Damit dein WordPress ordnungsgemäß ohne Zicken funktionieren kann, sollte deine PHP.ini folgende Änderung erfahren. Insbesondere bei schwergewichtigen Themes wie Avada oder, wenn auch leichter, Divi.
upload_max_filesize = 100M
post_max_size = 120M
max_execution_time = 600
max_input_time = 600
max_input_vars = 5000
memory_limit = 256M
display_errors = 0
expose_php = off
„upload_max_filesize“ kann mehr bekommen, wenn man sehr große Videos hochladen möchte. Dann muss zwingend auch die „post_max_size“, die „max_execution_time“ und die „max_input_time“ entsprechend angepasst werden, sonst gibt es einen harten Abbruch. Aber leider erst, nachdem man die Datei erfolgreich geglaubt, upgeloadet zu haben.
„max_input_vars“ reicht mit 1000 völlig aus, auch bei Divi! Allerdings gilt dies nicht für Avada oder Plug-ins, die irrsinnig viele Datenbank Requests stellen, wie es bei Page Builder in manchen Situationen durchaus vorkommen kann, so auch bei Divi. Ein Wert von 5000 ist also sehr großzügig bemessen, nur um ganz sicher zu sein und auf unserem eigenen Server können wir das auch gefahrlos tun.
„display_errors = 0“ sollte als Standard gesetzt sein und nur beim Debuggen temporär auf 1 gesetzt werden. Andernfalls würde der Server bei einem PHP-Fehler ausgelöst z. B. durch ein Plug-in Fehlverhalten oder Bugs entsprechende Fehlermeldung im Browser anzeigen. Hacker provozieren solch Fehlverhalten durch entsprechende manipulierten Eingaben in der URL Zeile, um z. B. mehr über deine Hostingstruktur oder aktiven Installationen und Versionslücken etc. heraus zu lesen. Ein Einbruch ist damit zwar noch lange nicht möglich, aber will man eine Maschine „hacken“, dann gilt es viele und umfassende Informationen zu sammeln und von verschiedenen Stellen zusammenzutragen. Und genau dies tun auch darauf angesetzte und ausgelegte automatisierte Bots.
„expose_php = off“ sollte immer gesetzt sein als Standard! Denn steht es vielleicht versehentlich auf on, dann können Besucher, die sich auskennen, viel über deine PHP-Konfiguration erfahren und damit hast du eine perfekte Einladung für Hacker. Deshalb gehört dies immer abgeschaltet! Es ist gedacht zum Debuggen (meist auf lokalen Developer Maschinen), um es nur temporär kurz einzuschalten, dies aber auch nur in besonders kniffeligen Szenarien. Denn meist reichen zum Debuggen ein paar Blicke in diverse Logfiles – Inside. Also kurz: zum Debuggen auf dem Server nein = off! Um Software zu entwickeln, ein Muss. = on.