Nahezu jede Website unterliegt gewissen rechtlichen Pflichten wie der Datenschutz-Grundverordnung (DSGVO) und dem Telemediengesetz (TMG). Ausgenommen sind zum Teil nur private Websites, die keine Werbung (Banner, Testberichte und Empfehlungen) beinhalten. Darüber hinaus sollten aber grundsätzlich möglichst wenige Daten gespeichert werden, um im Falle eines Datenlecks möglichst wenig Benutzer zu schaden. IP-Adressen sollten gar nicht gespeichert werden und die Übertragung muss verschlüsselt erfolgen. In diesem Artikel beschreibe ich die technische Umsetzung des Datenschutzes und nicht die organisatorische Seite, wie das Erstellen einer Datenschutzerklärung.
Webhoster Logging
Bei jedem Aufruf speichert der Webserver standardmäßig Logdateien von jeder abgerufenen Ressource. Dabei werden neben dem Zeitpunkt, die Art des Abrufs, die Kennung des Webbrowsers und die IP-Adresse mitgespeichert. Ein einzelner Logeintrag sieht wie folgt aus:
1.2.3.4 - - [24/Feb/2021:06:00:35 +0100] "GET /robots.txt HTTP/1.0" 200 121 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" scheible.it
Daher muss kontrolliert werden, ob der eigene Webhoster Logfiles mit den IP-Adressen speichert. Oftmals gibt es eine Option, gar keine Logfiles zu speichern oder die IP-Adresse zu entfernen oder mit einem Platzhalter zu ersetzen.
IP_Log_deaktiviert - - [24/Feb/2021:06:00:35 +0100] "GET /robots.txt HTTP/1.0" 200 121 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" scheible.it
HTTPS aktivieren
Damit die Daten der Besucher während der Übertragung verschlüsselt sind, muss HTTPS aktiviert werden. Jeder Webhoster bietet heutzutage eine HTTPS-Unterstützung. Leider bei einigen Webhostern immer noch gegen eine Gebühr, immer häufiger aber auch kostenlos mittels Let’s Encrypt. Nachdem HTTPS beim Webhoster aktiviert wurde, müssen die Einstellungen von WordPress angepasst werden. Dazu muss im Menüpunkt „Einstellungen > Allgemein“ die WordPress-Adresse und die Website-Adresse von HTTP:// auf HTTPS:// geändert werden.
Als nächster Schritt muss in die .htaccess-Datei, sie liegt im Hauptverzeichnis jeder WordPress Installation, der folgende Code ganz oben eingefügt werden:
RewriteEngine On RewriteCond %{HTTPS} !=on RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Damit werden automatisch alle Aufrufe auf die HTTPS-Variante umgeleitet.
Kommentarfunktion anpassen
Über die Kommentarfunktion können Besucher unterhalb eines Artikels oder auf einer Unterseite die Inhalte kommentieren. Dies ist neben der selten genutzten Funktion der Registrierung die Hauptfunktion, bei der Besucher Daten übermitteln können. Bei den Kommentaren wird der externe Dienst Gravatar eingebunden und die IP-Adresse gespeichert.
WordPress stellt bei den Kommentaren kleine Fotos (Avatare) für jeden Autor eines Kommentars dar. Als Standard wird eine allgemeine Grafik angezeigt. Gibt ein Besucher seine E-Mail-Adresse ein, wird diese mit dem Dienst Gravatar verknüpft. Hat der Kommentator dort einen Account, wird das Foto von Gravatar geladen. Da dies automatisch geschieht, sollte die Funktion deaktiviert werden. Dazu muss im Menüpunkt „Einstellungen > Diskussion“ die Option Avatar Anzeige deaktiviert werden.
Zusätzlich wird zu jedem Kommentar die IP-Adresse gespeichert. Um das Speichern zu unterbinden, muss in die functions.php der folgende Code eingefügt werden:
function remove_ip( $comment_author_ip ) { return '127.0.0.1'; } add_filter( 'pre_comment_user_ip', 'remove_ip' );
Die functions.php befindet sich im Verzeichnis des Themes der WordPress Website. Damit wird die IP-Adresse mit dem Platzhalter 127.0.0.1 überschrieben.
Plugins
WordPress kann mit Plug-ins um zusätzliche Funktionen erweitert werden. Allerdings können diese Plug-ins auch zusätzliche Daten erheben und speichern oder im schlechtesten Fall weitergeben. Daher sollten vor allem Plug-ins gewählt werden, die eine Beschreibung haben, welche Daten verarbeitet werden. Auch hier gilt: umso weniger Plug-ins, umso besser.
Fazit WordPress Datenschutz
Mit diesen einfachen Handgriffen lässt sich der Datenschutz von WordPress zielgerichtet verbessern. Zusätzlich bietet WordPress Hilfe bei der Erstellung einer Datenschutzerklärung. Dazu gibt es einen extra Seitentyp. Und unter „Werkzeuge“ gibt es die beiden Optionen „Personenbezogene Daten exportieren“ und „Personenbezogene Daten löschen“. Damit können einfach Anfragen nach dem DSGVO beantwortet und durchgeführt werden.