TheUjulala & WordPress – wie mache ich meinen Buchblog fit für die DSGVO? [KAP1]

Da ich immer wieder gefragt werde, wie ich denn meine auf Strato.de selbstgehostete WordPress-Installation aufgesetzt habe, möchte ich anhand meiner Überlegungen zum DSGVO Euch gerne etwas Einblick in meine Installation geben. Mir ist auch bewusst, dass es in den unendlichen Weiten des WordPress-Universums ähnliche oder gleiche Plugins, Vorgehensweisen und Maßnahmen gibt, die das Gleiche oder Ähnliche tun und können, wie die, die ich gewählt habe. Die Entscheidung, warum ich welches Plugins oder Maßnahme gewählt habe, lag ganz bei mir und wurde oft aus unterschiedlichsten Gründen getroffen. Meine Überlegungen hier betreffen vorrangig nur eine WordPress-Installation auf einem Strato-Server.

Kapitel 1: WordPress & Sicherheit

Das A & O ein jeder WordPress Installation ist natürlich die Sicherheit. Denn was bringt Dir eine saubere Einhaltung der Datenschutzgrundverordnung und lupenreine Datenschutzerklärung, wenn Hinz & Kunz Zugang auf Deine WordPress-Installation bekommen und in den Datenbanken rumwühlen können. Abgesehen von dem Drama, dass Dein WordPress gehackt wurde und damit allerlei Unfug getrieben werden kann.

Sichere Passwörter

Zum Thema Sicherheit gibt es schon sehr viele interessante Artikel im Internet. Das aller-aller-allerwichtigste aber kann ich Dir schon gleich ans Herz legen: Bitte nutze sichere Passwörter! Nichts ist so löchrig wie ein schlechtes Passwort! Und ja, es darf ein paar Zeichen mehr haben. Auf jeden Fall mindestens 8 Zeichen, empfohlen wird inzwischen aber schon bis zu 15 Zeichen. Wenn Du es Dir nicht merken kannst, dann solltest Du mal über die Anschaffung eines Passwort-Managers nachdenken.

Hier findest Du einige Denkanstöße zu einem sicheren Passwort:
» Sichere Passwörter (IT-Service Network, Artikel vom 23.10.2017)

Erste Maßnahmen

Es gibt aber auch noch einige Vorgehensweise in WordPress, die man am besten gleich bei einer Erstinstallation schon berücksichtigen sollte.

Diese Dinge habe ich durchgeführt:

• Den Admin-User umbenannt und eine andere ID als die 1 vergeben
• Das Tabellenpräfix geändert (immer noch ein ganz wichtiges Vorgehen!)
• Den Ordner “wp-inhalte” umbenannt (hier scheinen inzwischen die Meinungen stark auseinander zu gehen, damals, als ich meinen Blog aufgesetzt hatte, war dieses Vorgehen noch Gang und Gäbe)
• Online-Editieren von Plugins und Themes im WordPress-Dashboard (Backend) ausgeschaltet
• Die Datei “wp-config.php” eine Ebene höher geschoben
• Das Registrieren über meine WordPress Seite abgeschaltet
• Eine leere index.php in das Uploads Verzeichnis gespeichert
• Den Zugriff auf das Backend nur für Admins beschränkt
• Die WordPress-Versionsnummer versteckt
• Fehlermeldungen bei Login verschleiert
• Das Plugin Google-Authenticator installiert
• Ein Firewall-Plugin installiert (Ninja Firewall, dazu kommen wir später aber noch)
• Ein Plugin zum Blockieren klassischer Angriffswege installiert (BBQ)
• Ein Backup-Plugin installiert (BackWPup, dazu kommen wie auch noch später)
• Ein Plugin zum verschleiern meiner E-Mail Adresse (CryptX)
• Ein Plugin zum Abwehren von Spam-Kommentaren (Antispam Bee, auch hier später etwas mehr)
• [Update 27.04.2018]: wp-admin versteckt (über Clearfy)
• [Update 27.04.2018]: wp-login versteckt (über Clearfy)

—

[Update 27.04.2018]: Das Plugin Clearfy kann eine Menge der oben angegebenen Maßnahmen umsetzen. Auch das wp-admin und wp-login verstecken. Ich bin gerade dabei mich durch dieses Plugin zu arbeiten, habe aber auch schon ganz gute Sachen entdeckt. Ein Blick lohnt sich! Das Plugin ist auf Englisch und für Anfänger eher weniger geeignet.

Wer aber das Tabellen-Prefix umbenennen möchte, den Admin-User ändern, der kann sich bei der Einrichtung mit iThemes Security behelfen und danach das Plugin wieder ausschalten.

—

Hier gibt es einige wissenswerte Links, die mir bei der Umsetzung meiner Sicherheitsmaßnahmen geholfen haben:

• » WordPress Konfigurieren für mehr Sicherheit, Artikel von Renè Dasbeck
• » Den Ordner wp-content in WordPress umbenennen, Artikel von René Dasbeck
• » WordPress Sicherheit, Artikel von Jonas Tietgen auf WP-Ninjas
• » WordPress sicherer machen, Artikel von Frank Bueltge
• » Sicherheit von WordPress erhöhen, Artikel von Flo auf WP-Buddy

Auch wenn die Artikel schon etwas älter sind, an den Maßnahmen hat sich eigentlich so gut wie nichts geändert. Solltest Du Dir aber nicht sicher sein, kannst Du jederzeit nach aktuelleren Artikeln über das “Sicher-Machen” von WordPress suchen. Du wirst bestimmt eine Menge finden!

Und noch wichtig:

Halte unbedingt Deine WordPress-Installation, Deine Plugins und Dein Theme immer auf dem aktuellsten Stand!

Plugins für die Sicherheit

Firewall

Neben diesen ersten Maßnahmen muss man seinen Blog natürlich auch vor Attacken von außen schützen. Dies kann man am besten durch eine vorgeschaltete Firewall und dem Blockieren von bösen Anfragen machen. Ich habe “Ninja Firewall” erst sehr spät entdeckt und bin sehr begeistert. Zunächst hatte ich “iThemes Security”. Da dieses aber nicht mehr ganz so konform mit der neuen DSGVO sein wird, habe ich dies nun mal abgeschaltet und arbeite im Moment nur mit den oben genannten Maßnahmen und Plugins.

» Die besten WordPress Security Plugins, Artikel von René Dasbeck

Achtung! In Bezug auf die DSGVO sind die meisten der hier aufgeführten Plugins nicht mehr Datenschutzkonform. Diese gilt einzeln zu prüfen! Einige kann man mit wenigen Klicks Datenschutzkonform machen.

Bei “Ninja Firewall” gibt es eine einfache Möglichkeit, dieses Plugin für den Datenschutz konform zu machen: Setze den Haken bei “ Anonymize IP addresses by removing the last 3 characters.” unter “Firewall Options”. Damit wird die IP anonymisiert. Du solltest aber trotzdem in der Datenschutzerklärung erwähnen, dass Du dieses Plugin benutzt, die IP aber anonymisiert geloggt wird.

Antispam

Ebenfalls eine große Sicherheitslücke kann das Zuspammen Deines Blogs über die Kommentarfunktion sein. Dort könnte dann auch Schadcode eingebunden werden. Um das zu verhindern, solltest Du einen Antispam-Schutz einrichten. Das von Haus aus mitgelieferte Akismet kannst Du gleich mal komplett löschen. Ich habe dafür “Antispam Bee” installiert. Hier musst Du ebenfalls 3 Einstellungen vornehmen, damit Du datenschutzkonform bleibst:

Entferne dazu die Haken bei „Öffentliche Spamdatenbank berücksichtigen“, „Kommentare aus bestimmten Ländern blockieren“ und am besten auch „Kommentare nur in einer bestimmten Sprache zulassen“. Damit deaktivierst Du diese Funktionen.

Plugins für Backups

Neben all dem Sicherheitswahn dürfen wir nicht vergessen, dass es doch mal dazu kommen kann, dass die Seite entweder gehackt wird, oder durch einen technischen Ausfall des Servers oder durch ein simples Updates des Themes die WordPress-Installation zerstört oder zerschossen werden kann. Auch wenn Strato schon automatisch eigene Backups Deines Webspace anlegt, finde ich das Abspeichern eines eigenen Backups (um mal wie ich neulich eben nur die letzte Version meiner CSS-Datei herauszusuchen), sehr sinnvoll.

Hierfür habe ich das Plugin “BackWPup” für meinen privaten Blog gefunden. Auf der Arbeit benutze ich UpdraftPlus. Um das Plugin für die DSGVO Datenschutzkonform laufen zu lassen, muss beim BackWPup, sowie bei UpdraftPlus, die Speicherung auf den vom Strato zur WordPress-Installation zur Verfügung gestellter Webspace (per FTP) erfolgen. Ein Speichern in der Cloud geht nur dann, wenn Ihr mit dem Cloud-Anbieter eine Auftragsdatenverarbeitung vereinbart. Dazu aber mehr später im Punkt “Strato und die ADV” in Kapitel 2.

Beim einzelnen Einrichten der vielen Plugins und beim Umsetzen der einzelnen Maßnahmen kann ich Euch an dieser Stelle leider nicht helfen. Aber es gibt zu jedem Plugin – und überhaupt zu WordPress – eine riesen Community und viele ausführliche Artikel im Internet.

Hier gibt es eine Liste über WordPress Plugins und ihre Konformität mit DSGVO, und welche Maßnahmen man ergreifen kann, um diese konform zu machen:

» Die umfassende WordPress Plugins DSGVO Liste – Lösungen, Massnahmen, Alternativen, Artikel von Jonas Tietgen von WP Ninjas

Weiterführende Links & Unterstützung

Ich kann leider nicht alle Links und Artikel hier aufführen, die ich im Laufe meiner WordPress-Administration besucht habe. In der letzten Zeit habe ich aber immer wieder bei diesen Artikeln vorbeigeschaut und mir dort wertvolle Tipps und Denkanstöße geben lassen:

• » DSGVO Leitfaden, Artikel von Martina Honecker
• » DSGVO Checkliste für Blogs, Artikel von Ritchie Pettauer auf datenschmutz.net
• » WordPress & DSGVO, Sammlung von Jonas Tietgen von WP Ninjas
• » WordPress Tutorials, Sammlung von René Dasbeck
• » DSGVO Leitfaden für Blogger, Artikel von Sabrina in Lesefreude.at

Und alle weiteren Artikel, die ich hier und in allen Beiträgen meiner Beitragsserie erwähne.

Vielen Dank auch an Josy, die hier immer wieder mal einen Blick drüber wirft und mich im technischen Bereich gerne mal unterstützt 😉

Bitte beachtet: Diese Beitragsserie gibt nur einen Einblick in meine Überlegungen und Recherchen. Ich kann hier keine allgemeingültige Lösung bieten, sondern nur Denkanstöße. Die eierlegende Wollmilchsau gibt es leider nicht. Das hängt auch stark von dem ab, wozu Du Deinen Blog benutzt, und was Du alles damit machen möchtest.

Beitragsserie: TheUjulala & WordPress – wie mache ich meinen Buchblog fit für die DSGVO?

» Kapitel 1: WordPress & Sicherheit
» Kapitel 2: Hosting Server Strato & Co
» Kapitel 3: Plugins & DSGVO (geplant)
» Kapitel 4: DSGVO Maßnahmen & Die Datenschutzerklärung (geplant)
» Kapitel 5: Drittanbieter & Alternativen (geplant)

Nana Shar

Mit etwas über 40 Jahren auf dieser Welt lebe ich mit meiner Familie und einem Hund in Bayern. Am liebsten lese ich im Moment Romantasy, Jugendbücher, Fantasy, Young Adult und New Adult. Mir gefällt vor allem die Mischung aus Spannung und Romantik. » Alle Beiträge von Nana Shar