Sicherheitslücken im WordPress-Design

In diesem Abschnitt finden Sie die neuesten Sicherheitslücken in WordPress-Designs, die offengelegt werden sollen. Sie sehen die gleichen Informationen wie oben für anfällige Plugins, und es gelten die gleichen Ratschläge. Wenn ein Sicherheitsupdate vorhanden ist, installieren Sie es sofort. Wenn eine Schwachstelle in einem Design, das Sie aktiv verwenden, nicht gepatcht wird, müssen Sie ein alternatives Design finden. Deaktiviere und lösche dauerhaft ungepatchte Themes und solche, die im WordPress.org-Theme-Repository „geschlossen“ wurden. Wenn Sie ein anfälliges Design installiert haben, das Sie nicht aktiv verwenden, löschen Sie es einfach.

Real Estate Directory

ThemeReal Estate DirectoryTheme Slugreal-estate-directoryDownloads3,569VulnerabilityAuthenticated Arbitrary Plugin ActivationPatched in Version1.0.6Severity ScoreMediumCVE2023-28532The vulnerability has been patched, so you should update to version 1.0.6.

NewsMag

ThemeNewsMagTheme SlugnewsmagDownloads338,702VulnerabilityReflected Cross Site Scripting (XSS)Patched in VersionNo FixSeverity ScoreMediumCVE2023-28493The vulnerability has not been patched. You should switch themes.

Mediciti Lite

ThemeMediciti LiteTheme Slugmediciti-liteDownloads20,184VulnerabilityReflected Cross Site Scripting (XSS)Patched in VersionNo FixSeverity ScoreMediumCVE2023-28418The vulnerability has not been patched. You should switch themes.

Chankhe

ThemeChankheTheme SlugchankheDownloads3,083VulnerabilityAuthenticated Arbitrary Plugin ActivationPatched in VersionNo FixSeverity ScoreMediumCVE2023-28416The vulnerability has not been patched. You should switch themes.

Zuletzt aktualisiert am 7. Januar 2020

BackupBuddy Deployment ist eine neue Funktion in BackupBuddy 6.0, mit der Sie Änderungen einfach zwischen zwei WordPress-Sites übertragen oder ziehen können. In diesem Beitrag behandeln wir, wie Sie eine WordPress-Staging-Site mit dem WordPress-Backup-Plugin BackupBuddy einrichten.

Mit der Bereitstellung in BackupBuddy können Sie die Datenbank, Mediendateien, Plugins und das aktive Design einer WordPress-Site zwischen einer Staging-Site (oder Test-/Entwicklungssite) und einer Live-Site hin und her verschieben oder ziehen, sodass Sie auf einer Site und dann entwickeln können Push-Änderungen auf eine andere übertragen, sodass Sie nie wieder auf einer Live-Site entwickeln müssen.

Verwenden einer WordPress-Staging-Site in Ihrem WordPress-Entwicklungsworkflow

WordPress Staging ist eine Methode zur Entwicklung von WordPress-Websites an einem anderen Ort als Ihrer Live-WordPress-Site. WordPress-Staging kann aus zwei oder drei separaten Websites mit separaten URLs bestehen.

Beispielsweise haben Sie möglicherweise eine Staging-Site (Test-Site) und eine Live-Site (Produktions-Site).

• Beispiel: Sie könnten Ihre Site der Einfachheit halber lokal auf Ihrem Computer entwickeln und sie dann auf der Staging-Site (Test) auf demselben Server (aber unter einer anderen URL) wie die Live-Site bereitstellen, um sie Clients vorzuführen oder die Serverkompatibilität sicherzustellen usw. Sobald Sie zufrieden sind, können Sie die Änderungen an die Live-Produktionsseite übertragen.
• Beispiel: Wenn Sie ein größeres Plugin-Update ausprobieren möchten, sich aber vergewissern möchten, dass es die Live-Site nicht beschädigt, können Sie zu Ihrer Staging-Site gehen und dann die Live-Site herunterziehen. Nachdem Sie überprüft haben, dass alles wie erwartet funktioniert, können Sie die Änderungen entweder auf die Live-Site zurückschieben oder direkt zur Produktions-Site gehen und das Plugin dort aktualisieren.

Stellen Sie mit BackupBuddy Deployment mit wenigen Klicks Änderungen von einer Staging-Site auf eine Live-Site bereit

BackupBuddy verwendet ein neues Remote-Ziel „BackupBuddy Deployment“, um Ihre WordPress-Staging-Site und Ihre Live-Site zu verbinden. Wenn Sie den Bereitstellungsprozess einleiten, werden die Inhalte der Zielsite (der Site, auf die Sie pushen) nach Bedarf überschrieben.

Während der Bereitstellung wird Ihnen ein kontinuierlicher Status des Prozesses angezeigt und Sie haben die Möglichkeit, die Änderungen zu testen und die Datenbankänderungen rückgängig zu machen, bevor Sie sie dauerhaft machen.

• Sehen Sie sich vor der Bereitstellung Unterschiede in den Standortservereinstellungen, aktiven Plugins, Designs, Versionen und Medien an.
• Optionen zum Übertragen der Datenbank (alle Tabellen, einige oder keine), Plugins, Design und/oder Medien.
• Automatische Migration von URLs, Pfaden und anderen Einstellungen genauso wie manuelle Migrationen.
• Beobachten Sie den Bereitstellungsfortschritt genau wie bei einem normalen Backup und zeigen Sie einen kontinuierlichen Status an, einschließlich eines detaillierten erweiterten Statusprotokolls des gesamten Prozesses, alles an einem Ort.
• Möglichkeit, die Datenbankänderungen mit einem Klick rückgängig zu machen, wenn etwas schief geht, bevor Sie die Bereitstellung bestätigen, sobald Sie zufrieden sind.
• Automatisches Aufteilen von Daten, die zwischen Servern übertragen werden, um große Dateien oder langsame Server zu unterstützen.
• Tauscht Datenbanken erst aus, nachdem die gesamte Datenbank und alle Dateien übertragen wurden, um zu versuchen, die Ausfallzeit der Site auf wenige Sekunden (oder weniger!) zu minimieren.
• Perfekt für die Entwicklung Ihrer Website an einem anderen Ort als der Live-Website. Verwenden Sie Best Practices für die Bereitstellung.

So richten Sie eine WordPress-Staging-Site mit BackupBuddy-Bereitstellung ein

Die superschnelle Version dieses Tutorials sieht ungefähr so ​​aus:

1. Erstellen Sie eine Sicherungskopie Ihrer Live-Site.
2. Erstellen Sie eine Staging-(Test-)Site, indem Sie Ihr Backup auf einer neuen Domain wiederherstellen (z. B. dev.yourdomain.com).
3. Füge define( ‚BACKUPBUDDY_API_ENABLE‘, true ) hinzu; in die Datei wp-config.php deiner Live-Site.
4. Gehen Sie auf der Live-Site zu BackupBuddy > Remote-Ziele und wählen Sie oben auf der Seite Bereitstellungsschlüssel anzeigen aus
5. Kopieren Sie den angegebenen Schlüssel.
6. Gehen Sie auf Ihrer Staging-Site zu BackupBuddy > Remote-Ziele und klicken Sie auf die Option Neu hinzufügen und wählen Sie dann BackupBuddy-Bereitstellung.
7. Fügen Sie den API-Schlüssel , den Sie von der Live-Site kopiert haben, in Ihre Staging-Site ein.

Die längere, ausführlichere Version dieses Tutorials:

1. Gehen Sie auf Ihrer Live-Site zu BackupBuddy > Remote Destinations und wählen Sie dann die Schaltfläche „ Show Deployment Key “ oben auf der Seite.

Wenn Sie die Bereitstellung auf dieser Site zum ersten Mal einrichten, werden Sie aufgefordert, die folgende Zeile zur Datei wp-config.php Ihrer Live-Site hinzuzufügen. define( ‚BACKUPBUDDY_API_ENABLE‘, true );

Nachdem du diese Zeile zu deiner wp-config.php-Datei deiner Live-Site hinzugefügt hast, aktualisiere die Seite und wähle erneut „Bereitstellungsschlüssel anzeigen“ , um den Schlüssel anzuzeigen ). Sie sehen einen Bereitstellungs-API-Schlüssel, der ungefähr so ​​aussieht: eyJrZXlfdmVyc2lvbiI6MSwia2V5X3B1YmxpYyI6IjXiMzJmZjJmZjEzODhl OWRmNzA5YzFkY2NkYzNlMzY2Iiwia2V5X3NlY3JldCI6IjM5ZWM1NWE3YjJi ZmY3OWIwYTAyOTNlZmYxMxODczIiwia2V5X2NyZWF0ZWQiOjE0MjExMTAwOT UsInNpdGV1cmwiOiJodHRwsdml84sC9iYWNrdXBidWRkeTIiLCJob21ldXJs IjoiaHR0cDpsdjc98wjDXXYaVwYnVkZHkyIn0=

2. Kopieren Sie diesen Schlüssel. Sie geben diesen Schlüssel in Ihre Staging-Site ein.

3. Gehen Sie auf Ihrer Staging-Site zur Seite BackupBuddy > Remote-Ziele und klicken Sie auf die Registerkarte „ + Neu hinzufügen. ” Wählen Sie das Ziel „BackupBuddy Deployment“.

4. Geben Sie den API-Schlüssel ein, den Sie von Ihrer Live-Site kopiert haben. Sie können das Ziel jetzt testen und hinzufügen. Die Einrichtung ist jetzt abgeschlossen!

Push & Pull von Änderungen von der Staging-Site zur Live-Site

1. Gehen Sie zu der Site, von der Sie Pushen oder Pullen möchten.

2. Gehen Sie zur Seite BackupBuddy > Remote-Ziele und wählen Sie die Registerkarte „Meine Bereitstellungssite“ , die Sie während des Setups hinzugefügt haben.

3. Wählen Sie „Push to“ oder „Pull from“, je nachdem, was Sie tun möchten.

4. Ihnen werden Informationen zu beiden Seiten und deren Serverkonfiguration angezeigt, einschließlich WordPress- und Plugin-Versionen, Medieninformationen, Datenbanktabellen, Laufzeitdetails und mehr.

5. Wählen Sie aus, welche Daten Sie übertragen möchten, einschließlich Datenbanktabellen, Mediendateien, Plugins und Designdateien.

6. Klicken Sie auf „Begin Push/Pull“ , um den Vorgang zu starten. Sie erhalten eine Statusanzeige, die einen Überblick über den aktuellen Fortschritt einschließlich der übertragenen Dateien einschließlich eines detaillierten Statusprotokolls gibt.

7. Testen Sie die Zielseite, um sicherzustellen, dass alles in Ordnung aussieht, und klicken Sie dann auf „Änderungen bestätigen“ , um diese Änderungen abzuschließen. Wenn Sie die Änderungen nicht innerhalb von 12 Stunden bestätigen, gelten sie als abgeschlossen.

Wenn Sie mit den Änderungen nicht zufrieden sind, wählen Sie „Datenbankänderungen rückgängig machen“, um auf die Datenbank zurückzusetzen, die vor dem Bereitstellungsprozess vorhanden war.

Um eine Zusammenfassung der übertragenen Dateien anzuzeigen, besuchen Sie die Seite BackupBuddy > Remote-Ziele erneut. Von hier aus können Sie Übertragungs- und Statusinformationen anzeigen.

Staging Best Practices

Beim Pushen und Pullen zwischen Sites ist es wichtig, dass Sie nur die Inhalte senden, die Sie auf der Zielsite überschreiben möchten. Zum Beispiel möchten Sie wahrscheinlich darauf verzichten, die WordPress-Kommentare auf Ihrer Entwicklungsseite an Ihre Produktionsseite zu senden, damit Kommentare nicht überschrieben werden.

BackupBuddy führt keine Datenbankinhalte „zusammen“. Ganze Tabellen werden entweder gesendet oder nicht gesendet. Sie können etwas Ähnliches wie bei einer Zusammenführung tun, indem Sie eine oder mehrere Tabellen von der Bereitstellung ausschließen. Nicht gesendete Tabellen führen dazu, dass die vorhandene Datenbanktabelle unverändert bleibt.

Weitere wichtige Hinweise zur Bereitstellung von BackupBuddy

• Mindestens eine Website muss auf die andere URL zugreifen können. Zum Pushen muss diese Ziel-URL beispielsweise vom Quellcomputer aus zugänglich sein.
• Nur aktive Designdateien werden aktualisiert und beide Sites müssen zu diesem Zeitpunkt dasselbe aktive Design haben.
• Sites müssen über genügend Ressourcen verfügen, um Dateien sichern, wiederherstellen und Verbindungen zum Senden von Dateien (z. B. über curl) herstellen zu können. BackupBuddy sollte für die normale Funktionalität voll funktionsfähig sein, bevor Sie Bereitstellungen versuchen.
• Beim Übertragen von Dateien dürfen Dateien, die auf dem anderen Server gelöscht wurden, nicht aus der Ferne gelöscht werden.
• Beim Übertragen von Dateien werden leere Verzeichnisse nicht übertragen.
• Die Windows-Unterstützung ist derzeit experimentell und wird derzeit nicht unterstützt. Die Unterstützung für die Windows-Bereitstellung ist in Bearbeitung.
• Es wird empfohlen, dass der Remote-Server einen Admin-Benutzer mit demselben Benutzernamen wie der lokale Server hat. Wenn dies nicht der Fall ist, kann beim Abrufen des Servers nach der Wiederherstellung eine Abmeldung erfolgen. Wir versuchen, dies zu umgehen, aber einige Setups können dennoch zu einer Abmeldung führen.

Holen Sie sich jetzt BackupBuddy mit Bereitstellung

Beschleunigen Sie Ihren WordPress-Entwicklungsworkflow mit Deployment in BackupBuddy, dem 3-in-1- Plugin für WordPress-Backups . Zusätzlich zur Bereitstellung bietet BackupBuddy eine Menge anderer entwicklungsorientierter Funktionen, wie die WordPress-Migration , die Möglichkeit, WordPress zu klonen und mehr.

Geschrieben von iThemes-Redaktionsteam an 14. Dezember 2022

Zuletzt aktualisiert am 14. Dezember 2022

Diese Woche Im iThemes Vulnerability Report werden Sie feststellen, dass es eine ungepatchte Schwachstelle im WordPress-Core gibt. Diese Schwachstelle wurde von Thomas Chauchefoin gemeldet und betrifft derzeit alle Versionen von WordPress. Die wahrscheinliche Ausnutzung dieser Schwachstelle ist jedoch sehr gering, und um sich vollständig zu schützen, müssen Sie lediglich XML-RPC oder Pingbacks auf Ihrer WordPress-Site deaktivieren.

Was diese Schwachstelle für Ihre Website bedeutet

Obwohl ein vollständiger Proof of Concept noch nicht von WPScan veröffentlicht wurde, können wir einige fundierte Vermutungen darüber anstellen, wie diese Schwachstelle ausgenutzt werden kann. Sie sagen:

„WordPress ist von einer nicht authentifizierten blinden SSRF in der Pingback-Funktion betroffen. Aufgrund einer TOCTOU-Rennbedingung zwischen den Validierungsprüfungen und der HTTP-Anfrage können Angreifer interne Hosts erreichen, die ausdrücklich verboten sind.“

Um diese Schwachstelle auszunutzen, würde ein Angreifer WordPress-Pingbacks verwenden, wäre aber dazu gezwungen, dies in Kombination mit anderen Schwachstellen zu tun.

Um eine Schwachstelle wie diese auszunutzen, um einer WordPress-Site irgendeinen Schaden zuzufügen, wäre diese Schwachstelle nur nützlich, wenn sie mit anderen ernsteren Schwachstellen auf einer nicht gepatchten oder unsicheren WordPress-Site verwendet wird.

Offiziell hat das Sicherheitsteam von WordPress.org erklärt, dass es sich um eine Schwachstelle mit niedriger Priorität handelt. Insbesondere sagten sie dem Daily Swig :

„… dies ist ein Problem mit geringen Auswirkungen, und um es auszunutzen, muss es mit zusätzlichen Schwachstellen in Software von Drittanbietern [verkettet] werden. Daher betrachtet das Sicherheitsteam das Problem als gering.“

Sie fügten hinzu: „Aufgrund seines geringen Schweregrades diskutiert das Team, ob dieses Problem als allgemeine Härtungsmaßnahme öffentlich behoben werden könnte.“

Dies unterstreicht die Schwierigkeit, Sicherheitsfixes zu so vielen älteren Versionen von WordPress hinzuzufügen. Jahrelang hat das Kernteam Patches auf Versionen zurückportiert, die viele Jahre alt waren und nur von wenigen Nachzüglerseiten verwendet wurden, die noch nicht aktualisiert wurden. Die jüngste Entscheidung des Kernteams, ältere Versionen nicht mehr zurückzuportieren, wird die Behebung dieser Art von Problemen für das WordPress-Kernteam einfacher und schneller machen.

So schützen Sie Ihre Website

Da Pingbacks der offensichtliche Schwachpunkt sind, der diskutiert wird, ist das Deaktivieren von Pingbacks und/oder XML-RPC ein guter erster Schritt.

Wenn Sie Ihre WordPress-Site auf dem neuesten Stand halten und sich auf einem zuverlässigen Hosting mit einer starken und sicheren Infrastruktur befinden, ist die Wahrscheinlichkeit einer Ausnutzung dieser Schwachstelle extrem gering.

Wenn Sie Ihre Website so sicher wie möglich halten möchten, ist es am besten, Pingbacks oder XML-RPC zu deaktivieren. Glücklicherweise bietet Ihnen iThemes Security die Möglichkeit, beides zu tun.

So deaktivieren Sie XML-RPC mit iThemes Security

Das Deaktivieren von XML-RPC mit iThemes Security ist unglaublich einfach. Gehen Sie zu Sicherheit > Einstellungen > Erweitert > WordPress-Optimierungen und verwenden Sie dann das Dropdown-Menü, um XML-RPC zu deaktivieren.

Es kann Fälle geben, in denen Sie XML-RPC benötigen. Diese beinhalten:

• Wenn Sie eine alte Website haben, die Sie nicht auf Version 4.4 oder höher aktualisieren können, haben Sie keinen Zugriff auf die REST-API und verwenden möglicherweise Dienste, die XML-RPC erfordern.
• Sie verwenden ein Programm, das nicht auf die REST-API zugreifen kann, um mit Ihrer Website zu kommunizieren.
• Integration mit einigen Apps von Drittanbietern, die nur XML-RPC verwenden können.

Das Deaktivieren von XML-RPC ist mit iThemes Security ein einfacher Vorgang. Sie können dies ausschalten und die Funktionalität Ihrer Website testen, und wenn etwas nicht richtig zu funktionieren scheint, können Sie es wieder einschalten.

Dies sind Situationen, in denen es sinnvoll ist, einen Staging-Server einzurichten, damit Sie Änderungen testen können, bevor Sie sie auf Ihre Produktionssite anwenden.

Stummschalten der Schwachstelle in Ihrem iThemes Site Scan

Natürlich benachrichtigt Sie der Site-Scanner von iThemes Security über diese Schwachstelle. Da es in naher Zukunft nicht vom Kernteam behoben wird, könnte es sinnvoll sein, der Warnungsermüdung vorzubeugen, indem diese Schwachstelle im Site-Scanner stummgeschaltet wird. Weitere Informationen zum Stummschalten von Schwachstellenwarnungen finden Sie in unserer Hilfedokumentation .

Fazit

Obwohl diese Sicherheitsanfälligkeit nicht gepatcht ist, stellt sie ein sehr geringes Risiko für Besitzer von WordPress-Sites dar. Wenn auf Ihrer Website XML-RPC bereits deaktiviert ist, sind Sie bereits geschützt. Pingbacks sind eine der Legacy-Funktionen von WordPress, die in einigen Fällen nützlich sein können, aber es ist keine Funktion, die von vielen modernen Websites verwendet wird. Dies ist einer der Fälle, in denen es hilfreich ist, ein Sicherheits-Plugin wie iThemes Security installiert zu haben, damit Sie schnell Maßnahmen ergreifen können, um Ihre Website gegen Angreifer zu schützen, selbst wenn die betreffende Schwachstelle von geringer Schwere ist.

WordPress Core – Unauthenticated Blind SSRF

Our security researchers were surprised to discover a low-hanging code vulnerability in WordPress Core that we will discuss in this blog post.

by simon scannell and thomas chauchefoin|September 06, 2022

WordPress ist das weltweit beliebteste Content-Management-System und wird von über 40 % aller Websites verwendet . Diese breite Akzeptanz macht es zu einem Top-Ziel für Bedrohungsakteure und Sicherheitsforscher, die für das Melden von Sicherheitsproblemen über ihr öffentliches Bug-Bounty-Programm bezahlt werden.

Vulnerability Broker sind auch sehr daran interessiert, ungepatchte Schwachstellen zu erwerben, die es ihnen ermöglichen, WordPress-Instanzen zu übernehmen, und bieten manchmal bis zu 300.000 US-Dollar für kritische Schwachstellen. Als solches hat WordPress eine stark überprüfte Codebasis, in der von Forschern nicht mehr erwartet wird, dass sie niedrig hängende Früchte finden. Unsere bisherigen Recherchen zu diesem Ziel erforderten umfangreiche Fachkenntnisse und Anstrengungen, um Sicherheitsprobleme aufzudecken.

Dieser Blogbeitrag beschreibt eine überraschend einfache Schwachstelle in der WordPress-Implementierung von Pingbacks. Während die Auswirkungen dieser Schwachstelle im Falle von WordPress für die meisten Benutzer gering sind, ist das damit verbundene anfällige Codemuster ziemlich interessant zu dokumentieren, da es wahrscheinlich auch in den meisten Webanwendungen vorhanden ist. Das Ziel dieses Blogbeitrags ist es, über dieses Muster aufzuklären und das Bewusstsein zu schärfen.

Offenlegung

Diese Schwachstelle wurde WordPress am 21. Januar gemeldet; es ist noch keine Lösung verfügbar. Bitte lesen Sie den Abschnitt Patch , um eine Anleitung zu möglichen Korrekturen zu erhalten, die Sie auf Ihre WordPress-Instanzen anwenden können.

Es ist das erste Mal, dass wir Details über eine ungepatchte Schwachstelle veröffentlichen, und diese Entscheidung wurde uns nicht leicht gemacht. Dieses Problem wurde erstmals vor etwa sechs Jahren im Januar 2017 von einem anderen Forscher und zahlreichen anderen im Laufe der Jahre gemeldet. Nach unserem Bericht und weiteren Untersuchungen konnten wir auch mehrere öffentliche Blog-Posts identifizieren, die dasselbe Verhalten dokumentieren wie der, über den wir heute berichten werden.

Aufgrund der geringen Auswirkungen in der vorliegenden Form, der vorherigen Veröffentlichung und der Notwendigkeit, sie mit zusätzlichen Schwachstellen in Software von Drittanbietern zu verketten, glauben wir, dass diese Version WordPress-Benutzer nicht gefährdet und ihnen nur helfen kann, ihre Instanzen zu härten.

Einfluss

Wir konnten keine Möglichkeiten finden, dieses Verhalten zu nutzen, um anfällige Instanzen zu übernehmen, ohne auf andere anfällige Dienste angewiesen zu sein.

Es könnte die Ausnutzung anderer Schwachstellen im internen Netzwerk der betroffenen Organisation erleichtern, beispielsweise durch die Verwendung einer der jüngsten Confluence OGNL-Injektionen, der epischen Remote-Code-Ausführung in Jenkins, die von @orange_8361 gefunden wurde , oder einer der anderen von AssetNote dokumentierten Ketten .

Technische Details

Verwendung des anfälligen Konstrukts in der Pingback-Funktion

Pingbacks sind eine Möglichkeit für Blogautoren, benachrichtigt und angezeigt zu werden, wenn andere „befreundete“ Blogs auf einen bestimmten Artikel verweisen: Sie werden neben Kommentaren angezeigt und können frei akzeptiert oder abgelehnt werden. Unter der Haube müssen Blogs HTTP-Anfragen aneinander senden, um das Vorhandensein von Links zu identifizieren. Auch Besucher können diesen Mechanismus auslösen.

Diese Funktion wurde vielfach kritisiert, da sie es Angreifern ermöglicht, verteilte Denial-of-Service-Angriffe durchzuführen, indem sie böswillig Tausende von Blogs auffordern, auf einem einzelnen Server des Opfers nach Pingbacks zu suchen. Pingbacks sind auf WordPress-Instanzen immer noch standardmäßig aktiviert, da soziale und Community-Funktionen für das persönliche Bloggen wichtig sind. Es wird jedoch nicht erwartet, dass diese Anfragen an andere interne Dienste gesendet werden, die auf demselben Server oder lokalen Netzwerksegment gehostet werden.

Die Pingback-Funktionalität wird auf der XML-RPC-API von WordPress bereitgestellt. Zur Erinnerung: Dies ist ein API-Endpunkt, der XML-Dokumente erwartet, in denen der Client eine aufzurufende Funktion zusammen mit Argumenten auswählen kann.

Eine der implementierten Methoden ist pingback.ping und erwartet die Argumente pagelinkedfrom und pagelinkedto : Das erste ist die Adresse des Artikels, der auf das zweite verweist.

pagelinkedto muss auf einen bestehenden Artikel der lokalen Instanz zeigen, hier http://blog.tld/?p=1 , und pagelinkedfrom auf die externe URL, die einen Link zu pagelinkedto enthalten soll .

Unten sehen Sie, wie eine Anfrage an diesen Endpunkt aussehen würde:

POST /xmlrpc.php HTTP/1.1
Host: blog.tld
[...]
<methodCall>
   <methodName>pingback.ping</methodName>
  <params>
    <param>
      <value><string>http://evil.tld</string></value>
    </param>
    <param>
      <value><string>http://blog.tld/?p=1</string></value>
    </param>
  </params>
</methodCall>

Implementierung der URL-Validierung

Die WordPress-Core-Methode wp_http_validate_url() führt einige Überprüfungen der vom Benutzer bereitgestellten URLs durch, um das Missbrauchsrisiko zu verringern. Zum Beispiel:

1. Das Ziel darf keinen Benutzernamen und kein Passwort enthalten;
2. Der Hostname darf folgende Zeichen nicht enthalten: #:?[]
3. Der Domänenname sollte nicht auf eine lokale oder private IP-Adresse wie 127.0.0.1, 192.168.* usw. verweisen.
4. Der Zielport der URL muss entweder 80, 443 oder 8080 sein.

Der dritte Schritt kann das Auflösen von Domänennamen beinhalten, falls sie in der URL vorhanden sind (z. B. http://foo.bar.tld ). In diesem Fall wird die IP-Adresse des Remote-Servers ermittelt, indem die URL analysiert [1] und später aufgelöst wird [2] , bevor sie validiert wird, um nicht öffentliche IP-Bereiche auszuschließen:

src/wp-includes/http.php

$parsed_url = parse_url( $url ); // [1]
// [...]
$ip = gethostbyname( $host );    // [2]
    	if ( $ip === $host ) { 
           // Error condition for gethostbyname().
        	return false;
    	}
     // IP validation happens here
}
// [...]

Der Validierungscode scheint korrekt implementiert zu sein, und die URL gilt jetzt als vertrauenswürdig. Was passiert als nächstes?

Implementierung des/der HTTP-Client(s)

Zwei HTTP-Clients können Pingback-Anfragen verarbeiten, nachdem sie die URL validiert haben, basierend auf verfügbaren PHP-Funktionen: Requests_Transport_cURL und Requests_Transport_fsockopen . Sie sind beide Teile der Requests- Bibliothek, die unabhängig voneinander unter dem Dach von WordPress entwickelt wurden.

Werfen wir einen Blick auf die Implementierung des letzteren. Wir wissen, dass es die PHP-Streams-API von seinem Namen verwendet. Es arbeitet auf der Transportebene, und der Client muss die HTTP-Anforderung manuell erstellen. Die URL wird erneut mit parse_url() geparst und dann wird ihr Host – Teil verwendet, um ein Ziel zu erstellen, das mit der PHP-Streams-API kompatibel ist (z. B. tcp://host:port ):

wp-includes/Requests/Transport/fsockopen.php

public function request($url, $headers = array(), $data = array(), $options = array()) {
    // [...]
    $url_parts = parse_url($url);
    // [...]
    $host = $url_parts['host'];
    else {
        $remote_socket = 'tcp://' . $host;
    }
    // [...]
    $remote_socket .= ':' . $url_parts['port'];

Weiter entfernt wird dieses Ziel verwendet, um mit stream_socket_client() einen neuen Stream zu erstellen , und die HTTP-Anforderung wird erstellt und dorthin geschrieben:

wp-includes/Requests/Transport/fsockopen.php

​​$socket = stream_socket_client($remote_socket, $errno, $errstr, ceil($options['connect_timeout']), STREAM_CLIENT_CONNECT, $context);
// [...]
$out = sprintf("%s %s HTTP/%.1F\r\n", $options['type'], $path, $options['protocol_version']);
// [...]
if (!isset($case_insensitive_headers['Host'])) {
    $out .= sprintf('Host: %s', $url_parts['host']);
    // [...]
}
// [...]
fwrite($socket, $out);

Wie wir sehen können, impliziert dieser Prozess eine andere DNS-Auflösung, sodass stream_socket_client() die IP des Hosts identifizieren kann, um die Pakete zu senden.

Das Verhalten des anderen HTTP-Clients, cURL, ist sehr ähnlich und wird hier nicht behandelt.

Die Schwachstelle

Dieses Konstrukt hat ein Problem: Der HTTP-Client muss die URL erneut analysieren und den Hostnamen erneut auflösen, um seine Anfrage zu senden. In der Zwischenzeit könnte ein Angreifer die Domain so geändert haben, dass sie auf eine andere Adresse als die zuvor validierte verweist!

Diese Fehlerklasse wird auch Time-of-Check-Time-of-Use genannt: Eine Ressource wird validiert, kann aber später vor ihrer effektiven Verwendung geändert werden. Es ist üblich, solche Schwachstellen in Abwehrmaßnahmen gegen serverseitige Anforderungsfälschungen (SSRF) zu finden. Wir haben in unserem Code Security Adventskalender 2021 sogar eine Herausforderung veröffentlicht, die auf diesem anfälligen Codemuster basiert.

https://platform.twitter.com/embed/Tweet.html?creatorScreenName=sonarsource&dnt=false&embedId=twitter-widget-0&features=eyJ0ZndfdGltZWxpbmVfbGlzdCI6eyJidWNrZXQiOlsibGlua3RyLmVlIiwidHIuZWUiLCJ0ZXJyYS5jb20uYnIiLCJ3d3cubGlua3RyLmVlIiwid3d3LnRyLmVlIiwid3d3LnRlcnJhLmNvbS5iciJdLCJ2ZXJzaW9uIjpudWxsfSwidGZ3X2hvcml6b25fdGltZWxpbmVfMTIwMzQiOnsiYnVja2V0IjoidHJlYXRtZW50IiwidmVyc2lvbiI6bnVsbH0sInRmd190d2VldF9lZGl0X2JhY2tlbmQiOnsiYnVja2V0Ijoib24iLCJ2ZXJzaW9uIjpudWxsfSwidGZ3X3JlZnNyY19zZXNzaW9uIjp7ImJ1Y2tldCI6Im9uIiwidmVyc2lvbiI6bnVsbH0sInRmd19zaG93X2J1c2luZXNzX3ZlcmlmaWVkX2JhZGdlIjp7ImJ1Y2tldCI6Im9uIiwidmVyc2lvbiI6bnVsbH0sInRmd19jaGluX3BpbGxzXzE0NzQxIjp7ImJ1Y2tldCI6ImNvbG9yX2ljb25zIiwidmVyc2lvbiI6bnVsbH0sInRmd190d2VldF9yZXN1bHRfbWlncmF0aW9uXzEzOTc5Ijp7ImJ1Y2tldCI6InR3ZWV0X3Jlc3VsdCIsInZlcnNpb24iOm51bGx9LCJ0Zndfc2Vuc2l0aXZlX21lZGlhX2ludGVyc3RpdGlhbF8xMzk2MyI6eyJidWNrZXQiOiJpbnRlcnN0aXRpYWwiLCJ2ZXJzaW9uIjpudWxsfSwidGZ3X2V4cGVyaW1lbnRzX2Nvb2tpZV9leHBpcmF0aW9uIjp7ImJ1Y2tldCI6MTIwOTYwMCwidmVyc2lvbiI6bnVsbH0sInRmd19kdXBsaWNhdGVfc2NyaWJlc190b19zZXR0aW5ncyI6eyJidWNrZXQiOiJvbiIsInZlcnNpb24iOm51bGx9LCJ0ZndfdmlkZW9faGxzX2R5bmFtaWNfbWFuaWZlc3RzXzE1MDgyIjp7ImJ1Y2tldCI6InRydWVfYml0cmF0ZSIsInZlcnNpb24iOm51bGx9LCJ0Zndfc2hvd19ibHVlX3ZlcmlmaWVkX2JhZGdlIjp7ImJ1Y2tldCI6Im9uIiwidmVyc2lvbiI6bnVsbH0sInRmd19zaG93X2dvdl92ZXJpZmllZF9iYWRnZSI6eyJidWNrZXQiOiJvZmYiLCJ2ZXJzaW9uIjpudWxsfSwidGZ3X3Nob3dfYnVzaW5lc3NfYWZmaWxpYXRlX2JhZGdlIjp7ImJ1Y2tldCI6Im9mZiIsInZlcnNpb24iOm51bGx9LCJ0ZndfdHdlZXRfZWRpdF9mcm9udGVuZCI6eyJidWNrZXQiOiJvbiIsInZlcnNpb24iOm51bGx9fQ%3D%3D&frame=false&hideCard=false&hideThread=false&id=1468248939379847168&lang=en&origin=https%3A%2F%2Fblog.sonarsource.com%2F%2Fwordpress-core-unauthenticated-blind-ssrf%2F&sessionId=b21903e53850f875895c48efb872fe3f48f36be0&siteScreenName=blog_SonarSource&theme=light&widgetsVersion=a3525f077c700%3A1667415560940&width=550px

Wie diese aufeinanderfolgenden Schritte aussehen, haben wir im folgenden Diagramm zusammengefasst:

Ausbeutungsszenarien

Wir haben den Code in der Hoffnung geprüft, differenzielle Parser-Fehler zu finden, die es ermöglichen würden, unbeabsichtigte Ports zu erreichen oder POST-Anforderungen ohne Erfolg durchzuführen: Die anfänglichen URL-Validierungsschritte sind restriktiv genug, um ihre Ausnutzung zu verhindern. Wie bereits erwähnt, müssten Angreifer dieses Verhalten mit einer anderen Schwachstelle verketten, um die Sicherheit der angegriffenen Organisation erheblich zu beeinträchtigen.

Patch

Zum Zeitpunkt der Erstellung dieser Veröffentlichung sind uns keine öffentlichen Patches bekannt; Die obigen Details basieren auf einem Zwischenpatch, der uns während des Offenlegungsprozesses mitgeteilt wurde.

Das Beheben solcher Schwachstellen erfordert das Beibehalten der validierten Daten, bis sie zum Ausführen der HTTP-Anforderung verwendet werden. Es sollte nach dem Validierungsschritt nicht verworfen oder transformiert werden.

Die WordPress-Betreuer folgten diesem Weg, indem sie ein zweites, optionales Argument in wp_http_validate_url() einführten . Dieser Parameter wird als Referenz übergeben und enthält die IP-Adressen, auf denen WordPress die Validierung durchgeführt hat. Der endgültige Code ist etwas ausführlicher, um ältere Versionen von PHP zu berücksichtigen, aber die Hauptidee ist hier.

Als vorübergehende Problemumgehung empfehlen wir Systemadministratoren, den Handler pingback.ping des XMLRPC-Endpunkts zu entfernen. Eine Möglichkeit, dies zu tun, besteht darin, die functions.php des verwendeten Designs zu aktualisieren, um den folgenden Aufruf einzuführen:

add_filter('xmlrpc_methods', function($methods) {
  unset($methods['pingback.ping']); 
  return $methods; 
});

Es ist auch möglich, den Zugriff auf xmlrpc.php auf Webserver-Ebene zu blockieren.

Zeitleiste

Zusammenfassung

In diesem Artikel haben wir eine blinde SSRF-Schwachstelle beschrieben, die WordPress Core betrifft. Während die Auswirkungen in diesem Fall als gering angesehen werden, handelt es sich um ein weit verbreitetes anfälliges Codemuster, dem wir selbst bei großen Projekten immer wieder begegnen. Wir empfehlen Entwicklern, ihre eigenen Codebasen auf diese Art von Codeschwachstellen zu überprüfen, die sich, wie wir gezeigt haben, sogar in sehr populärem und gut überprüftem Code verstecken können.

Wir möchten den WordPress-Betreuern für ihre Hilfe bei der Lösung dieses Problems danken, auch wenn wir nicht das bestmögliche Ergebnis erzielen konnten.

Verwandte Blog-Beiträge

• WordPress 5.8.3 – Schwachstelle durch Objektinjektion
• WordPress 5.8.2 – Gespeicherte XSS-Schwachstelle
• WordPress 5.7 – XXE-Schwachstelle  
• WordPress 5.1 – CSRF zur Remotecodeausführung
• WordPress 5.0.0 – Remote-Code-Ausführung

Simon Scannell und Thomas Chauchefoin Schwachstellenforscher

Ausbaumodule

Eine der größten Stärken von WordPress sind seine zahlreichen Plug-ins. Die große Entwicklergemeinde des Content-Management-Systems hat rund 60.000 solcher Erweiterungen hervorgebracht. Dieser Artikel stellt eine Auswahl der wichtigsten vor, mit denen Sie WordPress für fast jeden Einsatzzweck ausrüs…

WordPress mit Plug-ins erweitern

Eine der größten Stärken von WordPress sind seine zahlreichen Plug-ins. Die große Entwicklergemeinde des Content-Management-Systems hat rund 60.000 solcher Erweiterungen hervorgebracht. Dieser Artikel stellt eine Auswahl der wichtigsten vor, mit denen Sie WordPress für fast jeden Einsatzzweck ausrüsten.

Von Jo Bager und Daniel Berger

Plug-ins bohren WordPress’ Funktionen auf: Sie rüsten schicke Bildergalerien nach, stellen sicher, dass Seiten gut bei Google ranken und können sogar komplette Shops nachrüsten. Die Erweiterungen lassen sich mit ein paar Klicks einrichten. Einen Katalog der Plug-ins finden Sie im WordPress-Backend unter „Plug-ins/Installieren“. Im Bereich „Vorgestellt“ empfehlen die WordPress-Macher einige Klassiker. Unter „Populär“ sind die momentan angesagten Plug-ins zu sehen. Ausgehend von bereits installierten Erweiterungen, zeigt WordPress unter „Empfehlungen“ weitere Vorschläge an. Über die Suchfunktion können Sie die gesamte Sammlung nach Schlüsselwörtern durchforsten und finden leicht auch die in diesem Artikel empfohlenen Erweiterungen.

Das Multitool

Statt eine Vielzahl von Plug-ins zu installieren, reicht oftmals schon Jetpack aus – eine Sammlung von Werkzeugen und Funktionen von den WordPress-Machern, die allerlei Bereiche abdecken: Das darin enthaltene Bilder-Karussell etwa setzt Fotos schick in Szene. Jetpack kann neue Posts automatisch bei sozialen Medien wie Facebook, Twitter und LinkedIn posten und das Plug-in schützt die Website vor Brute-Force-Angriffen, bei denen Angreifer versuchen, Zugangsdaten zu erraten und damit Ihre Site zu übernehmen.

Allerdings ist Jetpack eng mit dem WordPress-Hersteller Automattic verzahnt. Um Jetpack zu benutzen, ist ein kostenloser Account bei wordpress.com nötig, den Sie mit der eigenen WordPress-Installation verknüpfen. Einige Jetpack-Fähigkeiten kosten Geld, etwa der Spam-Schutz oder die automatische Backup-Funktion, die eine Website absichert. Zahlende Kunden bekommen außerdem „Priority Support“ via E-Mail. Die Preise beginnen bei rund 40 Euro im Jahr. Über manche der Funktionen von Jetpack können Daten an wordpress.com und letztlich auch an Fremdanbieter fließen. Wenn Sie das Plug-in nutzen, müssen Sie daher Ihre Datenschutzerklärung entsprechend ergänzen.

Alles sicher

Wenn Sie Jetpack nicht nutzen möchten, sollten Sie Angreifer anderweitig daran hindern, massenhaft Zugangsdaten auszuprobieren, um sich Zugang zu Ihrer Website zu verschaffen. Das Plug-in Limit Login Attempts Reloaded ist eine gute Alternative, es begrenzt die Anzahl der möglichen Login-Versuche. Eine Zwei-Faktor-Authentifizierung sichert den Zugang zu WordPress zusätzlich: Um sich einzuloggen, ist neben dem Nutzernamen und dem Passwort ein individueller Code nötig. Den erzeugt zum Beispiel die Android- und iOS-App Google Authenticator. Auf Ihrer WordPress-Instanz müssen Sie eine passende Erweiterung installieren, etwa das ebenfalls Google Authenticator genannte Plug-in von Ivan Kruchkoff.

Auch Spammer lieben WordPress: Ihr Angriffsziel ist die Kommentarfunktion. Antispam Bee unterbindet solchen Kommentarspam. Im Unterschied zu ähnlichen Plug-ins kommt es ohne Cloud-Zugriffe aus, um Spam zu erkennen. Es gleicht Kommentare stattdessen mit einer lokalen Datenbank ab, was deutlich datenschutzfreundlicher ist.

Erster bei Google

Suchmaschinenoptimierung (Search Engine Optimization, SEO) ist nützlich, damit man Ihre Website per Suchmaschine besser findet und dadurch die Besucherzahlen steigen. Das populäre Plug-in Yoast SEO greift Ihnen dabei unter die Arme. Die Basisversion kostet nichts und reicht für die meisten Websites.

Die Erweiterung klinkt sich in die Beitragsseite von WordPress ein, analysiert Ihre Texte und gibt hilfreiche Verbesserungstipps. Das Plug-in bemängelt beispielsweise zu kurze Beiträge (Google liebt lange Texte) und fehlende Zwischenüberschriften in längeren Beiträgen. Außerdem können Sie mit Yoast SEO sinnvolle Metadaten festlegen und die Überschrift optimieren. Sie taucht samt Meta-Description bei Google in den Suchergebnissen auf.

Bilder rahmen

WordPress hat zwar Funktionen zur Verwaltung und Präsentation von Bildern eingebaut (siehe S. 65), doch wer mit sehr vielen Bildern arbeitet, stößt schnell an die Grenzen der Bordmittel. Mit NextGEN Gallery können Sie Bilder im WordPress-Backend effizient organisieren und auf der Website gut in Szene setzen. Fotos lassen sich im Batchbetrieb hochladen und bearbeiten, Galerien in Alben gruppieren und vieles mehr.

NextGEN Gallery unterstützt bereits in der kostenlosen Version mehrere Galerie- und Albumstile, die sich alle in Bezug auf Größe, Stil, Timing, Übergänge, Steuerelemente und Lightbox-Effekte individualisieren lassen. Neben der kostenlosen Version des Plug-ins gibt es noch Bezahlversionen, unter anderem mit weiteren Stilen für Galerien und Alben.

Mit Besuchern in Kontakt treten

Mit der Kommentarfunktion von WordPress können Besucher ihre Meinung zu einzelnen Beiträgen ausdrücken und miteinander diskutieren. Aber vielleicht möchten Sie Ihren Lesern die Möglichkeit geben, sich unabhängig von einem Blogbeitrag direkt an Sie zu wenden? Dann hilft das kostenlose Plug-in Contact Form 7, mit dem Sie schnell ein schickes Kontaktformular zusammenklicken können. Das Plug-in ist in der Standardkonfiguration datenschutzfreundlich und verschickt die eingegebenen Daten lediglich an Sie per Mail. Contact Form 7 kann Ihre Formulare auch gegen Spam absichern. Dazu bettet es allerdings Funktionen von Dritten ein, zum Beispiel Google reCAPTCHAs oder Akismet vom WordPress-Hersteller Automattic.

Falls die Diskussionen Ihrer Leser die Kommentarfunktion sprengen, können Sie mit dem kostenlosen bbPress ein richtiges Diskussionsforum nachrüsten, mit Benutzerverwaltung und themenbezogenen Unterforen. Noch einen Schritt weiter geht BuddyPress. Mit diesem Plug-in können Sie eine Art soziales Netzwerk betreiben und Besuchern Ihrer Site erlauben, detaillierte öffentliche Mitgliederprofile zu unterhalten, Gruppen zu gründen, sich einander private Nachrichten zu senden und noch viel mehr.

Apropos soziale Medien: Wenn Sie auf Ihren WordPress-Seiten Inhalte von Facebook oder anderen Diensten einbetten, übertragen Sie Daten des Besuchers – mindestens die IP-Adresse – zu dem Anbieter, sobald der Benutzer die Seite abruft. Besser (und gesetzeskonform) ist es, wenn der Besucher selber entscheiden kann. Das stellen Sie mit dem Shariff Wrapper sicher.

Dabei handelt es sich um eine speziell für WordPress angepasste Version des c’t Shariffs. Die WordPress-Version unterstützt 32 Dienste in 25 Sprachen, darunter große Anbieter wie Facebook, Twitter und Paypal bis hin zu regionalen Diensten und Exoten wie Odnoklassniki und Diaspora.

Shop und PR

Mit WordPress lassen sich auch komplette Webshops betreiben. Das Plug-in WooCommerce hat sich dafür als Quasi-Standard etabliert. Laut WordPress-Statistik nutzen über fünf Millionen aktive Installationen dieses Plug-in. Unter den 1.000.000 größten E-Commerce-Websites werden knapp 30 Prozent als Kombination von WordPress mit WooCommerce betrieben, haben die Web-Statistiker bei BuiltWith nachgezählt.

WooCommerce ist unter anderem deshalb so beliebt, weil es sich selbst wieder mit diversen Plug-ins für die verschiedensten Zwecke feintunen lässt. Germanized für WooCommerce zum Beispiel erweitert es um die Funktionen für den rechtssicheren Betrieb eines Shops in Deutschland. Es ergänzt Hinweise für Versandkosten und Steuern, Optionen zum Anhängen rechtlicher Hinweistexte wie die Widerrufsbelehrung an E-Mails und vieles mehr. Alles in allem ist WooCommerce sehr komplex. Sie finden auf heise+ einen eigenen Artikel zu Einrichtung und Betrieb eines Shops mit dem Plug-in [1].

Insbesondere wenn Sie über Ihre Website Dienstleistungen anbieten, sollten Sie verlässliche Kontaktmöglichkeiten bereitstellen. Der Kommunikation zwischen dem Website-Betreiber und seinen Besuchern hat sich Tidio verschrieben. Mit dem Plug-in können Sie einen Live-Chat einrichten. Ein Chatbot kann den Chat erweitern. Damit können Sie auch dann Besucher automatisiert „abholen“, wenn Sie persönlich gar nicht online sind.

Eine weitere Methode, um mit Nutzern zu kommunizieren, sind Newsletter. Sie erfreuen sich in letzter Zeit wieder enormer Beliebtheit [2]. Damit Sie sich voll auf Inhalte konzentrieren können, nimmt Ihnen das schlicht Newsletter getaufte Plug-in die Handarbeit ab. Es führt die Empfängerlisten, sorgt für einen kontrolliert langsamen Versand, damit der Newsletter nicht als Spam aussortiert wird, und führt Reporte, zum Beispiel über Öffnungsraten. Newsletter ist kostenlos und nach Angaben der Herausgeber DSGVO-konform.

Websites können Besucher auch direkt per Push-Notification informieren. Bei WordPress-Sites lässt sich diese Funktion zum Beispiel mit dem Plug-in des Dienstleisters OneSignal nachrüsten. Bis zu 10.000 Empfänger sind kostenlos.

Egal ob Chatbot, Newsletter oder Push-Notification: Achten Sie darauf solche Möglichkeiten maßvoll und im Sinne Ihrer Nutzer einzusetzen. Man kann sich damit nämlich auch leicht unbeliebt machen.

Risiken und Nebenwirkungen

Falls Sie in unserer Auswahl nicht das benötigte Plug-in gefunden haben und deshalb das Verzeichnis von WordPress durchforsten: Achten Sie bei der Auswahl auf die Zeitangabe bei „Zuletzt aktualisiert“. Wenn es schon seit Langem kein Update mehr gab, blendet WordPress sicherheitshalber einen Warnhinweis ein. Die Zahl bei „Aktive Installationen“ verrät, wie populär eine Erweiterung ist. Lesen Sie zudem die Nutzerkommentare und checken die „durchschnittlichen Bewertungen“. Finden sich 1-Stern-Rezensionen, sollten Sie nach etwaigen Problemen Ausschau halten, die vielleicht erst seit Kurzem bestehen.

Der einfache Installationsprozess macht es reizvoll, schnell mal ein paar Dutzend dieser Erweiterungen zusammenzuklicken. Sie sollten es aber aus mehreren Gründen nicht übertreiben: Mit zu vielen Plug-ins droht die Performance Ihrer Website einzubrechen. Zudem können sich Plug-ins gegenseitig ins Gehege kommen. Sollte es plötzlich Probleme geben, schalten Sie die verdächtigen Plug-ins ab und nacheinander wieder ein, um den Störenfried zu finden.

Vor allem gehören (veraltete) Plug-ins zu den größten Einfallstoren für Schadcode und andere Attacken auf WordPress-Installationen. Achten Sie daher genau darauf, nur aktuelle Plug-ins einzusetzen und sortieren Sie aus, was Sie nicht mehr brauchen. Im Menü unter „Dashboard/Aktualisierungen“ können Sie schnell prüfen, ob alles auf dem neuesten Stand ist, und nötige Plug-in-Aktualisierungen auch gleich anstoßen.

Dies ist die gekürzte und überarbeitete Version eines Artikels, der zuerst in Mac & i extra Workshops erschien. (jo@ct.de)

1. Literatur
2. Andreas Hitzig, WordPress-Plugin: Der eigene Online-Shop mit WooCommerce: https://heise.de/-4997674
3. Jo Bager, Kuratiert ins Postfach, Die Renaissance der Newsletter, c’t 22/2020, S. 120

Plug-ins: ct.de/yc2d

Mehr als eine schöne Hülle

Das Theme bestimmt nicht nur das Aussehen einer WordPress-Site, es beeinflusst auch ihren Funktionsumfang und ihre Struktur. Deshalb ist es wichtig, ein passendes Theme auszuwählen. Dieser Artikel zeigt, worauf Sie dabei achten müssen und präsentiert eine Auslese besonders vielseitiger und hübscher…

WordPress-Themes: Worauf kommt es an?

Das Theme bestimmt nicht nur das Aussehen einer WordPress-Site, es beeinflusst auch ihren Funktionsumfang und ihre Struktur. Deshalb ist es wichtig, ein passendes Theme auszuwählen. Dieser Artikel zeigt, worauf Sie dabei achten müssen und präsentiert eine Auslese besonders vielseitiger und hübscher Themes.

Von Vladimir Simović

Beim Aufziehen einer Website mit WordPress kommt fast unmittelbar nach der Installation die Frage auf, welches Theme zum Einsatz kommen soll. Ein späterer Wechsel ist meist mit umständlichen Anpassungen verbunden. Den damit einhergehenden Aufwand und die Kosten sollten Sie nicht unterschätzen. Umso wichtiger ist es, sich vorher Gedanken über das richtige Theme zu machen.

Ein Problem dabei ist, unter den Tausenden kostenlosen und kostenpflichtigen Themes ein passendes zu finden. Etliche werden in einem Freemium-Modell vertrieben: Eine Basis-Version kostet nichts; wer mehr will, muss in die Tasche greifen. Ihre kostenpflichtigen Themes vertreiben die Hersteller häufig mit mehreren Bezahlmodellen: Für einen einmaligen Betrag, bei hochwertigen Themes im dreistelligen Bereich, erwerben Sie ein lebenslanges Nutzungsrecht – mitunter für die Nutzung auf mehreren Sites. Sie können Themes aber auch zu einem günstigeren Jahrestarif mieten.

Das offizielle Theme-Verzeichnis von WordPress erreichen Sie entweder direkt über das Backend Ihrer WordPress-Installation oder im Web unter wordpress.org/themes/. Es listet nur kostenfreie Themes und kommerzielle Themes, die unter einer Lizenz angeboten werden, die mit der GNU General Public License (GPL) kompatibel ist. Insgesamt finden sich dort knapp 9000 Themes. Andere Premium-Themes erhalten Sie entweder über die Websites der Entwickler direkt oder über spezialisierte Portale wie themeforest (siehe ct.de/y8ea).

Bevor Sie sich für ein bestimmtes Theme entscheiden, sollten Sie einige Eckpunkte prüfen:

• Wird es aktiv gepflegt? Wann war die letzte Aktualisierung?
• Gibt es Support oder eine Community, die bei Fragen helfen kann?
• Ist das Theme responsive, passt es sich also verschiedenen Displaygrößen und Gerätetypen automatisch an?
• Ist es darauf optimiert, dass die Inhalte in Suchmaschinen gut platziert werden (SEO)?
• Ist das Theme optimiert in Bezug auf die Ladezeit?

Antworten zu einigen dieser Fragen finden Sie auf der Seite eines Themes im WordPress-Verzeichnis. Dort stehen Informationen zu den Anforderungen, Bewertungen durch andere Nutzer sowie Links zum Code, dem Development Log und, falls vorhanden, zur externen Theme-Homepage beim Hersteller. Haben Sie ein Theme näher ins Auge gefasst, können Sie sich im Themes-Verzeichnis auch eine Vorschau ansehen. Sie sollten auch einen genauen Blick darauf werfen, welche Funktionen und Extras es bietet. Viele wichtige Auswahlkriterien finden Sie unter den „Schlagwörtern“ auf der Theme-Seite.

Diese Schlagwörter können Sie auch als Filter in der Suchfunktion einsetzen, um infrage kommende Themes zu finden. Viele der Schlagwörter sind selbsterklärend: „Für Barrierefreiheit geeignet“, „Individuelle Farben“, „Individuelles Logo“, „Beitragsbilder“, „Footer-Widget“, „Beitrag oben halten“ et cetera.

„Übersetzbar“ heißt, dass sich das Theme auch für mehrsprachige Websites eignet. „Block-Editor-Vorlagen“ bedeutet, dass das Theme den Gutenberg-Editor (siehe S. 64) mit eigenen Vorlagen erweitert. Man kann auch nach Layout-Aspekten filtern, etwa nach der Anzahl der Spalten oder nach dem Vorhandensein einer linken oder rechten Seitenleiste. Außerdem können Sie nach der inhaltlichen Ausrichtung Ihrer Website filtern (Blog, Bildung, E-Commerce etc.).

Pagebuilder: Hilfsmittel und Problemquelle

Sie sollten zudem beachten, ob ein ausgewähltes Theme sogenannte Pagebuilder von Fremdanbietern einbindet. Sie ergänzen den Editor mit vielen einfach nutzbaren Bauelementen wie Galerien, Buttons und Textbereichen, die Sie per Drag & Drop in die Seite ziehen können. Pagebuilder sind mächtige Werkzeuge, die es Website-Betreibern einfach machen, schnell ein gutes Layout zusammenzuklicken. Einige Pagebuilder allerdings erzeugen unnötigen Code und machen die Webseiten fett und langsam.

Pagebuilder standen Pate für den Gutenberg-Editor, den WordPress mittlerweile nutzt, und der für viele Anwendungszwecke genügt. Daher stellt sich seit Erscheinen von Gutenberg die Frage nach dem Sinn und Zweck von Pagebuildern noch mehr als zuvor. Diese Übersicht stellt dennoch einige Themes vor, die auf Pagebuilder setzen – weil diese Themes sehr beliebt sind und weil „Pagebuilder“ nicht automatisch schlechte Performance bedeutet. Manche Pagebuilder arbeiten auch mit Gutenberg zusammen.

Die Erfahrung zeigt allerdings auch, dass es häufiger Ärger bei Updates und Theme-Wechseln von Websites gibt, die Themes mit Pagebuildern nutzen. Wenn es sich machen lässt, sollten Sie beim Aufsetzen einer neuen Site daher auf solche Themes und Pagebuilder außer Gutenberg verzichten. Das gilt insbesondere, weil WordPress vor einem grundlegenden Wechsel der Themes-Architektur steht (siehe Absatz „Minimalistisch und elegant“), bei dem sich noch zeigen muss, wie die Entwickler von Pagebuildern damit umgehen wollen.

Wenn Sie Wert auf größtmögliche Flexibilität legen, sollten Sie darauf achten, dass das Theme sogenannte Hooks unterstützt. WordPress baut eine Seite aus diversen Datenbankabfragen zusammen. Dabei arbeitet der WordPress-Kern mit Plug-ins und dem Theme zusammen, um Seitenelemente wie Texte und Bilder zu sammeln und die Seite zu rendern. Mit Hooks können Entwickler ihren Code an bestimmten Punkten in diesen Erstellungsprozess einklinken und ausführen. Manche Themes ermöglichen es, auf Hooks durchzugreifen, was zusätzliche Layout-Möglichkeiten bietet. So können Sie zum Beispiel sehr einfach einen zusätzlichen Text oder ein zusätzliches Banner im Kopf Ihrer Site einfügen.

Für umme

Bei Gratis-Themes geben die Entwickler in der Regel keinen Support. Nutzer helfen sich bei Schwierigkeiten gegenseitig im Forum, das es im WordPress-Themes-Verzeichnis für jedes Theme gibt. Den Link darauf finden Sie in der Sidebar der Themes-Seite. WordPress enthält von Haus aus mehrere Themes, die von den Entwicklern des CMS selbst stammen. Im Moment sind das Twenty Nineteen, Twenty Twenty sowie das aktuelle Theme Twenty Twenty-One. Alle Standard-Themes sind kostenlos. Grundsätzlich eignen sie sich insbesondere für Einsteiger hervorragend, da sie nicht mit Optionen und Features überhäuft sind.

Twenty Twenty-One, das aktuelle Standard-Theme, ist ideal abgestimmt auf den Gutenberg-Editor. Es versteht sich als leere Leinwand, auf der die Nutzer mithilfe der Gutenberg-Blöcke ihre eigenen Ideen und Vorstellung verwirklichen (wer das nicht mag, findet aber auch ein paar Layoutvorlagen). Das Theme eignet sich somit für alle, die gerne mit den WordPress-eigenen Tools eine komplette Website entwerfen möchten. Da Sie mit dem Theme bei Null anfangen, stehen Ihnen damit alle Möglichkeiten offen – nicht nur Portfolio- und Business-Website sowie private Blogs, für die das Theme im Verzeichnis angepriesen wird.

GeneratePress eignet sich für viele verschiedene Einsatzmöglichkeiten, auch mit dem E-Commerce-Plug-in WooCommerce ist es kompatibel (siehe S. 73). Es ist daher sehr beliebt. Die Entwickler legen viel Wert auf gute Performance, Stabilität und Benutzerfreundlichkeit. Schon in der Basisversion bietet das Theme mit seinem responsiven Design, den neun Widget-Bereichen, fünf Navigationspositionen und fünf Seitenleisten-Layouts unzählige Möglichkeiten, um eine Website zu gestalten.

Die kostenpflichtige Premium-Version gewährt noch einmal deutlich mehr Design- und Gestaltungsmöglichkeiten. GeneratePress nutzt den WordPress-Customizer, mit dem man Layoutoptionen für das Theme bequem per Dialog einstellt, für besonders viele Optionen. Es lassen sich also besonders viele Einstellungen per Customizer setzen, für die man bei anderen Themes Hand an den Code legen müsste oder Plug-ins benötigt. Dazu gehören erweiterte Einstellungen für Farben, Schriften, Menüs, Header, Abstände und vieles mehr. Entwickler können auf eine Bibliothek vorgefertigter Layouts zugreifen, um ihr Design zu entwerfen. Zudem können Entwickler in der Premium- Version Hooks ansprechen.

Astra ist wie GeneratePress eines der beliebtesten Themes für WordPress. Das liegt daran, dass es sehr anpassbar und flexibel ist. Astra bietet zudem über 180 Designvorlagen, die allerdings teilweise mit – verschiedenen – Pagebuildern realisiert wurden. Wer ein kostenloses und schnelles Theme für einen WooCommerce-Shop sucht, der ist mit Astra sicherlich gut bedient. Das Theme ist zwar nicht nur auf Websites ausgerichtet, die das Shop-Plug-in verwenden, findet aber in der WooCommerce-Community großen Anklang. Die kostenpflichtige Version bietet noch viele zusätzliche Möglichkeiten, darunter Hooks, um die Website an externe Datenquellen anzubinden

Premium-Themes

Die unschlagbaren Vorteile vieler Premium-Themes sind der Support und die Update-Frequenz, die oft deutlich höher ist als bei kostenlosen Themes. Auch bieten Premium-Themes mitunter Besonderheiten – etwa eine integrierte Shop-Funktion oder eine über einfache Links hinausgehende Social-Media-Vernetzung –, die man sonst erst umständlich nachrüsten muss. Viele Premium-Themes lassen sich außerdem für den Einsatz in verschiedenen Anwendungsbereichen anpassen. Durch die Fülle an Features und Möglichkeiten wirken Premium-Themes allerdings schnell sehr überladen und für unbedarfte Nutzer unübersichtlich.

Divi-Theme ist ein Allrounder für alle Fälle. Das Theme ist mit einem eigenen Pagebuilder ausgestattet. Mit Divi-Theme können Sie also eine Website von Grund auf gestalten. Kaum ein Theme liefert so viele verschiedene vorgefertigte Elemente mit. Zudem besticht Divi-Theme auch durch über 110 vorgefertigte Websites und etliche Layout-Elemente, etwa für Bilder-Slider und Formulare, die als Vorlage für eine eigene Website dienen können. Genau diese Vielzahl an Möglichkeiten ist es aber auch, die Einsteiger und Anfänger verunsichern kann. Nutzer, die keine Erfahrung im Webdesign haben, sollten zu einem der kostenlosen und einfacheren Themes greifen. Mit seiner umfangreichen Dokumentation und sehr großen Community sowie dem guten Support gehört Divi-Theme aber zu Recht zu den beliebtesten WordPress-Themes.

Beim Premium-Theme Enfold wählen Sie als Ausgangspunkt für ein eigenes Design eine aus mehr als 35 Website-Vorlagen, etwa für Firmen- oder Restaurant-Homepages, Blogs oder Onepager. Das Theme bietet vor allem für die Gestaltung von Portfolio-Websites umfangreiche Möglichkeiten. Durch den eigenen Pagebuilder bietet Enfold eine Vielzahl von eigenen Elementen zur Gestaltung der Website. Die Community ist sehr engagiert und der Support außerordentlich gut – und deutschsprachig, weil die Entwickler Österreicher sind.

Minimalistisch und elegant

Wer es gerne aufgeräumt und minimalistisch mag, der sollte sich die Themes von Elmastudio ansehen. Sie sind allesamt klar und elegant im Design. Künstler oder Fotografen sollten hier ein Theme finden, mit dem sie Ihr Portfolio gut in Szene setzen können. Die 18 Themes kosten einzeln 19 Euro und im Paket 39 Euro inklusive einem Jahr Updates.

Hervorzuheben ist das Theme Aino, das bereits als sogenanntes Full-Site-Editing-Theme zur Verfügung steht. Full Site Editing bedeutet, dass WordPress-Seiten zukünftig ausschließlich aus Blöcken bestehen soll, wie man sie im Gutenberg-Editor entwirft (siehe S. 64).

WordPress-Nutzer werden also auf alle Bereiche ihrer Website direkt im Editor zugreifen und diese bearbeiten können. Full Site Editing ist noch nicht vollständig in WordPress implementiert. Es ist daher nicht empfehlenswert, das Theme bereits produktiv einzusetzen. Man kann sich aber schon mal einen Eindruck davon verschaffen, wie sich Full Site Editing anfühlt. Es soll voraussichtlich mit WordPress 5.9, welches im Dezember 2021 veröffentlicht wird, vollständig implementiert sein. Durch das Full Site Editing wird sich der Anbieter-Markt der Themes sicherlich neu sortieren, sodass für 2022 spannende Entwicklungen zu erwarten sind.

Sie haben unter den hier vorgestellten kein passendes Theme gefunden? Kein Problem, schließlich gibt es noch Tausende mehr im Verzeichnis von WordPress. (jo@ct.de)

Themes und -Verzeichnisse: ct.de/y8ea

Websites bauen

Um ein Blog oder eine Website zu starten, brauchen Sie mit WordPress nur ein paar Minuten. Anders als bei Facebook, Instagram und anderen Plattformen legen Sie die Regeln fest und gestalten den Auftritt nach eigenem Gusto.

Erste Schritte mit WordPress

Um ein Blog oder eine Website zu starten, brauchen Sie mit WordPress nur ein paar Minuten. Anders als bei Facebook, Instagram und anderen Plattformen legen Sie die Regeln fest und gestalten den Auftritt nach eigenem Gusto.

Von Daniel Berger

Den einfachsten Einstieg in die WordPress-Welt bieten spezielle Hoster, allen voran das Mutterunternehmen Automattic, das Sie unter wordpress.com finden. (Im Gegensatz zum WordPress-System selbst, das Sie unter wordpress.org finden.) Sie brauchen keinen eigenen Webspace oder gar Server – einfach anmelden und schon kanns losgehen. Um Updates und Wartung müssen Sie sich nicht kümmern, allerdings sind die Funktionen eingeschränkt – insbesondere in der kostenlosen Variante, bei der Sie außerdem mit Werbeanzeigen in Ihrem Blog leben müssen.

Der Dienst eignet sich aber bestens, um WordPress schnell mal auszuprobieren und einen Blick in die Verwaltung zu werfen, das sogenannte Backend. Die dort angelegten Inhalte lassen sich jederzeit exportieren und in eine andere WordPress-Instanz importieren, zum Beispiel in eine selbst gehostete. Viele andere Webhoster bieten WordPress als sogenannte 1-Klick-Installation an, die das Content-Management-System (CMS) inklusive der benötigten Datenbank automatisch einrichtet.

Die größte Freiheit bietet eine selbst vorgenommene WordPress-Installation. Geeigneten Webspace gibt es bereits ab 3 Euro im Monat. Es geht zwar auch billiger, aber dann ist die Performance eventuell nicht top und die Website lahmt. Wichtig ist, dass das Hosting-Paket mindestens PHP 7.4 und MySQL oder MariaDB unterstützt, was aber inzwischen zur Standardausstattung gehört.

Die ins Deutsche übersetzte Version des CMS laden Sie auf de.wordpress.org mit einem Klick auf „Hol dir WordPress“ herunter (alle Links siehe ct.de/yj1e). WordPress selbst wirbt mit der „berühmten 5-Minuten-Installation“. Die ist kein leeres Versprechen, denn auch die manuelle Einrichtung kostet tatsächlich nicht viel Zeit. Entpacken Sie zunächst die heruntergeladene Zip-Datei und laden Sie die Ordner und Dateien auf Ihren Webspace.

Während des Hochladens können Sie schon mal über die Web-Admin-Oberfläche Ihres Hosters eine MySQL- oder MariaDB-Datenbank anlegen. In der speichert WordPress alle Beiträge, Seiten, Kommentare, Einstellungen und Metadaten. Das Vorgehen ist von Anbieter zu Anbieter unterschiedlich. Meistens finden Sie dort aber einen Menüpunkt „Datenbanken“, wo Sie weitgehend automatisiert eine neue Datenbank anlegen können. In der Regel bestimmen Sie das Passwort selbst. Wählen Sie schon bei der Ersteinrichtung ein sicheres Passwort, das mindestens 12 Zeichen lang und in keinem Wörterbuch zu finden ist.

Halten Sie Datenbank-Namen, -Nutzernamen und -Passwort griffbereit, sie werden bei der WordPress-Einrichtung abgefragt. Nach erfolgreichem Hochladen starten Sie das Installationsskript, indem Sie die Datei wp-admin/install.php im Browser aufrufen. Die genaue URL hängt von Ihrer Domain ab und davon, in welchen (Unter-)Ordner Sie die Dateien geladen haben. Folgen Sie den wenigen Anweisungen des Skripts im Browser. Kommt es zu Problemen, sind meistens die Schreibrechte nicht korrekt eingestellt. Die überprüfen Sie ebenfalls über die Verwaltungsoberfläche des Hosters. Ansonsten gibt die Onlinehilfe von WordPress gute Ratschläge (siehe ct.de/yj1e).

Das Dashboard erkunden

Nach der Installation öffnen Sie zunächst den Administrationsbereich – das Backend – von WordPress, indem Sie im Browser …/wp-admin aufrufen. Die nötigen Login-Daten haben Sie bei der Installation festgelegt. Im Backend begrüßt Sie das Dashboard des CMS, das Ihnen einen schnellen Überblick verschafft. Mit dem Knopf „Ansicht anpassen“ oben rechts steuern Sie, welche Informationen das Dashboard anzeigen soll. Haben Sie Interesse am Austausch mit anderen Nutzern, finden Sie in der Box „WordPress-Veranstaltungen und Neuigkeiten“ Hinweise zu Meetups der WordPress-Community und Events in der Gegend.

Sollten Sie ganz plötzlich die beste Idee der Welt haben, können Sie die als „Schnellen Entwurf“ blitzschnell direkt ins Dashboard hacken. Ein Klick auf „Speichern“ erzeugt einen Blogbeitrag, der aber nicht sofort online geht – perfekt für Notizen und Entwürfe. Doch Vorsicht: Anders als im Haupt-Editor speichert WordPress im Dashboard nicht automatisch zwischen.

Die „Schneller Entwurf“-Box zeigt auch die letzten Entwürfe an. Der Bereich „Aktivitäten“ informiert über neue Kommentare, die Sie direkt beantworten, bearbeiten, zurückweisen oder löschen können. Ein Klick auf „Papierkorb“ schickt die Kommentare genau dorthin. Die „Hilfe“ gibt Unterstützung beim Navigieren durchs CMS. Wenn Sie später Plug-ins installieren, tauchen eventuell weitere Boxen im Dashboard auf, die beispielsweise Besucherzahlen ausweisen.

Einstellungen vornehmen

Ein erster Ausflug führt Sie in die Einstellungen von WordPress, wo Sie grundlegende Informationen zu Ihrem Internetauftritt festlegen. Dazu gehören etwa der „Website-Titel“ und ihr „Untertitel“ oder Slogan. Das aktive Theme bestimmt, wo und wie Titel und Slogan auf der Website zu sehen sind und ganz generell, wie Ihre Website aussieht. Es gibt Themes in Hülle und Fülle – für jeden Zweck steht das passende Kleid bereit. Bereits installiert sind bei WordPress die Standard-Themes „Twenty Twenty-One“, „Twenty Twenty“ und „Twenty Nineteen“. Ungefähr jedes Jahr kommt ein neues hinzu, entwickelt werden Sie von wordpress.org selbst. Der Artikel auf Seite 68 stellt eine Reihe schicker Designs vor.

Eine weitere wichtige Einstellung betrifft die Links, die WordPress zu den Beiträgen und Seiten erzeugt, die sogenannten „Permalinks“. Deren URL-Struktur können Sie frei bestimmen. Sinnvoll ist beispielsweise eine Struktur, die Kategorie und Titel einer Seite berücksichtigt, was zu URLs wie …/rezepte/salami-pizza führt. Zum einen erhöht das die Nutzerfreundlichkeit. Zum anderen sind wichtige Schlagworte enthalten, die wiederum Google helfen, den Inhalt richtig einzuordnen (Rezept/Pizza). Eine URL wie …/?p=235 ist zwar auch möglich, aber zu kryptisch, als dass sie irgendwem weiterhelfen würde. Die Struktur der Permalinks lässt sich jederzeit ändern, aber nachträgliche Änderungen können negative Auswirkungen aufs Google-Ranking haben.

Geschäftlich oder privat?

Möchten Sie ein rein privates Blog führen, das nicht bei Google auftauchen soll, setzen Sie in den Einstellungen unter „Lesen“ ein Häkchen bei „Suchmaschinen daran hindern, diese Website zu indexieren“. Aber Vorsicht: Bekannte Anbieter wie Google oder Bing halten sich an diese Vorgabe, aber manch andere Suchmaschine setzt sich darüber einfach hinweg. Außerdem bleiben Ihre Einträge auch mit dieser Einstellung öffentlich zugänglich. (Das ändern Sie, wenn Sie für einen Beitrag ein Passwort festlegen oder seine Sichtbarkeit auf „privat“ stellen.)

Sie haben keine Lust auf doofe Kommentare? Unter „Diskussion“ schalten Sie die Funktion einfach ab („Besuchern erlauben, neue Beiträge zu kommentieren“). Alternativ gibt es die Option, nur Nutzer kommentieren zu lassen, die sich registriert haben, und sich vom CMS per Mail informieren zu lassen, wenn ein neuer Kommentar eintrifft oder auf Freischaltung wartet. Für letzteres müssen Sie in den Einstellungen festlegt haben, dass Kommentare manuell freigeschaltet werden müssen, ehe sie öffentlich zu sehen sind.

Nicht alle Einstellungen finden sich in dem so bezeichneten Menüpunkt. Wenn Sie bereits ein Blog betreiben oder ein altes Exemplar sichern möchten, können Sie dessen Inhalte einfach importieren – unter „Werkzeuge“. WordPress unterstützt von Haus aus Blogger.com von Google, Tumblr, LiveJournal, Movable Type und TypePad. Sie können außerdem Beiträge über einen RSS-Feed importieren. Ergänzend nimmt das CMS Links im OPML-Format entgegen. Weitere Importer für Spezialfälle gibt es als Erweiterungen in WordPress’ Plug-in-Verzeichnis.

WordPress bietet also viele Einstellungsmöglichkeiten, die im Admin-Bereich jedoch an verschiedenen Stellen verteilt sind. Wenn Sie mehrere Optionen auf einen Schlag anpassen oder eine bestimmte Option schnell finden wollen, werfen Sie einen Blick auf die URL …/wp-admin/options.php. Dort führt das CMS alle verfügbaren Einstellungen in einer alphabetisch sortierten Liste auf.

Besonders nutzerfreundlich ist die Ansicht allerdings nicht. Die englischsprachigen Optionen dort sind unkommentiert und entsprechen nicht mal Bezeichnungen der englischen Bedienoberfläche. Man muss sich also zusammenreimen, dass mit „blogname“ und „blogdescription“ der Website-Titel und -Untertitel gemeint sind. Änderungen werden in den Textfeldern vorgenommen. Auf diese Weise editieren Sie etwa die Admin-Mailadresse, den Blognamen oder die Reihenfolge der Kommentare in einem Rutsch. Vergessen Sie nicht, am Ende der langen Seite auf „Speichern“ zu klicken.

Der Gutenberg-Editor

WordPress verwaltet die Inhalte als „Beiträge“ (Posts) und als „Seiten“ (Pages). Beiträge sind für Blog-Posts, Nachrichten und Neuigkeiten gedacht. Viele Themes listen sie in umgekehrt chronologischer Reihenfolge auf der Startseite auf – so sind klassische Blogs aufgebaut. Um einen Beitrag hervorzuheben, setzen Sie ein Häkchen bei „Beitrag auf der Startseite halten“. Der Beitrag bleibt nun auch dann ganz oben, wenn Sie neuere Inhalte veröffentlichen. Wie genau der festgepinnte Post den Seitenbesuchern dargestellt wird, hängt vom verwendeten Theme ab.

Das Herzstück von WordPress ist der Editor für Beiträge und Seiten. Der verursachte Ende 2018 hitzige Diskussionen, denn mit dem Release von WordPress 5.0 ersetzte der neue Gutenberg-Editor den alten TinyMCE-Editor. Seit Gutenberg müssen die Nutzer in Blöcken denken: Ein Textabsatz ist ein Block, ein Bild ist ein Block, eine Überschrift ist ein Block – kurz: Jedes Element ist ein Block. Diese Inhaltsblöcke lassen sich einfach verschieben, umsortieren und individuell konfigurieren. Gutenberg macht den Aufbau von Webseiten, die kein lineares Textdokument sind, sehr viel leichter, als es zuvor mit TinyMCE möglich war.

Probieren Sie ihn aus und legen Sie unter „Beiträge/Erstellen“ einen neuen Post an. Über das Plus-Symbol links oben oder die Plus-Symbole im Dokument fügen Sie neue Blöcke hinzu. Um ein Foto einzufügen, wählen Sie den allgemeinen Block „Bild“ aus. Ganze Alben lassen sich per „Galerie“ in einen Beitrag einbetten. Für Experten gibt es zum Beispiel das kleine HTML-Icon, um eigenen Code einzufügen.

Unter dem Reiter „Beitrag“ (in der rechten Seitenleiste; in nicht ganz aktuellen WordPress-Versionen heißt der Reiter „Dokument“) legen Sie den individuellen Status und die Sichtbarkeit des Beitrags fest. Sie können auch ein Passwort vergeben: Nur wer es kennt, kann den Text lesen. Wenn Sie die Sichtbarkeit auf „Privat“ stellen, sehen nur Admins und registrierte Redakteure den Beitrag. In den Beitrag-Einstellungen bestimmen Sie außerdem Kategorien, Schlagworte (Tags) und das Beitragsbild. Dort können Sie auch die Kommentar-Funktion für einzelne Beiträge deaktivieren.

Der Reiter „Block“ bezieht sich auf den jeweiligen aktiven Block, den Sie links im Editor gerade bearbeiten. Die verfügbaren Einstellungen sind vom Block-Typ abhängig. Bei einem Textblock können Sie etwa eine CSS-Klasse unter „Erweitert“ festlegen, die dem Block zugeordnet wird. Sinnvoll ist das zum Beispiel für einen Texteinstieg, der gesondert hervorgehoben werden soll.

Die Möglichkeiten sind vom aktivierten Theme abhängig, viele bieten für den Texteinstieg zum Beispiel eine CSS-Klasse „intro“ an. Hinzu kommen die Text- und Farbeinstellungen, die ebenfalls vom Theme abhängig sind. Probieren Sie ruhig alle Optionen aus – solange Sie nicht auf „Veröffentlichen“ (rechts oben) klicken, kann niemand sehen, was Sie fabrizieren.

Statische Seiten

Im Unterschied zu den Beiträgen sind „Seiten“ für statische Inhalte gedacht, die sich nicht oft ändern, also etwa für eine Kontakt- oder eine Über-mich-Seite. Weil Seiten keine Beiträge sind, tauchen sie nicht automatisch in den Übersichten auf. Betreiben Sie mit WordPress kein Blog, sondern eher eine herkömmliche Website, können Sie alle Unterseiten Ihrer Präsenz als statische Seiten anlegen. Auf diese Weise ist etwa eine einfache Firmenpräsenz fix eingerichtet. Nach der Seiten-Struktur richtet sich auch die URL-Struktur: Ist die Seite „Team“ eine Unterseite von „Firma“, lautet ihre URL also: …/firma/team. Anders als die Beiträge verwenden Seiten keine Schlagwörter und keine Kategorien.

In der Seitenleiste des Editors weisen Sie unter „Seite/Seiten-Attribute“ einer Seite ein bestimmtes „Template“ (Vorlage) zu, sofern das Theme Templates vorsieht. Damit bringen Sie auf einfache Art etwas Abwechslung in das Aussehen Ihrer Website und trotzdem ist optisch noch alles aus einem Guss. Templates können zum Beispiel die Seitenleiste eines Themes ausblenden und den Text über die gesamte Breite laufen lassen. Bei „übergeordnete Seite“ legen Sie die Elternseite fest.

Die Option „Reihenfolge“, ebenfalls bei den Seiten-Attributen, steuert ebendiese. Die Werte sind beliebig: Wenn Sie wollen, ordnen Sie einer Seite eine „99“ zu und der anderen eine „999“. Unter „Seiten/Alle Seiten“ listet WordPress die angelegten Seiten in der vom Nutzer festgelegten Reihenfolge auf. Ist keine Reihenfolge und keine „übergeordnete Seite“ festgelegt, sortiert WordPress die Einträge von A bis Z.

Zu den ersten Seiten, die Sie anlegen sollten, zählen ein Impressum und eine Datenschutzerklärung – sonst drohen Abmahnungen, insbesondere, wenn Sie einen Onlineshop betreiben oder anderweitige kommerzielle Interessen verfolgen. Hilfreiche Hinweise, was dabei zu beachten ist, finden Sie zum Beispiel bei datenschutz.org (ct.de/yj1e). Im Reiter „Seite“ finden Sie auch die Versionskontrolle. Sie stellt sicher, dass ältere Textvarianten nicht verloren gehen. Jeder kann nachvollziehen, wer was wann geändert hat. Sie öffnen sie mit einem Klick auf den Link mit dem Uhren-Symbol.

Medien und Themes

Hinter dem Menüpunkt „Medien“ im WordPress-Backend verbirgt sich die Mediathek von WordPress. Sie versammelt alle hochgeladenen Bilder, Videos, Audiodateien und Dokumente an einem zentralen Ort. Über die beiden Drop-down-Menüs in der Toolbar wählen Sie Inhalte gezielt nach Medientyp oder nach Upload-Monat aus. Auf der rechten Seite hilft ein Suchfeld beim gezielten Aufspüren von Inhalten.

In der Mediathek können Sie ausmisten oder neue Materialien hochladen, die Sie später in Blog-Einträgen und Seiten verwenden möchten. An dieser Stelle versehen Sie die Inhalte außerdem mit Metadaten – sie sind für die Suchfunktion und vor allem für Google relevant. Dessen Bildersuche ist für viele Blogs ein wichtiger Traffic-Lieferant: Ein Reiseblog etwa kann allein durch gute Fotos viele Nutzer anlocken. Versuchen Sie zudem, bei den Bildunterschriften wichtige Suchbegriffe einzubauen, wenn Sie Bilder in ihre Seiten und Beiträge einbauen.

Um ein Bild mit Metadaten und weiteren Informationen zu versehen, klicken Sie es in der Übersicht an. Hier geben Sie zusätzlich einen „alternativen Text“ (ALT-Tag) ein, der das Bild beschreibt. Die Angabe ist optional, hilft aber Menschen mit Sehbehinderung, die einen Screenreader verwenden. Der Button unter dem Bild führt zu einer einfachen Bildbearbeitung, mit der Sie etwa Fotos beschneiden, drehen und spiegeln können. Photoshop ersetzt sie zwar nicht, aber kleine Korrekturen sind schnell vorgenommen.

Benutzer verwalten

Zusammen ist man weniger allein, das gilt auch beim Bloggen. Sie können weitere Mitstreiter, Autoren und Entwickler unter dem Menüpunkt „Benutzer“ anlegen und ihnen unterschiedliche Zugriffsrechte einräumen. Achten Sie darauf, wem Sie welche Rollen zuweisen: Wenn Sie einen weiteren Benutzer als „Admin“ hinzufügen, bekommt derjenige volle Eigentümerrechte und kann das gesamte Blog löschen. WordPress selbst empfiehlt daher nur einen Admin pro Blog.

Wählen Sie für Mitstreiter lieber die Rolle „Redakteur“ aus. Ein solcher kann Beiträge und Seiten ansehen, bearbeiten, veröffentlichen und löschen. Außerdem dürfen sich Redakteure um die Kommentare kümmern sowie Kategorien und Schlagworte verwalten. Ein „Autor“ darf nur seine eigenen Inhalte bearbeiten und veröffentlichen. Ein „Mitarbeiter“ darf Beiträge schreiben, sie aber nicht selbst freigeben. Über „Benutzer/Neu hinzufügen“ legen Sie neue Benutzerkonten an und vergeben die gewünschten Rollen. Die eigenen persönlichen Optionen finden Sie (und alle anderen Nutzer) unter „Benutzer/Dein Profil“.

Besucher der Website können sich auch selbst als Nutzer registrieren, wenn Sie das in den allgemeinen Einstellungen über „Jeder kann sich registrieren“ erlauben. Das ist zum Beispiel nützlich, wenn Sie nur von registrierten Benutzern Kommentare zulassen wollen. In den Einstellungen legen Sie auch die Rolle für solche neuen Benutzer fest, in der Regel sollte das „Abonnent“ sein.

Bei Blogs, die auf wordpress.com gehostet werden oder das Jetpack-Plug-in nutzen (siehe S. 72), können sich die Leser zudem als „Follower“ anmelden. Dann bekommen sie per E-Mail Bescheid, wenn es neue Inhalte gibt. Wenn Sie ein Häkchen bei „Benutzer benachrichtigen“ setzen, erhält dieser eine Einladung.

Effizienter bloggen

Die Verwaltungsarbeit in WordPress kostet etwas Zeit – kann aber beschleunigt werden. In der Beiträge- und Seiten-Übersicht lassen sich zum Beispiel die Inhalte massenweise editieren. Um etwa die Kategorien von gleich mehreren Beiträgen zu bearbeiten, markieren Sie zunächst die entsprechenden Posts. Dann wählen Sie im Drop-down-Menü „Mehrfachaktionen“ den Punkt „Bearbeiten“ und klicken auf „Übernehmen“.

Es öffnet sich die „Mehrfachbearbeitung“, in der Sie Kategorien und Schlagworte ändern und hinzufügen können. Außerdem haben Sie die Möglichkeit, den Autor und den Status der Beiträge zu ändern sowie die Kommentarfunktion abzuschalten. Sind alle Änderungen vorgenommen, klicken Sie abschließend auf „Aktualisieren“. Die eingesparte Zeit steht nun fürs eigentliche Bloggen zur Verfügung.

Und auch das Schreiben und Formatieren lässt sich effizienter gestalten, denn der Gutenberg-Editor unterstützt diverse Tastenkürzel. Strg+B fettet ein markiertes Wort, Strg+I setzt es kursiv, Strg+U unterstreicht es. Dann gibt es die aus Software bekannten Kürzel: Strg+S speichert den Beitrag, Strg+Z macht die letzte Änderung rückgängig (unter macOS gelten die entsprechenden Befehle mit Cmd statt Strg). Mit Strg+K verlinken Sie den ausgewählten Text.

Praktisch sind die speziellen „Block“-Tastaturkürzel: Umschalt+Strg+D dupliziert den im Editor ausgewählten Block, Alt+Strg+Y fügt einen neuen Block nach dem ausgewählten ein. Für eine Übersicht aller verfügbaren Tastaturkürzel im Editor drücken Sie Umschalt+Alt+H (macOS: Ctrl+Alt+H) – oder Sie klicken auf das Icon mit den drei Punkten ganz oben in der rechten Ecke und dann auf „Tastaturkürzel“.

Es gibt auch Tastaturkürzel, um die Arbeit in der Kommentarverwaltung von WordPress zu erleichtern. Die Funktion müssen Sie aber zunächst in den Einstellungen unter „Benutzer/Dein Profil“ einschalten, indem Sie bei „Tastaturkürzel“ ein Häkchen setzen. Anschließend können Sie mit J die Kommentare durchlaufen. Der jeweils aktive Kommentar ist hellblau eingefärbt.

Mit K springen Sie zum vorherigen Kommentar zurück. Um einen irrtümlich als Spam markierten Beitrag doch freizuschalten, drücken Sie A (für approve). Ein Tastendruck auf D verschiebt ihn in den Papierkorb (delete), ein Druck auf S markiert ihn als Spam. Mit Q aktivieren Sie den Quick Edit und können fix Fehler in einem Kommentar verbessern.

Ein Druck auf R löst eine Antwort auf Kommentar aus (reply). Mit den Tastaturkürzeln lassen sich auch mehrere Kommentare auf einen Schlag verwalten: Markieren Sie die Einträge mit X und drücken Sie dann Umschalt+S, um alle als Spam zu markieren. Umschalt+A, Umschalt+D und so weiter funktionieren analog. So herrscht schnell wieder Ordnung.

Erfolgreich im Netz

Der Anfang mit WordPress ist superleicht, dann heißt es aber: nicht nachlassen und motiviert am Ball bleiben. Am besten schreiben Sie bereits ein paar Einträge oder Seiten, noch bevor Ihre Website online geht. Dann haben die ersten Besucher gleich etwas zu lesen und auch der Google-Crawler findet genügend Material bei der ersten Indexierung. Wer nach dem Start seine Site regelmäßig mit guten Texten füllt, wird früher oder später seine Leser finden.

Insbesondere beim Bloggen zählt die persönliche Note. Schreiben Sie über ein Thema, mit dem Sie sich gern beschäftigen. Dass Sie mit Leidenschaft dabei sind, merken dann auch die Leser und honorieren Ihre Mühen zum Beispiel mit Feedback. Leser lieben außerdem Mehrwert: Das können Tipps fürs Reisen sein oder ausführliche Erfahrungsberichte, Anleitungen oder persönliche Produktbesprechungen.

Wenn Sie nun aber das tausendste Gadget-Blog gründen, das über iPhones berichtet, sind Sie sofort von harter Konkurrenz umgeben. Es dürfte schwer werden, ein Alleinstellungsmerkmal herauszuarbeiten. Einfacher gelingt der Start in einer Nische, in der es weniger Konkurrenz gibt und die Zielgruppe spitzer definiert ist. Spezialisieren Sie sich also – denn egal, wie abseitig Ihr Thema dann auch sein mag, es wird irgendwann sein Publikum finden.

Auf langweilige Texte reagieren allerdings nur wenige Leser. Wer mehr Kommentare will, darf durchaus mal ein bisschen frecher formulieren. Für viele Poster ist Feedback der größte Motivator. Versuchen Sie also, auf die Kommentare einzugehen, am besten auf jeden einzelnen. Humor hilft, besonders wenn Trolle Sie ärgern; außerdem können Sie Kommentare auch in den Papierkorb verschieben, schließlich ist das Ihre Website und Sie entscheiden über die Inhalte. Zudem sollten Sie Aufforderungen zu kriminellen Handlungen oder dubiose Links in den Kommentaren lieber entfernen.

Für den (schnellen) Erfolg kann etwas Eigenwerbung nicht schaden. Als Werbekanäle bestens geeignet sind ein ergänzender Instagram-Account sowie eine Seite bei Facebook. Auf beiden Plattformen verweisen Sie auf neue Blog-Einträge und tauschen sich mit Fans aus. Doch Vorsicht: So mancher Blogger ließ sich von Instagram verführen und veröffentlichte eines Tages nur noch dort. Das ist sehr schade, schließlich gehen viele Freiheiten verloren.

Updates nicht vergessen

Am Ball bleiben müssen Sie auch in puncto Sicherheit: Von Zeit zu Zeit kommen Sicherheitslücken in WordPress ans Licht, die aber meist schnell gestopft werden. Wichtig ist, dass Sie brav jedes Update einspielen und damit das CMS auf dem neuesten Stand halten. Die kleineren Sicherheitsaktualisierungen installiert WordPress bequem automatisch, zur Bestätigung erhalten Sie eine E-Mail.

Um größere Versionssprünge müssen Sie sich aber selbst kümmern. Plug-ins und Themes aktualisieren sich ebenfalls nicht von selbst. Die Updates für Erweiterungen sind genauso wichtig wie die fürs CMS, denn sie gehören zu den größten Einfallstoren für Schadcode. Viel Aufwand machen diese Updates glücklicherweise nicht, es sind nur wenige Klicks nötig. Unter dem Menüpunkt „Dashboard/Aktualisierungen“ können Sie schnell prüfen, ob die neuesten Versionen der Themes, Plug-ins, Übersetzungen und von WordPress selbst installiert sind.

Dies ist die gekürzte und überarbeitete Version eines Artikels, der zuerst in Mac & i extra Workshops erschien. (jo@ct.de)

Hilfeseiten: ct.de/yj1e

WordPress Beiträge sortieren & Reihenfolge im Blog ändern

Du magst die Reihenfolge deiner Blogbeiträge im WordPress nicht? Dann ändere sie doch einfach mit unserem WordPress Tutorial.

Diese Tipps helfen dir deinen Blog neu zu strukturieren

Wir kennen es selbst, die Reihenfolge der Blogbeiträge macht uns nicht richtig zufrieden: Die Themen passen nicht immer zusammen, der eine Beitrag ist aktueller als der andere oder der optische Eindruck sieht nicht perfekt aus. Bei WordPress werden die Blogbeiträge in umgekehrter chronologischer Reihenfolge angezeigt – der neueste Beitrag erscheint ganz oben, während der älteste Beitrag ganz unten bzw. hinten erscheint. Rückblickend kann das aber nicht für jeden die langfristig beste Lösung sein. Deswegen haben wir uns einmal genauer angeschaut, wie du deinen Blog neu strukturieren kannst.

Inhaltsverzeichnis

1. Die Reihenfolge der Blogbeiträge in WordPress ändern – wann das für dich Sinn macht
2. Das Beitragsdatum in WordPress ändern
3. Das Plugin Post Typ Order
4. Fazit

1. Die Reihenfolge der Blogbeiträge in WordPress ändern – wann das für dich Sinn macht

Die Reihenfolge der Blogbeiträge zu verändern oder anzupassen kann insbesondere dann sinnvoll sein, wenn du bereits eine Vielzahl an unterschiedlichen Beiträgen veröffentlicht hast. Das betrifft vor allem oft Blogger oder beispielsweise journalistische Webseiten – aber auch uns.

Gerade wenn alte Beiträge durch aktuelle Entwicklungen wieder relevant werden oder wenn du besonders relevante/ qualitativ hochwertige Beiträge prominent für die Besucher deiner Webseite aufbereiten möchtest, sollten diese Beiträge eher an der Spitze des Blogs stehen. Dadurch bekommen diese mehr Aufmerksamkeit und werden besser zu sog. „Evergreen“ Beiträgen.

TIPP 💡

Natürlich macht es zunächst einmal Sinn, sich ein klares Konzept für die Strukturierung eines Blogs zu überlegen und beispielsweise verschiedene thematische Kategorien in deinem WordPress anzulegen. So kann jeder Artikel einem thematischen Schwerpunkt zugeordnet werden, wodurch die Masse an Beiträgen in den einzelnen Kategorien erst einmal vorsortiert und thematisch übersichtlicher wird. Trotzdem empfiehlt es sich insbesondere für die voreingestellte Kategorie „Allgemein“ deine Reihenfolge noch einmal zu perfektionieren.

Bei speziellen Fragen rund um WordPress Beiträge kann dir eventuell auch die WordPress Community helfen.

2. Das Beitragsdatum in WordPress ändern

Die einfachste und schnellste Methode deine Beiträge neu zu sortieren, ist das Beitragsdatum zu verändern. Der Vorteil dieser Methode ist es, dass du kein Plugin installieren oder über besonders viel technisches Know-How verfügen musst.

Ursächlich für die Platzierung des Beitrags bei WordPress ist nämlich das Beitragsdatum. Wenn du also das Beitragsdatum änderst, ändert sich auch die Position deines Blogbeitrags. Wenn du einen älteren Blogpost – beispielsweise von 2020 – auf den Anfang deines Blogs verschieben möchtest, musst du das Datum des Beitrags einfach auf einen aktuelleren Tag legen, zum Beispiel auf den 19.10.2022. Gleiches gilt natürlich auch umgekehrt, sofern du einen Beitrag auf deinem Blog weiter nach hinten verschieben möchtest.

Der Nachteil daran ist allerdings, dass das Datum auch für die Aktualität der Inhalte spricht. Das bedeutet, du solltest unbedingt darauf achten, dass die inhaltlichen Themen entweder angepasst werden oder natürlich längerfristig gültig sind. Das könnte sonst bei deinen Lesern zu Verwirrungen sorgen.

‼️Aber Achtung

Achte darauf, dass Datum deiner Beiträge nicht in die Zukunft zu legen. Dadurch werden die Beiträge von WordPress automatisch auf „geplant“ umgestellt und bis zu diesem Termin privatisiert. Das bedeutet, der Beitrag ist bis zu dem neuen Veröffentlichungsdatum nicht öffentlich einsehbar.

Diese Funktion kannst du aber natürlich auch bewusst benutzen.

Um das Beitragsdatum umzustellen klickst du in deinem WordPress Backend zunächst auf den gewünschten Beitrag. Dort findest du in deiner rechten Leiste verschiedene Felder. In dem Feld „Veröffentlichen“ klickst du anschließend hinter dem Datum auf „Bearbeiten“. Hier kannst du jetzt dein gewünschtes Datum neu einstellen.

Möchtest du den Beitrag ganz an den Anfang  deines Blogs verschieben, datierst du den Beitrag auf den aktuellen Tag. Du möchtest den Beitrag vielleicht lieber zwischen zwei bestehenden Artikeln einsortieren? Dann wähle ein Datum oder auch eine Uhrzeit zwischen zwei Beiträgen. Somit kannst du die genaue Position im Blog festlegen. Vergiss aber nicht, den Beitrag zu aktualisieren.

3. Das Plugin Post Types Order

Wenn du die Reihenfolge deiner Blogbeiträge bei WordPress ändern möchtest, ohne das Datum der Beiträge zu verändern, kannst du auf die Hilfe des Plugins „Post Types Order“ zurückgreifen. Dieses kannst du übrigens kostenlos bei WordPress herunterladen. Mit Hilfe des Plugins wird es dir ganz einfach gemacht, die Beiträge hin und her an einen neuen Platz zu ziehen. Das löst wiederum das Problem, dass deine Leser aufgrund des Datums und der inhaltlichen Aktualität nicht verwirrt werden.

Das Plugin „Post Types Order“ installieren und aktivieren

Das Plugin kannst du erst einmal wie gewohnt herunterladen und installieren. Falls du dir nicht sicher bist, wie du vorgehen musst, erklären wir dir in unserem Beitrag „Plugins suchen und installieren“ Schritt für Schritt den Einrichtungsprozess.

Neue Einstellungen auswählen

Nachdem du das Plugin nun installiert hast, klickst du im WordPress Dashboard in der linken Spalte auf „Einstellungen“ und anschließend auf das Plugin „Post Types Order“. In den Einstellungen des Plugins kannst du jetzt genau auswählen, für welche Arten von WordPress Blogposts das Plugin aktiviert werden soll. Auch hier darfst du nicht vergessen deine Änderungen zu speichern.

TIPP💡

Beim installieren neuer Plugins empfehlen wir dir vorher ein Backup deiner Webseite zu erstellen. So bist du auf der sicheren Seite, falls es Probleme bei der Installation gibt. Hilfestellungen und Informationen zur Erstellung von Backups findest du in unserem Beitrag „WordPress Backup Plugins im Vergleich“.

Hier kannst du einstellen, wie du deine Blogbeiträge sortieren möchtest und wie die Oberfläche angezeigt wird.

Die Reihenfolge der WordPress Blogbeiträge ändern

Wenn du nun auf deine Beiträge-Seite im Dashboard gehst, kannst du ab sofort ganz einfach die Reihenfolge der Beiträge neu strukturieren und verändern. Das funktioniert über die Drag and Drop Funktion, wie du auch in unserem Gif nachvollziehen kannst. Und mehr braucht es auch gar nicht! Ab sofort hast du also mehrere Möglichkeiten deine Beiträge zu ordnen, zu sortieren und so oft du willst zu verschieben.

4. Fazit

Die Reihenfolge von Blogbeiträgen zu ändern ist an sich gar nicht schwer. Vor allem da es dazu überhaupt keine technischen Vorkenntnisse benötigt und das jeder selbst übernehmen kann. Wir finden die Kombination aus Plugin und Datum einfach super, da die Drag and Drop Funktion bei WordPress selbst leider fehlt. Die Beiträge neu zu sortieren kann vor allem aber auch bei der Überarbeitung von Beiträgen hilfreich sein, um diese im Backend nicht immer suchen zu müssen.

Von uns also einen klaren Daumen hoch für diesen kleinen aber feinen Hack. 👍🏻

Wie Sie verkaufen, auch wenn Sie teurer sind – websiteboosting.com

Zugegeben, aktuell geht es der Digitalwirtschaft sehr gut. Zum einen wissen viele Kunden um die Wichtigkeit ihres digitalen Auftritts Bescheid, zum anderen unterstützt der Staat zusätzlich mit zahlreichen Förderprogrammen Investitionen – und damit auch so manche Agentur. Doch egal, wie die…

Zugegeben, aktuell geht es der Digitalwirtschaft sehr gut. Zum einen wissen viele Kunden um die Wichtigkeit ihres digitalen Auftritts Bescheid, zum anderen unterstützt der Staat zusätzlich mit zahlreichen Förderprogrammen Investitionen – und damit auch so manche Agentur. Doch egal, wie die aktuellen Konstellationen sind: Es wird immer Agenturen geben, die teurer als andere sind. Vielleicht gehören auch Sie zu den Höherpreisigen. Dann ist die entscheidende Frage: Wie erfolgreich schließen Sie Aufträge ab, wenn Sie nicht der billigste Anbieter sind? Oder knicken Sie gar am Ende der Verhandlung ein und geben zahlreiche Leistungen gratis, weil Sie nicht in der Lage sind, Ihren Preis auf Augenhöhe zu erklären?

So manche Gründer orientieren sich bei der Preisfindung an ihren Mitbewerbern: Was nehmen diese pro Stunde? Wie sehen deren Angebote aus? Im Ergebnis ist dann deren Angebot für Außenstehende oft austauschbar. Denn wenn Webseiten, Imagebroschüren und auch die Mitarbeiter alle die gleichen Phrasen dreschen – woran soll sich dann ein Kunde orientieren? Erst recht dann, wenn ein potenzieller Abnehmer wenig Ahnung von der Materie hat und zwangsläufig einen objektiven Vergleich zwischen beispielsweise drei Agenturen nicht machen kann, wird sich dieser oft für den günstigsten entscheiden müssen. Denn wie soll ein Kunde seinen eigenen Kollegen erklären, dass er nicht das billigste Angebot gekauft hat, sondern das teurere für 10.000 Euro mehr, wenn er das Angebot und das Konzept dahinter nicht wirklich versteht? Sie können davon ausgehen, dass manche Kunden bei Ihrem günstigeren Mitbewerber kaufen, obwohl Sie eigentlich den Auftrag wirklich verdient hätten, weil Sie ihm nicht ausreichend verdeutlichen konnten, dass Sie Ihren Preis wirklich(!) wert sind.

Am Anfang steht die Bedarfsanalyse

Das Wichtigste im Verkaufsgespräch, die Bedarfsanalyse, wird selbst von Profi-Verkäufern oft unterschätzt. Eine schlechte Bedarfsanalyse rächt sich spätestens bei der Preisverhandlung. Denn wie wollen Sie argumentieren, wenn Sie nicht wissen, was Ihrem Kunden wichtig ist? Bei einer guten Bedarfsanalyse laufen Sie bildlich gesprochen im Kopf des Anfragenden herum, um diesen vollumfänglich zu verstehen. Sie wissen nach dieser Analyse, was Ihr Kunde will und nicht will. Sie wissen danach, woran Ihr Kunde festmacht, dass Sie seinen Auftrag gut erledigt haben – und dass er Ihren Preis respektiert und akzeptiert. Aufgrund der Antworten können Sie dann auch für sich entscheiden, ob Sie diesen Kunden überhaupt haben wollen – oder nicht. Oder etwas spitzer formuliert: Sie müssen nach der Bedarfsanalyse ganz klar für sich entscheiden, ob Sie es verantworten können, den Auftrag zu übernehmen. Denn wenn zwei Personen einen Vertrag unterschreiben, dann müssen beide Seiten auch liefern.
Teilen Sie die Bedarfsanalyse auf wenigstens(!) zwei Termine auf. Den ersten Termin führen Sie online oder telefonisch durch. Finden Sie bei diesem Gespräch Antworten auf mindestens folgende fünf Fragen:

• Was haben Sie genau vor?
• Weshalb?
• Ab wann soll das Ganze fertig sein?
• Welche Erfahrungen haben Sie bisher mit Agenturen gemacht?
• Wie sind Ihre finanziellen Vorstellungen?

Hauptziel dieses Erstgespräches ist es, dass Sie danach ganz klar sagen können: „Ja, es macht Sinn, weitere Zeit in das Projekt zu investieren“, oder: „Dafür sind wir nicht die Richtigen. Hier können wir es nicht verantworten, den Auftrag zu übernehmen.“ Im letzteren Fall sollten Sie den Kunden nicht im Regen stehen lassen, sondern im Idealfall an eine andere Agentur weiterempfehlen.

Kunden wollen Sicherheit

Aber nicht nur Sie müssen den Anfragenden „abklopfen“, sondern Sie müssen sich auch richtig inszenieren. Und zwar so, dass im zeitlichen Verlauf der Verkaufsabschluss zu Ihren kalkulierten Preisen das Ergebnis ist. Es bringt wenig, wenn Sie mit Interessenten langweilige Logosammlungen Ihrer zufriedenen Kunden durchgehen. Denn nur weil Sie Logos von Kunden veröffentlichen, bedeutet das ja noch lange nicht, dass Sie diese Kunden auch wirklich begeistert haben. Darüber hinaus sagt ein Logo auch recht wenig über die Größe des Projekts aus. Fragen Sie sich besser, welche Sorgen und Ängste potenzielle Kunden haben:

• Haben die mich wirklich verstanden?
• Können die das wirklich?
• Wie verhalten die sich, wenn Probleme auftreten?
• Gibt es unangenehme Überraschungen (finanzieller oder zeitlicher Art)?
• Was passiert, wenn ich während der Zusammenarbeit merke, dass ich mich für den falschen Anbieter entschieden habe?
• Sollte ich jetzt kaufen – oder bekomme ich diese Leistung auch irgendwo anders billiger oder besser?
• Wie viel „Luft“ ist noch in den Preisen?
• Was sagen die anderen Agenturen, die ich auch angefragt habe, wenn ich mich jetzt gegen diese entscheide?
• Wie werden meine Kollegen reagieren, wenn ich die falsche Agentur beauftrage?
• Wäre es besser, gar keine Agentur zu beauftragen – und alles so zu lassen, wie es jetzt ist?

Auf diese Fragen, die sich nahezu jeder potenzielle Kunde mehr oder weniger bewusst stellt, geben die meisten Anbieter von sich aus kaum gute Antworten. Zwangsläufig verlaufen so manche Anfragen im Sand. Denn wer hat noch nicht beim Nachfassen Sätze gehört wie: „Wir lassen erst mal alles so, wie es ist“, oder: „Wir haben jetzt andere Themen auf der Agenda. Melden Sie sich gerne in einem halben Jahr wieder, dann haben wir dafür wieder den Kopf frei“?

Der Preis ist egal, wenn die Gegenleistung stimmt.

Vorbereitung Preisverhandlung

Egal, ob Sie mit neuen Kunden verhandeln oder mit bestehenden: Bereiten Sie sich auf Preisgespräche immer vor. Stellen Sie sich folgende Fragen:

1. Wie verdient der Kunde eigentlich sein Geld? Was sind auf Sicht der nächsten Monate und Jahre Probleme und Aufgaben, auf die er zusteuert?
2. Wie hoch ist eigentlich sein tatsächliches Einkaufsvolumen? Arbeitet er beispielsweise noch mit einer weiteren Agentur zusammen?
3. Was ist der Grund, dass der Kunde den Preis verhandeln möchte – und nicht etwas anderes?
4. Was sind unsere Ziele bei der Preisverhandlung?
5. Wie lange soll der verhandelte Preis gültig bleiben?
6. Wer nimmt alles an der Preisverhandlung teil?
7. Was lief bisher gut bei der Zusammenarbeit? Was nicht?
8. Mit welchen Möglichkeiten kann die Beziehung zu den Verhandlungspartnern verbessert werden?
9. Was sind mögliche Argumente aus Kundensicht, um einen niedrigeren Preis zu bekommen?
10. Welche Sonderleistungen wurden in der Vergangenheit nicht berechnet?
11. Mit welchen Argumenten verteidigen bzw. erklären Sie Ihren Preis?
12. Welche sinnvollen Alternativen zu einem Preisnachlass können dem Kunden angeboten werden?
13. Was sind mögliche Nachteile für den Kunden, wenn er nicht mit uns zusammenarbeitet?
14. Wie kann dem Kunden geholfen werden, Geld zu sparen oder mehr Geld zu verdienen?
15. Was ist der Plan B, wenn es bei der Verhandlungsrunde zu keinem Ergebnis kommt?

Verkäufer dürfen keine Schönredner sein

Sie sind für das verantwortlich, was Sie verkaufen, aber auch für das, was Sie nicht verkaufen. Das muss Ihnen ganz klar sein. Sie dürfen sich niemals aus der Verantwortung mit Sätzen wie: „Hätte der Kunde ja sagen können, dass er das so meint“, oder: „Hat er mir ja nicht gesagt, dass ihm x wichtig ist“, aus der Verantwortung stehlen. Denn im Zweifelsfalle bekommen Sie immer die Schuld, auch wenn Sie diese objektiv vielleicht gar nicht haben. Oder glauben Sie, dass ein Kunde, der sich von Ihnen schlecht beraten fühlt, in seinem Umfeld sagt: „Ja, und dann habe ich mich für die Agentur x entschieden. Denen habe ich leider vergessen zu sagen, dass mir a und b sehr wichtig sind. Das hat den gesamten Zeitplan zerfetzt und zu Mehrkosten von 30.000 Euro geführt“? Nein, Ihr Kunde wird in seinem Umfeld sagen: „Geh bloß nicht zu der Agentur x. Die können das nicht. Labern rum, kommen aber nicht in die Pötte. Letztlich musste ich denen noch 30.000 Euro nachschießen, weil die keine Ahnung haben.“ Klingt hart, aber so ist die Realität.
Darum müssen Sie nicht nur im Rahmen der Auftragsklärung vieles zur Verständnisförderung hinterfragen, sondern gegebenenfalls auch klare Grenzen ziehen. Beispielsweise mit Sätzen wie: „Nein, so machen wir das nicht, weil …“, oder: „Wir könnten das in so einer einfachen Version machen, wie Sie das wünschen. Das wollen wir aber nicht, weil Sie dann nicht Ihre Ziele erreichen. Und letztlich können wir es uns nicht erlauben, Sie besseren Wissens ins offene Messer laufen zu lassen. Wir machen das also entweder richtig oder sonst lieber gar nicht. Denn wir haben auch eine Verantwortung dafür, dass Sie Ihr Geld gut investieren.“ Für manche Anbieter sind das „scharfe Aussagen“, die sie sich leider nicht zu sagen trauen. Doch wenn Sie dies wertschätzend und wohlwollend und nicht arrogant rüberbringen, dann wird so manch ein Kunde denken: „Die wissen, was sie wollen. Die scheinen ihr Geschäft zu verstehen. Also sind das wohl die richtigen Partner für mich, die ihr Geld wert sind.“

Verkaufen ist Erwartungsmanagement

Viele Kunden sind sich gar nicht darüber im Klaren, wie viel Arbeit und auch Kosten auf sie zusätzlich zukommen. Als schlechter Verkäufer werden Sie das auch von sich aus nicht kommunizieren. Als souveräner Verkäufer durchaus. Es geht nicht darum, den Kunden zu belehren, sondern ihn vielmehr zu informieren. Denn je offener die Karten sind, mit denen Sie spielen, umso harmonischer verläuft auch die Geschäftsbeziehung. Das bedeutet, dass Sie nicht nur einen klaren Zeitplan mit Ihrem Kunden gemeinsam(!) erstellen, bis wann er was geliefert haben muss, sondern dass Sie auch offensiv und rechtzeitig kommunizieren, wenn etwas von Ihrer Seite aus nicht eingehalten werden kann.

Feilschen macht Spaß

Was sagen Sie eigentlich spontan, wenn Ihr (potenzieller) Kunde zu Ihnen sagt: „Am Preis müssen wir noch was machen?“ Und Ihre Kollegen? Viele Verkäufer sind nicht in der Lage, auf diese elementare Frage souverän(!) zu antworten. So machen dann viele Anbieter ihr eigenes Unvermögen zum Problem des Kunden. Denn wenn dieser eine Antwort hört, die ihm nicht das Gefühl gibt, dass der Preis so in Ordnung ist, dann wittert er schnell die Chance auf Preisnachlässe. Es ist elementar, dass Sie nicht nur gute Antworten haben, sondern diese auch glaubwürdig (Stichworte sind hier Stimme, Modulation, Blickkontakt, …) kommunizieren.
Es gibt viele Gründe, warum Kunden um Preisnachlässe feilschen:

• Test, ob noch „Luft“ in den Preisen ist.
• Sicherheit, nicht zu viel zu bezahlen.
• Mitbewerber bietet günstiger an.
• Einfach andere Vorstellungen vom Wert des Angebots.
• Begrenztes Budget.
• Gebot der Wirtschaftlichkeit, den besten Preis zu bekommen.
• Einkäufer haben die Aufgabe, Preise zu drücken.
• Oft kommen Nachlässe nur, weil man danach fragt.
• Spaß und Lust am Feilschen.
• Macht ausleben.

Insbesondere die letzten beiden Faktoren spielen die Hauptrolle bei Preisverhandlungen. Darum sollten Sie sich vor voreiligen Zugeständnissen hüten. Denn andernfalls denkt so manch ein Kunde: „Das war ja einfach. Ich habe einmal gefragt und bekomme jetzt schon einen Preisnachlass. Wie viel geht der denn nun noch runter, wenn ich ihn noch zwei Wochen zappeln lasse?“

Wenn der Kunde nicht feilscht, dann hast du zu billig angeboten.

Antworten auf „zu teuer!“

Ein Angebot muss nicht zwangsläufig zu teuer sein, nur weil der Kunde dies sagt. Möglicherweise sind die vorgestellte Lösung und der erwartete Nutzen für den Kunden zu gering und deswegen im Verhältnis zur Leistung zu teuer. Hier ein paar Formulierungsbeispiele zur Inspiration.

1. Natürlich kann ich Ihnen beim Preis entgegenkommen. Soll ich Ihnen A oder lieber B aus dem Angebot rausrechnen?
2. Wie kommen Sie darauf?
3. Wenn Sie jetzt ein wenig mehr investieren, rechnet es sich mittelfristig besser für Sie. Schauen Sie hier …
4. Ja, billig sind wir nicht. Billig wäre es, wenn …
5. Ja, zuerst scheint der Preis ein wenig hoch zu sein. Lassen Sie uns bitte noch einmal zusammenfassen, welches Leistungspaket für Sie dahintersteckt.

Antworten auf „Mitbewerber ist billiger!“

Einkäufer müssen sich eventuell auch intern rechtfertigen, weshalb sie nicht bei dem billigsten, sondern bei einem anderen gekauft haben. Darum braucht der Einkäufer häufig nur gute Argumente vom Verkäufer, um sich intern ggf. erklären zu können. Formulieren Sie doch mal folgende Ideen in Ihren Worten um und probieren Sie aus:

1. Unser Mitbewerber ist sein Geld durchaus wert. Mehr allerdings auch nicht. Darf ich Ihnen kurz aufzeigen, was uns entscheidend von diesem abhebt?
2. Jetzt mal Hand aufs Herz. Wir würden uns doch nicht so lange unterhalten, wenn es Ihnen nur um den Preis ginge, oder?
3. Oh, das ist interessant. Haben Sie schon herausgefunden, woran die sparen, um solche Preise machen zu können? Denn auch die können ja nicht vom Verschenken leben, oder?

Über den Preis kann jeder reden

Auch wenn es respektlos klingt, aber „zu teuer!“ kann jeder sagen. Auch jemand, der vom Thema gar keine Ahnung hat. Im schlimmsten Falle versteht also Ihr Gegenüber gar nicht, was Sie mit seinem Geld für ihn alles Gutes tun wollen. Er sieht nur Ihr Angebot, Ihren Preis – und denkt: „Das Einzige, was ich hier verstehe, ist, dass die viel Geld haben wollen. Also rede ich nur über den Preis.“
Dazu wenden manche Kunden auch interessante Tricks an. Das ist legitim. Denn auch Verkäufer nutzen ja mehr oder weniger bewusst psychologische Tricks, um den Abschluss zu machen.

• Appell über die Beziehung: Wenn man sich kennt, dann kann man doch auch nett zueinander sein. Also warum nicht einen Preisnachlass geben?
• Guter Cop, böser Cop: Einer auf der Kundenseite spielt den wohlwollenden Kunden, der andere den kritischen. Vorher haben sich beide aufgrund Ihres schriftlich eingereichten Angebots über 20.000 Euro auf 18.500 Euro verständigt. Nun fordert der böse Cop von Ihnen, vielleicht auch mit etwas Drama und spitzer Argumentation, einen Preis von 15.000 Euro. Der gute Cop vermittelt zwischen Ihnen wohlwollend und schlägt 18.500 Euro vor. Erfreut über diesen Kompromissvorschlag stimmen Sie diesem Preis zu. Ein Preiszugeständnis, welches Sie ohne den bösen Cop vermutlich niemals gegeben hätten.
• Salamitaktik: Hier fordert der Kunde immer weitere Zugeständnisse. Stimmen Sie ihm beispielsweise zu, dass die Einweisung seiner Mitarbeiter nicht berechnet wird, wird er gleich den nächsten Punkt nachverhandeln, beispielsweise die monatliche Wartungspauschale. Denken Sie, nachdem Sie hier auch entgegengekommen sind, dass es nun endlich den Auftrag gibt, wird der nächste Punkt aufs Korn genommen.

Viele Anbieter erkaufen sich Aufträge über Rabatte bzw. Leistungen, die dann „ausnahmsweise“ nicht berechnet werden. Das rächt sich in der unternehmerischen Bilanz schnell. Denn das, was nicht eingenommen wird, kann auch nicht zum Gewinn beitragen oder für unternehmerisch wichtige Investitionen beispielsweise in die Mitarbeiterentwicklung genutzt werden.

Verkaufen Sie souverän

Alle Mitarbeiter mit Kundenkontakt müssen(!) kommunikativ geschult sein. Andernfalls besteht das Risiko, dass diese nicht nur eine Zumutung für die Kunden werden, sondern auch eine Gefahr für Ihre gesamte Unternehmung. Denn Menschen mit Kundenkontakt beeinflussen entscheidend Ihre unternehmerischen Bilanzen. Von diesen ist es abhängig, ob der Kunde den Preis leicht akzeptiert, ob er aggressiv reklamiert oder Sie mit Überzeugung weiterempfiehlt. Dass Sie Ihren Job beherrschen, setzt ein Kunde voraus. Er möchte aber die Sicherheit haben, dass Sie ein Geschäftspartner auf Augenhöhe sind und Ihren Preis wert sind.
Wer sich seiner eigenen Stärken bewusst ist, diese auch so erklären kann, dass (potenzielle) Kunden sie leicht verstehen, darüber hinaus auch wertschätzende Antworten parat hat, wenn es mal einen kritischen Einwand gibt, wird eine gute Beziehung aufbauen – und den Auftrag machen.

Loslegen mit WordPress

Egal, ob Sie der Welt Bilder Ihrer Katzen präsentieren, Ihrem Unternehmen eine virtuelle Heimstatt bauen oder sogar online Produkte verkaufen wollen – WordPress kanns. Das Content-Management-System ist vielfältig anpassbar und eine riesige Nutzer- und Entwicklergemeinde steht dahinter. Diese Artikel…

Egal, ob Sie der Welt Bilder Ihrer Katzen präsentieren, Ihrem Unternehmen eine virtuelle Heimstatt bauen oder sogar online Produkte verkaufen wollen – WordPress kanns. Das Content-Management-System ist vielfältig anpassbar und eine riesige Nutzer- und Entwicklergemeinde steht dahinter. Diese Artikelstrecke macht den Einstieg zum Kinderspiel

Von Jo Bager

Ein Content-Management-System (CMS) dient dazu, die Inhalte, das Layout und die Funktionen einer Website zu verwalten. Das mit Abstand beliebteste CMS ist WordPress. Mehr als 40 Prozent der Websites, die die Web-Vermesser von w3techs.com analysieren, setzen es ein. Das System ist zwar (immer noch) das Mittel der Wahl vieler Blogs, aber längst nicht mehr nur in dieser Nische zu Hause: WordPress steht hinter so riesigen Websites wie dem Tech-Magazin Techcrunch (techcrunch.com), Microsoft News (news.microsoft.com) oder der Homepage des Rolling Stone Magazine (rollingstone.com).

2004 hatte der Web-Entwickler Matt Mullenweg die erste stabile Version von WordPress herausgebracht, ursprünglich als dediziertes Blog-System. Dass das CMS heute so dominant ist, hat mehrere Gründe. So hat Mullenweg erstens schon 2005, also relativ früh, einen kostenpflichtigen WordPress-Hosting-Dienst gestartet (wordpress.com), auf dem jedermann auch heute noch WordPress-Präsenzen aufsetzen kann. Das ermöglicht auch technischen Laien einen einfachen Einstieg und der direkte Kontakt zu Kunden war sicherlich ein guter Wegweiser für die Weiterentwicklung von WordPress.

Die Software selbst blieb und bleibt – zweitens – kostenlos und als Open Source verfügbar. Dafür steht eine US-amerikanische gemeinnützige Stiftung ein, der Mullenweg vorsteht. Diese WordPress Foundation betreibt unter anderem wordpress.org (nicht .com), das Zuhause der Software. Drittens wurde WordPress konsequent weiterentwickelt. Zu den Blog-Funktionen kam etwa die Unterstützung statischer Seiten hinzu, die klassische Websites erst möglich machte.

Bei den Funktionen wurde – viertens – schon sehr früh auf Benutzerfreundlichkeit geachtet, wodurch WordPress zum Beispiel recht einfach zu installieren ist. Vor allem aber war der Funktionsumfang von WordPress – fünftens – schon seit ziemlich frühen Versionen durch Plug-ins erweiterbar und auch das Aussehen lässt sich bereits seit Langem mit Themes anpassen. So ist WordPress nach und nach zu einer Plattform gewachsen, mit Abertausenden Themes und fast 60.000 Plug-ins.

Ein gewaltiges Ökosystem

Rund um WordPress ist eine riesige Biosphäre entstanden: Sie finden in den Plug-in- und Theme-Verzeichnissen nicht die gewünschte Funktion, den passenden Look? Sie haben ein technisches Problem, Ihre WordPress-Site ist zum Beispiel zu langsam? Kein Problem, es finden sich für alle Bedürfnisse und Anwendungsfälle massenhaft Designer und Entwickler, die sich auf WordPress spezialisiert haben.

Auch die großen Webhoster kamen nicht umhin, auf den Zug aufzuspringen und Ihren Kunden WordPress direkt und möglichst einsteigerfreundlich anzubieten – obwohl sie damit ihren eigenen Website-Baukästen Konkurrenz machen. Falls Sie in Betracht ziehen, für Ihre Website einen solchen Baukasten zu nutzen, sollten Sie auf jeden Fall zunächst ein gehostetes WordPress-Angebot ausprobieren. Diese sind ab ein paar Euro im Monat zu haben und bieten oft mehr als die geschlossenen Systeme einzelner Hoster. Und wenn Ihnen Ihr aktueller Hoster nicht zusagt, können Sie mit WordPress – sechstens – Ihre Website-Inhalte mitnehmen und recht leicht zu einem anderen WordPress-Hoster umziehen.

Ganz ohne Einarbeitung geht es zwar auch bei WordPress nicht, aber dank der aufgeräumten Bedienoberfläche kommt man schnell zu brauchbaren Ergebnissen. Dabei soll Ihnen der Artikel auf der nächsten Seite helfen. Im Beitrag ab Seite 68 stellen wir Ihnen einige vielfältig einsetzbare und schicke Themes vor und beschreiben, woran Sie gute Themes erkennen. Und der Artikel ab Seite 72 präsentiert Ihnen eine Auswahl besonders nützlicher Plug-ins. (jo@ct.de)