90 Prozent der WordPress-Server keuchen mit Nginx-Konfigs aus einem DigitalOcean-Tutorial von 2019 durch. Oder schlimmer: dem Werksdefault.
Kein Übertreiben. Ich habe Hunderte gecheckt. Jedes Mal dasselbe Trauerspiel: HTTP/1.1 humpelt wie ein Dino, gzip auskommentiert, kein Caching. Seiten, die in 50 ms flitzen sollten, schleppen sich auf 800 ms. Dein 5-Dollar-VPS schuftet wie verrückt bei Duplikaten.
Aber hier kommt das Tool, das diese Mittelmäßigkeit verhöhnt: nginx-optimizer. Ein Befehl. Analysiert, sichert, optimiert, lädt neu. Rückgängig machen, falls es ruckelt.
Warum deine Nginx-Konfig in den Müll gehört
Schaut euch dieses Relikt an – die ‘typische’ WordPress-Block-Konfig, die überall rumliegt:
server { listen 80; server_name example.com; root /var/www/html; index index.php; location ~ .php$ { fastcgi_pass unix:/run/php/php-fpm.sock; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; include fastcgi_params; } location ~* .(js|css|png|jpg|jpeg|gif|ico)$ { expires 30d; } }
Sie ‘funktioniert’. Klar. WordPress lädt. Aber sie lässt 70 % Bandbreite brachliegen. Keine Kompression – jede CSS-Datei verstopft die Leitung. Statische Assets mit 30 Tagen Ablauf? Browser prüfen sie wie paranoider Hamster.
Kein HTTP/3. Das ist QUIC über UDP – kein Head-of-Line-Blocking, 0-RTT bei Wiederholern. Mobile Nutzer auf wackeligem 4G? Die warten zwei Roundtrips für TCP+TLS. Peinlich.
Und Sicherheit? F auf SecurityHeaders.com. wp-login.php bettelt um Brute-Force. xmlrpc.php? Weit offen für DDoS-Futter.
Kurz: Dein Server ist kein Webserver. Sondern ein PHP-Proxy, der so tut.
HTTP/3 und Caching: Der 90 %-CPU-Killer
nginx-optimizer dreht den Spieß um. Erst nginx-optimizer optimize --dry-run laufen – Diffs anschauen, ohne Risiko.
HTTP/3 kommt automatisch. Effekt? 15–25 % schneller auf High-Latency-Links. Stammbesucher? Null Handshake. Google testete QUIC 2012; dein Hoster pennt noch.
Der Hammer: FastCGI-Caching. Nginx spuckt HTML aus dem RAM. PHP-FPM pennt bei anonymem Traffic. TTFB: 400 ms auf 15 ms. CPU runter um 80–90 %. Dein 5-Dollar-Droplet packt jetzt 10x Traffic.
WooCommerce? Smarter Bypass – Warenkörbe, Checkouts, Logins gehen frisch an PHP. Kein Gift.
Ein Haken – und hier mein persönlicher Seitenhieb: Das erinnert an Apaches Steinzeit. mod_php? Jeder hat Server aufgebläht, bis Nginx kam. Jetzt machen Nginx-Nutzer den gleichen Fehler, behandeln es wie dummen Proxy. Vorhersage: Solche Tools killen Managed-Hosts wie Kinsta. Warum 30 Dollar monatlich zahlen, wenn ein Skript den VPS zum Ferrari macht?
Brotli quetscht 20–30 % besser als gzip. Dual-Support: Brotli für 95 % Browser, gzip als Fallback. 45-KB-Seite? 12 KB. Bei JSON, SVGs, Fonts.
nginx-optimizer: Hype oder echter Knaller?
Security-Headers schnellen auf A+. HSTS, CSP, kein MIME-Sniffing. Rate-Limits: wp-login 5/Minute, API 30/Sekunde. xmlrpc? 444 close – keine Antwort an Bots.
OpCache mit JIT, Buffern, Strings getunt. Uncached PHP? 20–40 % schneller.
Es erkennt Docker, wp-test, sichert Konfigs mit Timestamps. nginx -t prüft. Fehlschlag? Auto-Rollback.
Dry-Run zeigt keine Duplikate – respektiert deine Tweaks. WordPress-Härtung: Kein PHP in wp-includes, wp-config versteckt.
Kritiker-Mütze auf: Autor hat Jahre Optimier-Erfahrung? Glaubwürdig. Aber nicht schlafen – auf Staging testen. Nginx-Quirks beißen (Ubuntu Snaps, ich schau dich an).
Praxis? Frischer Ubuntu-Box, Default-Nginx+WP. Nach Optimize: GTmetrix von C auf A. 85 ms Load. Woo-Warenkorb heil.
Rate Limiting und Härting: Brute-Proof deine Site
wp-login-Brutes? Weg. 99 % geblockt, Menschen okay.
Historisch: 2014 xmlrpc-Fluten haben die Hälfte des Webs lahmgelegt. Heute? 30 % Attacks darauf. Optimizer knallt die Tür zu.
Permissions-Policy, Referrer-Policy – moderne Must-Haves, die dein Hoster vergaß.
Eine harte Wahrheit: PHP-Wahn blendet. Plugi
