiten und Bereithalten Ihrer E-Mails zu kümmern. Er wird auch SMTP-Server genannt, wobei „SMTP“ für „Simple Mail Transfer Protocol“ steht und das Standard-Netzwerkprotokoll des Internets zum Übermitteln von E-Mails darstellt.

Sie ahnen es wahrscheinlich bereits: Die erste Maßnahme, um das Spam-Problem zu lösen, sollte sein, dafür zu sorgen, dass E-Mails aus WordPress heraus mittels Mailserver verschickt werden. Dazu benötigen Sie bestimmte Zugangsdaten, die Sie von Ihrem Webspace-Anbieter erhalten:

• SMTP-Host: Domain oder IP-Adresse zu Ihrem Mailserver
• Port zum Mailserver: das „Tor“ zur richtigen Anwendung auf dem Server (Standard: Port 587)
• Art der Verschlüsselung: meistens SSL/TLS
• SMTP-Benutzername
• SMTP-Passwort

Wohin nun mit diesen Daten? Natürlich, in ein Plug-in!

Nutzen Sie bereits ein modernes Plug-in für den Versand von Newslettern (z. B. Mailster), finden Sie dort die Möglichkeit, die entsprechenden Einstellungen vorzunehmen.

Für den reinen Versand von WordPress-E-Mails empfehlen wir Easy WP SMTP, auch wenn es nur das zweitbeliebteste Plug-in im WordPress-Verzeichnis nach WP Mail SMTP von WPForms ist. Easy WP SMTP ist sehr übersichtlich und beschränkt sich aufs Wesentliche. Außerdem ist hier alles gut ins Deutsche übersetzt.

Nach der Installation sowie Aktivierung gelangen Sie über „Einstellungen“ —> „Easy WP SMTP“ zu den Einstellungsmöglichkeiten. Die Zugangsdaten vom Mailserver können Sie direkt unter dem ersten Reiter eintragen. Den zweiten Reiter („Weitere Einstellungen“) können Sie ignorieren, sofern Sie kein Entwickler sind. Sind Sie einer, wissen Sie, was zu tun ist.

Der letzte Reiter ist wiederum für alle relevant. Hier haben Sie die Möglichkeit, eine Test-E-Mail zu verschicken, was Sie unbedingt tun sollten. Ist der Test erfolgreich, haben Sie einen wichtigen Schritt getan, um sicherzustellen, dass E-Mails, die in Verbindung mit Ihrer Domain stehen, fortan nicht mehr als Spam klassifiziert werden.

Sie können aber noch mehr tun!

Bounce-Mails vermeiden

Je älter Ihre Empfängerliste, desto mehr E-Mail-Adressen existieren bereits nicht mehr. Kann ein Newsletter nicht mehr zugestellt werden, erhält Ihr Mailserver eine Benachrichtigung darüber, dass das anvisierte Postfach verschwunden oder voll ist.

Solche sogenannten Bounce-Mails („bounce“ = „abprallen“) darf man auf keinen Fall ignorieren! Senden Sie weiterhin Newsletter an die entsprechenden E-Mail-Adressen, wird das beim Anbieter des Empfängers (z. B. Gmail) negativ registriert und die Wahrscheinlichkeit, dass Sie als Spammer eingestuft und damit alle Ihre Nachrichten blockiert werden, steigt.

Daher sollten Sie Ihre Empfängerliste stets aufräumen, sobald Sie eine Bounce-Mail erhalten.

E-Mails autorisieren

Eines der größten Probleme im Zusammenhang mit dem E-Mail-Versand sind Kriminelle, die E-Mails im Namen anderer verschicken. Heutzutage sind fast alle missbräuchlichen E-Mail-Nachrichten mit gefälschten Absenderadressen versehen.

Werden Sie Opfer, führt das nicht selten zu Vertrauensverlust und E-Mails mit Ihrer Domain-Adresse landen im Spam-Ordner oder werden komplett abgelehnt.

Um dieses Problem zu begrenzen, kann man dem Empfänger mitteilen, wer zum Versand berechtigt ist. Der Mailserver des Empfängers kann dann beim Mailserver des Senders nachfragen, welche Server zum Versand von E-Mails einer bestimmten Domain autorisiert sind.

Diese Vorgehensweise verhindert zwar nicht direkt einen Identitätsklau, macht Ihre E-Mail-Adresse für Cyberkriminelle jedoch uninteressanter. Deshalb ist es absolut sinnvoll, dass Sie die entsprechenden Einstellungen vornehmen und Ihre E-Mails autorisieren.

Zugegeben, jetzt wird’s sehr technisch! Die grundsätzliche Voraussetzung für die folgenden Maßnahmen ist, dass Ihr Hoster Ihnen die Bearbeitung der DNS-Einträge gestattet – und Sie sich bestenfalls ein bisschen mit dem Thema auskennen, um keinen Schaden anzurichten. Falls das nicht der Fall ist, geben Sie die Aufgabe besser in vertrauensvolle Hände.

Sender Policy Framework (SPF)

SPF (Sender Policy Framework) ist ein Verfahren zur Identitätsprüfung des Absenders einer E-Mail. Um daran teilnehmen zu können, müssen Sie die Informationen darüber, welche Mailserver senden dürfen, in den DNS-Einträgen Ihrer Domain hinterlegen.

Es gilt, den DNS-Eintrag vom Typ TXT oder – falls vorhanden – SPF zu konfigurieren. Und zwar nur diesen einen – er wird entweder erweitert oder gekürzt, Sie können nicht mehrere SPF-Records anlegen.

Der Eintrag startet immer mit der Angabe der SPF-Version, die genutzt wird:

v=spf1

Es folgen sogenannte „Mechanismen“, die angeben, welche Server zum Versenden von E-Mails mit einer bestimmten Domain berechtigt sind. Dies geschieht wiederum mithilfe von „Ergebnissen“.

Die wichtigsten Mechanismen:

• a = berechtigt den Server, der als A-Record für die Domain hinterlegt ist
• mx = berechtigt den Server, der als MX-Record hinterlegt ist
• ip4 = berechtigt das IPv4-Netz zur darauffolgenden Adresse (Beispiel: ip4:188.94.26.162)
• ip6 = berechtigt das IPv6-Netz zur darauffolgenden Adresse (Beispiel: ip6:2101:688:4:74::2)
• include = berechtigt zur Übernahme der SPF-Einstellungen der darauffolgenden externen Domain (Beispiel: include:mailchimp.com)
• all = definiert, was in allen anderen Fällen passieren soll (muss immer am Ende stehen)

Die wichtigsten Ergebnisse:

• + = Absender ist autorisiert
• – = Absender ist nicht autorisiert (Hard Fail)
• ~ = Absender ist nicht autorisiert, E-Mail darf aber durchgelassen werden (Soft Fail)

Wird nichts angegeben, wird automatisch von einem „+“ ausgegangen. Eine Übersicht aller Parameter gibt es hier: SPF Record Syntax

Beispiel: v=spf1 a mx ip4:188.94.26.162 ip6:2101:688:4:74::2 include:mailchimp.com ~all

Achtung: Die eigene Domain darf im SPF-Record nicht auftauchen, sonst wird dieser ungültig!

Unterstützung bei der Erstellung des für Sie richtigen Eintrags erhalten Sie in der Regel auch bei Ihrem Webhoster. Im Netz gibt es darüber hinaus einen SPF-Generator.

Wenn Sie nun vor Interesse brennen und noch tiefer in die Thematik einsteigen möchten, können Sie sich u. a. folgenden Beitrag anschauen: „Häufige Fehler beim Erstellen eines SPF-Datensatzes“

Oder Sie lesen erst mal hier weiter, denn wir sind – es tut uns leid – noch immer nicht am Ende der Möglichkeiten angelangt.

DomainKeys Identified Mail (DKIM)

Puh, noch so ein kryptischer Name! Hinter DKIM (DomainKeys Identified Mail) verbirgt sich ebenfalls ein Identifikationsprotokoll zur Sicherstellung der Authentizität von E-Mail-Absendern. Es funktioniert nach einem ähnlichen, aber doch anderen Prinzip als SPF.

Auch das DKIM-Verfahren basiert auf der Kommunikation zwischen dem sendenden und empfangenden Mailserver, wobei der sendende Server den E-Mails eine digitale Signatur hinzufügt, die vom empfangenden Server überprüft werden kann. Dabei wird ein zur Signatur passender öffentlicher Schlüssel abgerufen. Gibt es keine Übereinstimmung, werden die entsprechenden E-Mails blockiert.

Das ist zugegebenermaßen eine sehr vereinfachte Darstellung des Funktionsprinzips, aber wir möchten schnell zur Sache kommen und Sie nicht mit technischen Spezifikationen überfrachten. Wie also wird DKIM eingerichtet?

Zunächst müssen Sie ein Schlüsselpaar generieren, was Sie u. a. mithilfe des DKIM Record Generator von EasyDMARC tun können. Dieser erzeugt einen privaten und einen öffentlichen Schlüssel.

Der private Schlüssel muss auf dem Mailserver hinterlegt werden, was häufig nur Ihr Webhoster erledigen kann. Leider gibt es allerdings beim Erscheinen des Beitrags noch einige Hoster, wie zum Beispiel HostEurope, die noch kein DKIM unterstützen.

Der öffentliche Schlüssel wird – wie der SPF-Record – per DNS-Eintrag (TXT) hinzugefügt. Damit kennen Sie sich ja nun bereits bestens aus!

Erledigt? Gut, denn einen haben wir noch.

Domain-based Message Authentication, Reporting and Conformance (DMARC)

In Sachen Bezeichnung schießt DMARC (Domain-based Message Authentication, Reporting and Conformance) schon mal den Vogel ab. Doch was bewirkt diese Spezifikation?

Während die beiden vorab genannten Verfahren beschreiben, wer eine E-Mail versenden darf (SPF) bzw. dass eine E-Mail unverändert vom angegebenen Absender stammt (DKIM), können via DMARC zusätzliche Empfehlungen über die Art und Weise des Umgangs mit einer E-Mail abgegeben werden, die nicht den SPF- und DKIM-Regeln entsprechen (z. B. in Quarantäne schieben oder als Spam markieren). DMARC baut demnach auf SPF sowie DKIM auf und steht nicht für sich allein.

Auch das DMARC-Verfahren wird mithilfe eines TXT-Eintrags in der DNS-Zone Ihrer Domain integriert. Wie der Code aussehen kann und welche Parameter Ihnen für die gewünschten Einstellungen zur Verfügung stehen, hat u. a. Google gut zusammengefasst: „DMARC-Eintrag hinzufügen“

Haben Sie DMARC erfolgreich eingerichtet, erhalten Sie beispielsweise Berichte darüber, welche Server oder Dritte von Ihrer Domain aus E-Mails verschicken, ob diese die Authentifizierung bestanden und wie die jeweiligen Eingangsserver auf nicht authentifizierte Nachrichten reagiert haben. Wertvolles Wissen, um möglichen Spam-Problemen auf den Grund gehen und angemessene Maßnahmen ergreifen zu können!

Kann ich DMARC ohne DKIM einrichten?

Ja, Sie können DMARC ohne DKIM einrichten und nur DMARC und SPF nutzen. In diesem Fall schlägt die DKIM-Prüfung immer fehl und das DMARC-Authentifizierungsergebnis hängt von der SPF-Prüfung und dem SPF-Kennungsabgleich ab, was zwar funktioniert, aber nicht optimal ist.

Eine E-Mail besteht die DMARC-Authentifizierung, wenn SPF-Authentifizierung oder die DKIM-Authentifizierung bestanden ist. Gibt es keine DMARC-Authentifizierung hängt also alles an SPF. Funktioniert SPF nicht, dann gibt es ein Problem.

Bei einem Eigentest gab es bei einer automatischen Weiterleitung ein Problem:  Vermutlich wurde bei der Weiterleitung die SMTP-From-Adresse (MAILFROM) verändert, so dass die deren Domain nicht mehr gleicht der Header-From-Domain (elbnetz.com) ist. Das diese beiden übereinstimmen ist aber ein Erfordernis der DMARC-Prüfung.

Das Probleme wäre nicht so schlimm, wenn noch eine gültige DKIM-Signatur (von elbnetz.com) in der Mail wäre. Dann würde die DMARC-Prüfung trotzdem positiv enden. Für diese Weiterleitungsfälle sollte man also eine DKIM-Signatur mitsenden. Geht bei uns leider nicht; wir nutzen einen E-Mail-Server bei HostEurope und die können DKIM nicht.

Da aber die meisten E-Mail-Dienste die Möglichkeit bieten, sowohl SPF als auch DKIM einzurichten, sollten Sie auf jeden Fall DKIM neben SPF einrichten.

Fazit

Zunächst einmal großen Respekt: Sie haben es geschafft, diesen Beitrag durchzulesen!

Wenn Sie die darin vorgestellten Möglichkeiten umsetzen, haben Sie gute Chancen, Herr Ihrer Spam-Probleme zu werden. Lassen Sie sich von der Menge des Inputs nicht erschlagen und gehen Sie Schritt für Schritt vor – die Angelegenheit ist zu wichtig, um sie nicht in Angriff zu nehmen.

Und: Testen Sie unbedingt Ihre Konfigurationen. Eine gute Anlaufstelle dafür ist EasyDMARC Domain Scanner.

Wie bereits erwähnt: Sollten Sie Bedenken haben, dass Sie es selbst schaffen, wenden Sie sich am besten an einen Experten (z. B. uns).

Viel Erfolg!
Ihre WordPress Agentur

Was gibt’s NeuesMitwirkendeFreiheitenDatenschutzMitmachen

Wartungs- und Sicherheits-Updates

Version 6.3.2 behob Sicherheitsprobleme und 41 Fehler. Weitere Informationen findest du in den Veröffentlichungsmitteilungen.

Version 6.3.1 behob 10 Fehler. Weitere Informationen findest du in den Veröffentlichungsmitteilungen.

Willkommen bei WordPress 6.3.2

Erstelle schöne und ansprechende Websites effizienter als je zuvor. Egal, ob du eine komplette Website ohne zu programmieren erstellen möchtest oder ein Entwickler bist, der jedes Detail anpassen möchte, WordPress 6.3 bietet dir etwas.

Erledige alles im Website-Editor

Mit WordPress 6.3 werden deine Inhalte, Templates und Vorlagen zum ersten Mal im Website-Editor zusammengeführt. Füge Seiten hinzu, durchsuche Stilvariationen, erstelle synchronisierte Vorlagen und genieße eine fein abgestimmte Kontrolle über deine Navigationsmenüs. Kein zeitaufwändiges Wechseln zwischen verschiedenen Website-Bereichen mehr – jetzt kannst du dich auf das Wesentliche konzentrieren. Von der Erstellung bis zur Fertigstellung, alles an einem Ort.

Erstelle und synchronisiere Vorlagen

Ordne Blöcke unbeschränkt an und speichere sie als Vorlage für die Verwendung auf deiner gesamten Website. Du kannst sogar festlegen, ob deine Vorlagen (früher als „wiederverwendbare Blöcke“ bezeichnet) synchronisiert werden sollen, damit eine Änderung für alle Teile deiner Website gilt. Oder verwende die Vorlagen als Ausgangspunkt und hab die Möglichkeit, jede Instanz anzupassen.

Arbeite schneller mit der Befehlspalette

Wechsle zu einem bestimmten Template oder öffne deine Editoreinstellungen mit einem neuen Werkzeug, das dir hilft, schnell durch erweiterte Funktionen zu navigieren. Mit einfachen Tastenkombinationen (⌘+k auf dem Mac oder Strg+k unter Windows), mit einem Klick auf das Suchsymbol in der Seitenleiste in der Website-Ansicht oder durch einen Klick auf die Titelleiste gelangst du dorthin, wo du hinwillst und erledigst in Sekundenschnelle, was du erledigen musst.

Schärfe deine Designs mit neuen Werkzeugen

Neue Design-Steuerelemente bringen mehr Flexibilität bei der Feinjustierung von Designs, angefangen bei der Möglichkeit, die Stile deiner Beschriftungen ohne Programmierung über die Stile-Schnittstelle anzupassen. Du kannst deine Duotone-Filter in Stilen von unterstützten Blöcken verwalten und aus den Optionen deines Themes auswählen oder sie komplett deaktivieren. Der Block Cover bietet zusätzliche Einstellungen für Textfarbe, Layout-Steuerelemente und Optionen für Ränder, wodurch dieser leistungsstarke Block noch nützlicher wird.

Verfolge Designänderungen mit Stilrevisionen

Du kannst jetzt sehen, wie deine Website zu einem bestimmten Zeitpunkt aussah. Veranschauliche diese Überarbeitungen in einer Zeitleiste und greife auf eine Ein-Klick-Option zur Wiederherstellung früherer Stile zurück.

Erstelle Anmerkungen mit dem Fußnoten-Block

Fußnoten ergänzen deine Inhalte mit praktischen Anmerkungen. Jetzt kannst du für alle Absätze Fußnoten hinzufügen und diese verlinken.

Blende Inhalte mit dem Block Details ein oder aus

Verwende den Block, um keine Überraschungen zu verderben, um einen interaktiven Abschnitt mit Fragen und Antworten zu erstellen oder um einen langen Absatz unter einer Überschrift zu verbergen.

---

Die Performance wurde gesteigert

WordPress 6.3 weist mehr als 170 Leistungsverbesserungen auf, darunter Defer- und Async-Unterstützung für die Skript-API und Fetchpriority-Unterstützung für Bilder. Diese Verbesserungen können die von den Besuchern wahrgenommene Ladezeit deiner Website verringern, ebenso wie die Auflösung von Block-Templates, das Lazy-Loading von Bildern und der Emoji-Loader.

Die Barrierefreiheit bleibt ein zentraler Schwerpunkt

Durch die Integration von mehr als 50 Verbesserungen in der Barrierefreiheit auf der gesamten Plattform ist WordPress 6.3 zugänglicher als je zuvor. Verbesserte Beschriftung, optimierte Tab- und Pfeiltastennavigation, überarbeitete Überschriften-Hierarchie und neue Steuerelemente im Admin-Bildeditor ermöglichen allen, die unterstützende Technologien verwenden, eine einfachere Navigation.

---

Lass dir Block-Themes in der Vorschau anzeigen

Lerne Block-Themes kennen, bevor du wechselst und schau dir den Website-Editor mit den Optionen zur direkten Anpassung an, bevor du dich für ein neues Theme entscheidest.

Lege das Seitenverhältnis für Bilder fest

Lege deine Seitenverhältnisse fest und achte auf die Integrität des Designs, insbesondere bei der Verwendung von Bildern in Vorlagen.

Erstelle deine Website ohne Ablenkung

Ablenkungsfreie Gestaltung ist jetzt im Website-Editor verfügbar.

Entdecke die obere Werkzeugleiste neu

Eine überarbeitete obere Werkzeugleiste bietet übergeordnete Selektoren für verschachtelte Blöcke, Optionen für die Auswahl mehrerer Blöcke und eine neue Schnittstelle, die in die Titelleiste eingebettet ist und neue Funktionen bietet.

Verbesserungen der Listenansicht

Ziehe per Drag-and-drop auf jede Inhaltsebene und lösche jeden gewünschten Block in der aktualisierten Listenansicht.

Erstelle Templates mit Vorlagen

Erstelle einzigartige Vorlagen, um die Template-Erstellung mit einem neuen Modal zu starten, das den Zugang zur Vorlagenauswahl ermöglicht.

---

Weitere Informationen über WordPress 6.3.2

Learn WordPress ist eine kostenlose Ressource für neue und erfahrene WordPress-Benutzer. Learn bietet Anleitungsvideos zur Verwendung verschiedener WordPress-Funktionen, interaktive Veranstaltungen zur Vertiefung von Themen und Unterrichtspläne, um tief in bestimmte Bereiche von WordPress einzutauchen.

Schau dir die neueste Version des WordPress-Field-Guides (engl.) an. Er ist voll mit detaillierten Hinweisen für die Entwicklungsarbeit, die dir dabei helfen, mit WordPress zu arbeiten.

Lies die WordPress-6.3-Veröffentlichungshinweise (engl.) für weitere Informationen über enthaltene Verbesserungen und behobene Probleme, Installation, Hinweise zur Entwicklung und zu den Ressourcen, die Mitwirkenden der Veröffentlichung und die Liste der Datei-Änderungen in dieser Version.