Adobe bietet mit der Creative Cloud ein fantastisches Angebot für größere Teams mit viel Budget. Wenn es aber darum geht, schnell für #Social-Media ein paar Grafiken zu erstellen, Fotos zu bearbeiten und die ein odere andere Print-Anzeige anzupassen, habe ich mit Canva im Zusammenspiel mit den #Affinity-Programmen sehr gute Erfahrungen gemacht.

Aktuell kostet die Creative Cloud von Adobe etwas mehr als 60 Euro im Monat. Versteht mich nicht, falsch, das ist ein ziemlich cooles Angebot, was Software und Teammöglichkeiten angeht. Aber wenn man davon eventuell “nur” Indesign und Photoshop benötigt, habe ich für euch eine Lösung, auf der es sich lohnt etwas rumzudenken: Affinity-Produkte im Zusammenspiel mit Canva. Und keine Angst, ganz ohne Software-Abo müsst ihr gar nicht auskommen: Falls ihrs drauf anlegt, ist das bei #Canva defintiv eins drin (knapp 14 Euro pro Monat für bis zu 5 Mitglieder. Hiermit empfohlen). Und damit kann man in Redaktionen, Marketing-Teams oder Newsrooms schon ziemlich viel wuppen.

Canva: Eine App für alle Geräte

Ein großer Vorteil als Webentwickler ist es ja, eigentlich fast überall ganz gut arbeiten zu können. Ein Nachteil ist, dass das auch Kunden wissen. Deshalb haben wir viel Hirnzschmalz aufgewendet, um einen so mobilen Workflow wie möglich aufbauen zu können. Und zwar via Smartphone & Tablet.

Ziel ist es, dringende Aufgaben on the fly erledigen zu können. Das können sein:

• Wichtige Unterlagen auf unserer NAS anzeigen/verwenden
• Zugriff auf Buchhaltungsprogramm
• Zugriff auf Helpdesk
• Zugriff auf Wordpress-Backends.
• FTP-Inhalte anzeigen/verändern
• Via SSH auf unsere Server zugreifen

Alle Prozesse müssen sich im besten Fall selbstständig synchronisieren, damit Zugangsdaten und Passwörter aktuell bleiben. Und natürlich müssen alle Prozesse auf den mobilen Geräten so gut wie möglich vor Fremdzugriff geschützt sein.

Via VPN auf die NAS

Da wir auf unserer Synology-NAS unsere lokalen Backups und Dokumente liegen haben, können wir via VPN-Verbindung schon einen Großteil wichtiger Dokumente aufrufen. Auch laufen dort unsere ersten Testseiten, die aus Sicherheitsgründen nicht aus dem Netz abrufbar sind; via VPN schon. Um das mit der NAS realisieren zu können, haben wir dort einen Webserver, DNS-Server, dnsmasq und VPN-Server am Start.

Buchhaltung in der Cloud

Die Buchhaltung haben wir gleich ganz in die Cloud gelegt und mit http://www.lexoffice.de einen ganz zuverlässigen Partner gewonnen. Der Vorteil liegt auf der Hand: Jeder hat immer die neueste Zahlen, Daten und Fakten. Überall, wo es Internet gibt.

Wir müssen nur eine Adressdatenbank pflegen, also theoretisch, und haben einen Platz, an dem unsere Rechnungen liegen. Das ist großartig. Außerdem wird Lexoffice regelmäßig mit neuen (und praktischen) Funktionen und Erweiterungen ausgestattet. Nachteile gibt es natürlich auch: Es ist ein Webdienst, der manchmal auch gewartet werden muss und genau dann keinen Zugriff gewährt, wenn man eine wichtige Rechnung schreiben muss. Kommt seltenst vor. Aber wenn, dann ärgert's.

Via App Support-Tickets verwalten

Wie wir https://workin-media.hnz.io/blog/wie-wir-fuer-uns-die-e-mail-entstauben-um-noch-effektiver-arbeiten-zu-koennen/ schon geschrieben haben, nutzen wir den tollen Dienst Freshdesk um unsere Kundenanfragen zu verwalten. Eine https://itunes.apple.com/de/app/freshdesk-customer-support/id849713306?mt=8 pusht neue Supportanfragen direkt aufs Smartphone-Display. Entweder kann man dann direkt antworten oder die Anfrage anderen Mitarbeitern zuordnen. Äußerst praktisch. Im übrigen: Auch viel praktischer als E-Mail, weil bei der Menge, die bei uns im Postfach aufschlägt, gerne etwas überlesen werden kann, wenn man nur mit dem Handy unterwegs ist.

Immer die volle Übersicht über unsere Seiten

Neben den Servern monitoren wir auch WordPress-Seiten, ob sie richtig funktionieren. Denn manchmal verursacht ein Plugin einen Fehler, der WordPress zum Absturz bringt aber der Server denkt weiterhin, dass alles in Ordnung ist. Deshalb monitoren wir beides, den Server und die einzelnen Installationen. Sollte etwas schief laufen, also WordPress ausfallen oder die Seite plötzlich von Nutzern überrannt werden, werden wir per E-Mail und SMS informiert und können auch via Smartphone schnell reagieren, Backups einspielen oder Kapazitäten verändern.

Auf die FTP-Server Zugriff haben

Wir nutzen hier für Smartphone & Tablets https://panic.com/transmit-ios/. Die App ist nicht perfekt, was aber eher an Apple als am Entwicklerstudio Panic liegt. Das Tolle: Man kann den Zugang zur App via Passcode und Fingerabdruck schützen und auch https://library.panic.com/transmit-ios/tios-favorite-import/. Händisch. https://www.panic.com/blog/transmit-ios-1-1-1/.

Gleichzeitig nutzen wir auch Coda vom gleichen Hersteller sowohl am Computer als auch mobil. In Coda laufen unsere aktuellen Projekte, die auch gleichzeitig über git versioniert werden. Über Transmit auch einfach nur Backup-FTPs.

Via SSH auf den Server zugreifen

Hier batteln sich im Apple App Store zwei Apps. https://itunes.apple.com/us/app/cathode/id656982811?mt=8 und https://itunes.apple.com/de/app/prompt-2/id917437289?mt=8. Prompt 2 stammt von Panic und ist deshalb unsere erste Wahl gewesen. Warum sich Prompt 2 allerdings nicht via "Panic Sync" (die iCloud-Alternative des Herstellers) die SSH-Daten aus Coda holt, ist mir ein Rätsel. Hier müsssen wir die Daten und Zertifikate manuell hinzufügen. Gesynct werden dann nur die mobilen Geräte; per Passcode und Fingerabdruck werden die Daten wie bei Transmit iOS zusätzlich gesichert.

Ein SSH-Zugang für unterwegs ist übrigens wichtiger, als man denken würde. Denn manchmal passieren auf Servern komische Dinge. Erst vor kurzem hat es beispielsweise eine MySQL-Tabelle einer WordPress-Installation gecrasht, in der die Menüs gespeichert waren. Das echt riesige Menü auf der Seite wurde nicht mehr dargestellt, und das nach Feierabend! Ich konnte mich dann mit dem Handy bequem vom Sofa aus auf dem Server einloggen, die gecrashten Tabellen reparieren, MySQL neustarten, mich freuen, dass es funktioniert, mir einen Reminder für den nächsten Tag schreiben und dann die neueste Doctor-Who-Folge weiterschauen.

Fazit

Noch sind wir noch nicht an dem Punkt angekommen, an dem alle Daten geschützt von überall mit möglichst vielen Endgeräten abgerufen werden können. Klar, mit dem Laptop ist das möglich, aber den haben wir nicht immer dabei. In den letzten Jahren hat sich schon viel für Smartphones und Tablets getan, gerade im Bereich Servermanagement. Aber so richtig fancy, wie ich mir das als Perfektionist wünsche, klappt das leider noch nicht.

Bildnachweise: https://picjumbo.com/man-holding-iphone-in-his-car/

Wie können in Wordpress Formular-Komponenten wie http://wordpress.org/plugins/contact-form-7/ oder das (kostenpflichtige) http://www.gravityforms.com funktionieren, wenn der Wordpress-Server nicht die Mails verarbeitet? Weil beispielsweise ein externer Mailserver für die Zustellung eingerichtet ist? Wir haben die Lösung. Vielleicht nicht lehrbuchreif. Dafür funktioniert's – sogar mit den "richtigen" Absender-Namen und E-Mail-Adresse.

Es kommt öfter vor, als einem bewusst ist, dass der Mailserver einer Domain nicht vom selben Server gestellt wird. Wir bei der workin media nutzen beispielsweise die http://www.google.de/intx/de/enterprise/apps/business/ um effektiv und zentral unsere Mails verwalten zu lassen. Das heißt aber auch, dass Wordpress-Formulare nicht mehr funktionieren, da diese standardmäßig mit der php-Funktion http://php.net/manual/de/function.mail.php verschickt werden wollen. Ob dies klappt oder nicht, bekommt ihr dadurch zu spüren, ob ihr bei neuen Kommentaren, Updates, etc. von eurer Seite per Mail benachrichtigt werdet oder nicht (natürlich auch via http://php.net/manual/de/function.phpinfo.php).

Oder eben, weil Mails aus Formularen nicht ankommen. Und das ist tatsächlich etwas tricky, weil beispielsweise Contact Form 7 dem Nutzer gute Miene zum bösen Spiel macht und zwar auf der Seite anzeigt, dass die Nachricht versendet. Es aber nicht macht.

Die Lösung: Mailversand via SMTP. Da können wir euch eine Lösung anbieten, indem ihr im Code rumflickelt. Oder ein Plugin, was das für euch übernimmt.
Die Codelösung

Zunächst editiert ihr eure config.php im Stammverzeichnis der Wordpress Installation und fügt folgenden Code ein:

// SMTP
function smtp_wp_mail($phpmailer) {
$phpmailer->IsSMTP(); // telling the class to use SMTP
$phpmailer->Host = "smtp.example.com"; // set the SMTP server host
$phpmailer->Port = 465; // set the SMTP server port
$phpmailer->SMTPSecure = "ssl"; // enable SMTP via SSL
$phpmailer->SMTPAuth = true; // enable SMTP authentication
$phpmailer->Username = "wordpress@example.com"; // set the SMTP account username
$phpmailer->Password = "PASSWORD"; // set the SMTP account password
}

Die entsprechenden Felder müsst ihr mit den Daten eures externen Mailproviders befüllen.

Als nächstes müsst ihr in der wp-includes/pluggable.php Wordpress noch klar machen, dass ihr Mails nun via SMTP verschicken wollt.  Sucht bitte $phpmailer->IsMail(); und ersetzt die Zeilen mit der folgenden Version:

// Set to use PHP's mail()
// $phpmailer->IsMail();

//SMTP
smtp_wp_mail($phpmailer);

Bei jeder Wordpress-Aktualisierung können diese Änderungen verloren gehen.
Die Plugin-Lösung

https://workin-media.hnz.io/wp-content/uploads/2014/06/smtp-mail11.png WP SMTP Mail im Dashboard

Für einige ist die Plugin-Lösung der einfachere Weg, wobei das Plugin nichts anderes macht, als wir weiter oben beschrieben. Nur eben im Wordpress-Backend in einer netten Formular-Ansicht. Wir nutzen hier http://wordpress.org/plugins/wp-mail-smtp/.

Das Problem, was es beim SMTP-Versand geben kann, ist ärgerlich: Viele Server verbieten es (zu Recht!) Mails unter falschen Namen zu versenden.

Wenn allerdings ein Nutzer ein Kontaktformular auf eurer Seite verwendet, wollt ihr auch, dass das Kontaktformular von eben jener Person kommt. Martina Musterfrau (martina@musterfrau.de) benutzt dann zwar das Formular – die Mail von Wordpress kommt aber über den SMTP-Account, den wir vorher definiert hatten. Und wenn ich dann Frau Musterfrau schnell antworten möchte und nicht daran denke, schreibe ich leider dem SMTP-Account eine Mail.

Es gibt allerdings noch andere Probleme: Beispielsweise kann man so Kontaktformulardaten nicht an Ticketsysteme wie http://osticket.com.de, http://www.otrs.com/?lang=de oder https://www.zendesk.de übergeben, da durch die falsche Zuweisung die Systeme ad absurdum geführt werden und immer eine händische Korrektur des Absenders nötig wäre. Dafür, dass solche Systeme Arbeit abnehmen sollen und eben nicht zusätzliche verursachen, war das für uns nicht tragbar.
Die Lösung bei Contact Form 7

https://workin-media.hnz.io/wp-content/uploads/2014/06/contact-form-711.png Zusätzliche Kopfzeilen

Bei  Contact Form 7 gibt es das von mir sträflich übersehene Zusatzfeld "Zusätzliche Kopfzeilen", was beispielsweise dazu gedacht ist, Antwortadressen hinzuzufügen. Dann bekommt ihr zwar immer noch eine Mail von eurem Account. Wenn ihr Antwortet, wird aber dem richtigen Absender geantwortet. Außerdem funktioniert die Weiterleitung zu beispielsweise Zendesk perfekt.

Gebt einfach (mit den Standardformular-Tags) folgenden Code in das Feld ein:

Reply-To: <>

Denkt an das Leerzeichen zwischen den beiden Tags. Und alle sind glücklich.

Bereits über http://marketpress.de/2013/10-jahre-wordpress-wir-feiern-du-kannst-gewinnen-inkl-infografik/ soll WordPress weltweit verwendet werden. Das ist schon eine ziemlich große Hausnummer. Kein Wunder also, dass das Content-Management-System auch in illegalen Kreisen äußerst beliebt ist. Oft passiert es daher, dass WordPress gekapert wird und der Administrator anfangs davon gar nicht mitbekommt – bis Google oder eine andere Suchmaschine plötzlich von der Webseite warnt, weil sie Viren verbreitet.

Wir geben euch hier 10 nützlichen Tipps, wie ihr eure WordPress-Installation besser schützen könnt.
Nutzt auf gar keinen Fall "admin" als Benutzer

Bis zur 3.0-Version von WordPress, wurde der Admin-Useraccount automatisch generiert. Inzwischen kann man zwar den Nutzernamen frei wählen, viele nehmen aber dennoch den Vorschlag, der voreingestellt ist. Das ist fatal: Wenn ihr "admin" als Nutzer habt und zusätzlich ein unsicheres Passwort, ist es für Angreifer mehr als leicht eure Installation zu übernehmen, weil sie ja einen Teil der Anmeldung (den Namen) schon kennen.

Außerdem solltet ihr die Autorenseite des Admins verschleiern. Was bringt es denn, zwar den Admin-Namen zu ändern, ihn aber im Klartext in der URL eurer Autorenseite anzuzeigen? Die lautet nämlich standardmäßig auch http://eureseite.de/author/username.

Um den Namen in der URL zu ändern, benötigt ihr Zugriff auf eure WordPress-Datenbank. In der Tabelle wp_users gibt es den Eintrag user_nicename. Diesen Namen nutzt WordPress um den Link für die Autorenseite zu generieren. Ihr könnt ihn dort in einen anderen Namen umändern (benutzt bitte keine Sonderzeichen sondern nur Buchstaben, Zahlen, Unterstriche und Minuszeichen).

Wenn ihr das gemacht habt, kann man von außen nicht mehr den Namen des Administrator-Accounts ablesen.
Verwendet sichere Passwörter

123456 und passwort sind keine sicheren Passwörter, liebe Leute!
Ladet aktuelle Software

Updates, Updates, Updates! WordPress und die verwendeten Plugins müssen ständig weiterentwickelt werden. Und zwar nicht nur um die Bedienung und das Aussehen zu verbessern, sondern um Sicherheitslücken zu stopfen. Denn das Böse schläft nie. Deshalb aktualisiert so schnell wie möglich eurer WordPress und die installierten Plugins. Achtet auch darauf, dass ihr keine Software bei euch draufhaut, die seit zwei Jahren nicht aktualisiert wurde. Denn auch da können sich gefährliche Einfalltore befinden.
Kontrolliert Themes und Plugins

Weniger ist manchmal mehr. Nutzt bitte nur die Plugins, die ihr auch tatsächlich benötigt. Aktivierte Komponenten, die nicht gebraucht werden verlangsamen nicht nur eure System, sie machen auch das Aktualisieren unnötig kompliziert. Als Richtlinie solltet ihr euch merken, so wenige fremde Plugins wie möglich zu installieren.

Auch ist es wichtig, etwas Hirnschmalz zu investieren, ob die Quelle, von der ihr das Plugin oder Theme habt, vertrauenswürdig ist.

Wenn ihr euch unsicher seid, könnt ihr Plugins mit http://wordpress.org/plugins/antivirus/ testen und Themes mit http://wordpress.org/plugins/theme-check/.
Schützt das Backend

Wer sich als Angreifer bis ins Backend durchschlagen konnte, hat die volle Kontrolle über eure WordPress-Installation. Deshalb geben wir euch hier mehrere Vorschläge, euch ordentlich abzusichern.

Schützt zunächst euer Backend per .htaccess (Verzeichnisschutz). Zwar wäre es am logischsten, den gesamten Ordner wp-admin zu schützen; dies hat bei manchen Kunden aber nicht richtig funktioniert. Woran das liegt? Keine Ahnung. Deshalb schützt am Besten die wp-login.php, damit hatten wir noch keine Probleme:

protect wp-login.php

AuthName "Admin-Bereich"
AuthType Basic
AuthUserFile /pfad-zur/.htpasswd
require valid-user

Jedes mal, wenn ihr nun http://www.eureseite.de/wp-admin aufruft, müsst ihr zusätzlich noch die Nutzerdaten der .htpasswd eintragen. http://www.htpasswdgenerator.de/.

Doppelt hält bekanntlich besser, weshalb ich euch dringend noch zu einer Zwei-Wege-Authentifizierung rate. Das Prinzip ist ganz einfach: Zu einem erfolgrteichen Login benötigt ihr nicht nur ein Passwort, sondern noch eine zusätzliche Passphrase, die euch per App oder SMS zugesendet werden kann. Wie die TAN beim Online-Banking. http://wordpress.org/plugins/google-authenticator/screenshots/.
Macht Backups

Zwar bieten viele Provider (wie auch wir) eine automatische Sicherung der Daten an, es kann aber nicht schaden, seine Dateien selbst zu sichern. Eine typische Installation besteht aus den Dateien auf dem FTP und der Datenbank. Ein automatisiertes Plugin, das wir empfehlen können, ist http://wordpress.org/plugins/backwpup/. Hier könnt ihr eure Sicherungskopien direkt in der Dropbox speichern lassen und genau einstellen, wann und was dort hingeschrieben wird.
Spiegelt eure Installation lokal

Wir legen euch zusätzlich ans Herz, ab und an mal eure Installation lokal zu spiegeln – oder in einer Entwicklungs-Umgebung auf dem Server. Denn dort könnt ihr rumspielen, ohne dass es gleich jeder im Live-System sehen kann. Ihr könnt Plugins testen, überprüfen, ob nach Updates oder zusätzlichen Plugins noch alles so funktioniert, wie ihr es euch wünscht. Und das tolle: Euch steht nicht gleich der kalte Schweiß auf der Stirn, wenn etwas nicht so funktioniert. Kurz und knapp: Baut niemals in der Live-Umgebung!
Nutzt Sicherheits-Plugins

Security-Plugins für WordPress gibt es wie Sand am mehr. Wir können an dieser Stelle deshalb keine abschließenden Empfehlungen geben, sondern euch an unseren Erfahrung teilhaben lassen.
Wordfence Security

http://wordpress.org/plugins/wordfence/: Das Plugin schützt eure Seite mit einer Firewall und kümmert sich um viele Security-Einstellungen. Wir nutzen es. Wir mögen es.
Better WP Security

Das http://wordpress.org/plugins/better-wp-security/ checkt eure bisherigen Security-Bemühungen und bietet mit der One-Click-Protection einen einfachen Weg, eure Webseite zu schützen. Nicht so groß wie Wordfence, dafür einfacher zu bedienen.
Exploit Scanner

Der http://wordpress.org/plugins/exploit-scanner/ schaut sich Dateien auf dem Server und auch Teile der Datenbank. Außerdem überprüft es die Liste aller aktiven Plugins.