• Warum dogado?
Optimaler Schutz und höheres Tempo

Eine statische WordPress-Seite anlegen - Schritt für Schritt

In unserem Tutorial zeigen wir dir, wie du aus Eurem WordPress Blog eine statische Seite machst. Oder anders formuliert: Wie du WordPress "versteckst" und deine Seite so vor Angriffen sicherst. Wenn du dich bei WordPress einloggst und zum Beispiel einen neuen Post erstellst, dann legt WordPress alle Informationen in Datenbanktabellen ab. Der Inhalt des Posts kommt in eine Tabelle, der Autor kommt in eine andere, die URL wird in eine Tabelle geschrieben und so weiter. Sobald ein Besucher im Blog dann den Post aufruft, werden die nötigen Informationen aus allen Tabellen wieder zusammen gesucht und die Seite wird dynamisch generiert.

Im Hintergrund läuft also immer das komplette System WordPress mit. Die Folge: die Seite wird angreifbar und langsam. Die Lösung: Du generierst alle Seiten und Posts und speicherst sie fertig zusammengesetzt - also statisch - auf dem Server. Und dann schaltest du WordPress quasi ab beziehungsweise versteckst es.

Schritt 1: Die WordPress-Seite offline stellen

Lege zunächst eine Subdomain für deine Domain an, etwa dyn.eure-domain.de. Eine detaillierte Anleitung dazu findest du als dogado-Kunde in unserem Hilfebereich. Die neue Subdomain lässt du auf dein WordPress Verzeichnis zeigen, also genau auf das Verzeichnis, auf das bisher auch deine Hauptdomain zeigt.

In deinem WordPress-Verzeichnis auf dem Server muss jetzt ein Unterordner angelegt werden. In diesem Unterordner wird später die statische Version Eurer Seite abgelegt - sinnvoll wäre also zum Beispiel die Ordnerbezeichnung "static".

Für das Erstellen des Unterordners benötigst du einen FTP-Zugang zu deinem Webspace. Solltest du die Zugangsdaten vergessen haben, findest du alle Informationen und um den FTP-Zugang und einen Passwortreset. Wichtig für dogado-Kunden: Falls du in deinem Account mehrere FTP-User angelegt hast, nutzt bitte die Zugangsdaten für den Hauptuser, da es sonst in späteren Schritten zu Problemen kommt.

Über ein FTP-Programm wie zum Beispiel FileZilla verbindest dz dich mit dem Server und gehst dort auf das Verzeichnis deiner WordPress-Installation. Erstelle in diesem Verzeichnis den neuen Unterordner "static". Wichtig für dogado-Kunden: Das Verzeichnis "static" muss ein Unterordner in deinem WordPress-Verzeichnis sein.

Schritt 2: Hauptdomain auf Webverzeichnis verweisen

Im nächsten Schritt änderst du das Verzeichnis, auf das deine Hauptdomain zeigt, auf das Verzeichnis "/static". Dazu wählst du im dogado-Kundenbereich den Reiter Domains, dann Konfiguration und anschließend den Punkt Domainweiterleitung. Klickt auf die Option Weiterleitung und wählst bei Verzeichnis den gerade per FTP angelegten Unterordner "/static" aus.

Für noch mehr Performance und Sicherheit kannst du jetzt noch die Ausführung von PHP für Eure Hauptdomain deaktivieren. Als dogado-Kunde wählst du dazu dein Webhosting-Paket aus, klickst auf Einstellungen unter dem Punkt Server, wählst im Drop-Down deine Domain aus und wählat unter dem Punkt PHP Version den Punkt Aus.

Schritt 3: Dynamischen Blog mit Verzeichnisschutz sichern

Damit unser dynamischer WordPress-Blog, der jetzt unter dyn.eure-domain.de zu finden ist, ohne Passwort nicht mehr erreichbar ist, wird er mit einem Verzeichnisschutz versehen. Als dogado-Kunde wählst du dazu wieder dein Webhosting-Paket aus und klickst unter dem Punkt Sicherheit auf Verzeichnisschutz. Wähle dort deine Domain aus und klicke auf Neuer Verzeichnisschutz. Jetzt wählst du dein WordPress Verzeichnis aus und folgst den Anweisungen auf der Seite.

Alternativ kannst du den Verzeichnisschutz auch direkt in der .htaccess einrichten. Eine Anleitung dazu findest du hier.

Schritt 4: .htaccess-Dateien editieren

Wenn du jetzt deine Hauptdomain aufrufst, siehts du: Zugang nur noch mit Passwort. Das Problem ist, dass sich der Verzeichnisschutz nach unten "vererbt" und damit auch für den Ordner "static" gilt, auf den deine Domain jetzt zeigt. Das müssen wir natürlich ändern, denn in Zukunft soll dort ja die statische Seite für alle User erreichbar sein.

Dazu müssen zwei .htaccess-Dateien editiert werden. Nutze hierzu dein FTP-Programm und öffne die automatisch angelegte .htaccess-Datei in deinem WordPress Verzeichnis. Füge hier den Eintrag 'require local' hinzu. Das Ganze sollte dann in etwas so aussehen:

# BEGIN WordPress

`RewriteEngine On

RewriteBase /

RewriteRule ^index.php$ - [L] RwriteCond %

{REQUEST_FILENAME} !-f

RwriteCond %{REQUEST_FILENAME} !-d

RewriteRule . index.php [L]

# END WordPress

AuthType Basic

AuthUserFile"/home/euer-user/wordpress/passwd"

AuthGroupFile"/home/euer-user/wordpress/group"

AuthName "authname"

require valid-user

require local

Im Verzeichnis "static" fügst du dann noch eine Datei mit dem Namen .htaccess hinzu und trägst dort die folgende Zeile ein: Require all granted`

Schritt 5: Plugin Simply Static installieren und einrichten

Logge dich jetzt in den Admin-Bereich deines WordPress-Blogs ein und installiere das Plugin "Simply Static". Hinweis: Den Admin-Bereich findest du jetzt unter dyn.deine-domain.de/wp-admin. Nach der Aktivierung erscheint das Plugin als ein neuer Menüpunkt in der Seitenleiste.

Klicke bei Simply Static auf Einstellungen und lege fest, unter welcher Adresse dein statischer Blog erreichbar sein soll - in unserem Beispiel also http(s)://www.eure-domain.de.

Gehe dann einen Punkt weiter nach unten auf den Punkt Auslieferungs-Methode und wähle Lokales Verzeichnis aus. Gib dort den Pfad zu dem bereits angelegten "static" Verzeichnis ein. Dieser sollte in etwa so aussehen "/home/euer-user/wordpress/static"

Schritt 6: Einstellungen überprüfen und statische Dateien generieren

Alles grün? Dann kannst du schon fast einen Haken bei der Aktion statisches WP machen...

Simply Static hilft dir mit dem Punkt Diagnostik zu prüfen, ob alle Einstellungen und Vorraussetzungen korrekt sind. Alles in Ordnung? Dann kannst du im Hauptmenü von Simply Static mit dem Button "Generiere die statischen Dateien" deinen statischen Blog erstellen. Fertig!

Die Bilanz: Vor- und Nachteile

Vorteile

  • Deine WordPress-Seite ist ab jetzt sicher vor Angriffen und quasi immun gegen Sicherheitslücken in Plugins und Co.
  • Die Webseite wird sehr schnell ausgeliefert: Die Ladezeit liegt nur noch bei einem Bruchteil der sonst benötigten Zeit, da keine Daten mehr aus der Datenbank abgerufen werden müssen.

Nachteile

  • Die statischen Inhalte müssen nach jeder Änderung neu generiert werden - auch wenn lediglich ein Rechtschreibfehler verbessert wurde, wird der ganze Blog neu generiert. Bei großen Blogs, die viele Inhalte haben, kann das einige Zeit dauern.
  • Plugins und weitere Funktionen, die PHP benötigen, können nicht mehr genutzt werden. Dazu gehören unter anderem Kommentarfunktionen, Kontaktformulare, Foren-Software und eCommerce-Anwendungen. Für die meisten dieser Funktionen gibt es allerdings alternative Lösungen. Für Kommentare kannst du zum Beispiel Disqus und für Foren Wufoo nutzen.

Das Fazit: Für wen eignet sich ein statisches WordPress?

Statische Seiten mit Hilfe von Simply Static zu erzeugen eignet sich am besten für Betreiber kleiner bis mittlerer Webseiten, die nur selten geändert werden. Simply Static reduziert das Risiko von Hackerangriffen auf nahezu null - selbst wenn WordPress-Updates vernachlässigt werden. Als Bonus kommt die schnelle Auslieferung dazu. Für die allermeisten Betreiber von WordPress-Seiten wird dieses Vorgehen empfohlen.

Ein Tipp für Fortgeschrittene: WordPress muss bei diesem Modell natürlich gar nicht mehr online erreichbar sein, nicht einmal hinter einem Passwortschutz. Es kann auch lokal laufen und von dort die statischen Daten generieren. Eine Anleitung dazu gibt es hier.

Weitere passende Themen