Am Montag bin ich beim Medien-Branchendienst turi2 auf einen Blog-Beitrag von „Datenschutz Notizen“ aufmerksam geworden, der für (WordPress-)Blogger enorm hilfreich ist. Darin beschreibt Autor Sven Venzke-Caprarese in 20 Schritten, wie man sein Blog sicherer und vor allem datenschutzkonformer gestaltet. Hier gibt es 6 Ergänzungen mit den passenden Plugins und Praxis-Tipps.
#1: Plugin Remove IP
Mit dem Plugin Remove IP ist es binnen zwei Minuten möglich, das automatische Protokollieren der IP-Adressen von Kommentatoren zu deaktivieren. Statt der IP-Adressen wird dann dort „127.0.0.1“ angezeigt. Das Plugin muss nur installiert werden und bedarf keiner zusätzlicher Einstellungen. Alternativ kann man sich auch Remove Comment IP von Thomas Leister anschauen.
#2: Plugin Brute Force Login Protection
Bei einem Brute-Force-Angriff werden solange sämtliche Zeichen-Kombinationen ausprobiert, bis das Passwort gefunden wurde. Kleine Eigenwerbung: Mehr dazu und zu sicheren Passwörtern auch in meinem Buch. Besonders einfach macht man es den Hackern, wenn man den Standard-Benutzernamen „admin“ verwendet, denn dann müssen sie nur noch das Passwort finden. Mit dem Plugin Brute Force Login Protection kann man die Anzahl der Versuche einschränken.
Nach der Installation findet man unter Einstellungen -> Brute Force Login Protection ein paar Einstellungsmöglichkeiten. Ein Beispiel: Legt man die maximale Anzahl an Fehlversuchen auf 10 fest, wird beim 11. Versuch seine IP-Adresse für eine ebenfalls anpassbare Dauer geblockt. Zudem kann ein Delay von bis zu 10 Sekunden eingestellt werden, der die Versuche verzögert. So macht man es Hackern zumindest schwerer, an die (Nutzer-)Daten des Blogs zu gelangen.
#3: Plugin Shariff for WordPress
Social-Media-Buttons sind in Blogs so eine Sache. Das Problem: Facebook und Co. tracken darüber sämtliche Daten, selbst wenn man gerade nicht dort online ist. Die c’t ist dem Problem mit ihrer 2-Klicks-Lösung ja schon lange hinterher, bei der der Nutzer die Buttons zunächst aktivieren muss (1. Klick), um danach den Beitrag teilen zu können (2. Klick). Das sieht allerdings nicht sonderlich schön aus und ist umständlich.
Die Weiterentwicklung ist Shariff, ebenfalls von der c’t und wie folgt erklärt: „Die üblichen Social-Media-Buttons übertragen die User-Daten bei jedem Seitenaufruf an Facebook & Co. und geben den sozialen Netzwerken genaue Auskunft über Ihr Surfverhalten (User Tracking). Dazu müssen Sie weder eingeloggt noch Mitglied des Netzwerks sein. Dagegen stellt ein Shariff-Button den direkten Kontakt zwischen Social Network und Besucher erst dann her, wenn letzterer aktiv auf den Share-Button klickt.“ Ein Plugin für WordPress gibt es auch schon, es heißt Shariff for WordPress. Auch hier im Blog wird es diesbezüglich bald eine Änderung geben.
#4: Plugin Contact Form 7
Laut dem Artikel der „Datenschutz Notizen“ und im Sinne von § 13 Abs. 6 TMG soll man bei Kontaktformularen (wie diesem hier) auf den Klarnamenzwang verzichten und die Namenseingabe nicht als erforderliches Feld kennzeichnen. Plugins wie Contact Form 7 ermöglichen diese Einstellung ganz simpel über eine Check-Box, in der man für jedes Feld individuell angeben kann, welche Angaben obligatorisch sind.
#5: Gravatar deaktivieren
Unter Einstellungen -> Diskussion kann man die Kommentar-Optionen festlegen. Hier findet man ganz unten auch eine Einstellungsmöglichkeit zur Darstellung von kleinen Profil-Bildern der Kommentatoren. Der bekannteste Dienst für diese Bilder ist Gravatar. Dort verknüpft man eine E-Mail-Adresse mit einem Bild. Dieses Bild wird von nun an immer dann angezeigt, wenn man mit dieser E-Mail-Adresse bei einem WordPress-Blog kommentiert.
Sven Venzke-Caprarese stellt ganz richtig die Frage nach der Sinnhaftigkeit dieser Option, denn Fakt ist, dass hier auch Daten des Lesers an die Gravatar-Server gehen – und was dort damit passiert? Keine Ahnung. Entsprechend bietet es sich an, die Gravar-Bilder auszuschalten und stattdessen auf die kleinen Pixelbildchen von WordPress zu setzen.
#6: Captcha statt Spam-Filter
Das Problem bei Spam-Filter-Plugins wie Akismet ist, dass sie die IP-Adressen verwenden, um diese mit irgendwelchen Blacklist-Datenbanken abzugleichen und entsprechend die Spam-Kommentare herauszufiltern. Hier sollte man auf Captcha-Plugins setzen, die dem Kommentator kleinere Aufgaben vor dem Absenden stellen – etwa „5+2=?“ oder eine Hausnummer als Bild, die dann abgetippt werden muss.
Damit wird sichergestellt, dass es sich tatsächlich um einen Mensch handelt (wobei die Programme hier auch immer cleverer werden). Plugins wie Captcha (oder grob geschätzte 10.000 andere Alternativen) erledigen die Integration von selbst – ohne jegliche Programmierkenntnisse.
Kennt ihr weitere Plugins und Tipps, die den Datenschutz und die Sicherheit eures WordPress-Blogs verbessern? Ab damit in die Kommentare, ich werde bei Gelegenheit testen und ergänzen.
