Tobias Scheible Cyber Security & IT-Forensik Dozent
Notebook Tastatur

WordPress und der Datenschutz

Eine selbst gehostete Version von WordPress bietet den Vorteil, dass sie sehr einfach datenschutzfreundlich konfiguriert werden kann. Mit einigen Handgriffen kann die Basisinstallation auf einen sehr guten Stand gebracht werden und so ein korrekter technischer Datenschutz umgesetzt werden.

Sonntag, 21. März 2021
0 Kommentare

Nahezu jede Website unterliegt gewissen rechtlichen Pflichten wie der Datenschutz-Grundverordnung (DSGVO) und dem Telemediengesetz (TMG). Ausgenommen sind zum Teil nur private Websites, die keine Werbung (Banner, Testberichte und Empfehlungen) beinhalten. Darüber hinaus sollten aber grundsätzlich möglichst wenige Daten gespeichert werden, um im Falle eines Datenlecks möglichst wenig Benutzer zu schaden. IP-Adressen sollten gar nicht gespeichert werden und die Übertragung muss verschlüsselt erfolgen. In diesem Artikel beschreibe ich die technische Umsetzung des Datenschutzes und nicht die organisatorische Seite, wie das Erstellen einer Datenschutzerklärung.

Webhoster Logging

Bei jedem Aufruf speichert der Webserver standardmäßig Logdateien von jeder abgerufenen Ressource. Dabei werden neben dem Zeitpunkt, die Art des Abrufs, die Kennung des Webbrowsers und die IP-Adresse mitgespeichert. Ein einzelner Logeintrag sieht wie folgt aus:

1.2.3.4 - - [24/Feb/2021:06:00:35 +0100] "GET /robots.txt HTTP/1.0" 200 121 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" scheible.it

Daher muss kontrolliert werden, ob der eigene Webhoster Logfiles mit den IP-Adressen speichert. Oftmals gibt es eine Option, gar keine Logfiles zu speichern oder die IP-Adresse zu entfernen oder mit einem Platzhalter zu ersetzen.

IP_Log_deaktiviert - - [24/Feb/2021:06:00:35 +0100] "GET /robots.txt HTTP/1.0" 200 121 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" scheible.it

HTTPS aktivieren

Damit die Daten der Besucher während der Übertragung verschlüsselt sind, muss HTTPS aktiviert werden. Jeder Webhoster bietet heutzutage eine HTTPS-Unterstützung. Leider bei einigen Webhostern immer noch gegen eine Gebühr, immer häufiger aber auch kostenlos mittels Let’s Encrypt. Nachdem HTTPS beim Webhoster aktiviert wurde, müssen die Einstellungen von WordPress angepasst werden. Dazu muss im Menüpunkt „Einstellungen > Allgemein“ die WordPress-Adresse und die Website-Adresse von HTTP:// auf HTTPS:// geändert werden.

WordPress HTTPS Einstellung
WordPress HTTPS Einstellung
WordPress HTTPS Einstellung WordPress HTTPS Einstellung

Als nächster Schritt muss in die .htaccess-Datei, sie liegt im Hauptverzeichnis jeder WordPress Installation, der folgende Code ganz oben eingefügt werden:

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Damit werden automatisch alle Aufrufe auf die HTTPS-Variante umgeleitet.

Kommentarfunktion anpassen

Über die Kommentarfunktion können Besucher unterhalb eines Artikels oder auf einer Unterseite die Inhalte kommentieren. Dies ist neben der selten genutzten Funktion der Registrierung die Hauptfunktion, bei der Besucher Daten übermitteln können. Bei den Kommentaren wird der externe Dienst Gravatar eingebunden und die IP-Adresse gespeichert.

Gravatar

WordPress stellt bei den Kommentaren kleine Fotos (Avatare) für jeden Autor eines Kommentars dar. Als Standard wird eine allgemeine Grafik angezeigt. Gibt ein Besucher seine E-Mail-Adresse ein, wird diese mit dem Dienst Gravatar verknüpft. Hat der Kommentator dort einen Account, wird das Foto von Gravatar geladen. Da dies automatisch geschieht, sollte die Funktion deaktiviert werden. Dazu muss im Menüpunkt „Einstellungen > Diskussion“ die Option Avatar Anzeige deaktiviert werden.

WordPress Gravatar Einstellungen
WordPress Gravatar Einstellungen
WordPress Gravatar Einstellungen WordPress Gravatar Einstellungen
IP-Adressen

Zusätzlich wird zu jedem Kommentar die IP-Adresse gespeichert. Um das Speichern zu unterbinden, muss in die functions.php der folgende Code eingefügt werden:

function remove_ip( $comment_author_ip ) {
    return '127.0.0.1';
}
add_filter( 'pre_comment_user_ip', 'remove_ip' );

Die functions.php befindet sich im Verzeichnis des Themes der WordPress Website. Damit wird die IP-Adresse mit dem Platzhalter 127.0.0.1 überschrieben.

Plugins

WordPress kann mit Plug-ins um zusätzliche Funktionen erweitert werden. Allerdings können diese Plug-ins auch zusätzliche Daten erheben und speichern oder im schlechtesten Fall weitergeben. Daher sollten vor allem Plug-ins gewählt werden, die eine Beschreibung haben, welche Daten verarbeitet werden. Auch hier gilt: umso weniger Plug-ins, umso besser.

Fazit WordPress Datenschutz

Mit diesen einfachen Handgriffen lässt sich der Datenschutz von WordPress zielgerichtet verbessern. Zusätzlich bietet WordPress Hilfe bei der Erstellung einer Datenschutzerklärung. Dazu gibt es einen extra Seitentyp. Und unter „Werkzeuge“ gibt es die beiden Optionen „Personenbezogene Daten exportieren“ und „Personenbezogene Daten löschen“. Damit können einfach Anfragen nach dem DSGVO beantwortet und durchgeführt werden.

Über Tobias Scheible

Tobias Scheible

Hallo, mein Name ist Tobias Scheible. Ich bin begeisterter Informatiker und Sicherheitsforscher mit den Schwerpunkten Cyber Security und IT-Forensik. Mein Wissen teile ich gerne anhand von Fachartikeln hier in meinem Blog. Als Referent halte ich Vorträge und Workshops für Verbände und Unternehmen u. a. auch offene Veranstaltungen für den VDI und die IHK.

Kommentare

Es wurde noch kein Kommentar abgegeben.

Schreibe einen Kommentar!

Hilfe zum Kommentieren

Um kommentieren zu können, geben sie bitte mindestens ihren Namen und ihre E-Mail-Adresse an. Bitte nutzen Sie die Kommentarfunktion nicht dazu, andere zu beleidigen oder Spam zu verbreiten. Trolle und Spammer sind hier unerwünscht! Unangemessene Kommentare, die zum Beispiel gegen geltendes Recht verstoßen oder eine Gefährdung anderer Besucher darstellen, werden gelöscht oder angepasst.

Name: Ihr Name, der oberhalb des Kommentars steht, gerne auch Ihren echten Namen, das erleichtert die Kommunikation für alle. Sollte ein Spam-Keyword als Name verwendet werden, kann dieses entfernt oder korrigiert werden.

E-Mail: Ihre E-Mail Adresse dient zur Identifizierung weiterer Kommentare und sie haben die Möglichkeit, ein Avatar-Bild zu verwenden. Dazu müssen Sie mit Ihrer E-Mail Adresse bei Gravatar angemeldet sein. Die E-Mail Adresse wird natürlich nicht veröffentlicht und nicht weitergegeben.

Website: Hier können Sie ihren eigenen Blog bzw. ihre eigene Website eintragen, dadurch wird Ihr Name und Ihr Avatar-Bild verlinkt. Werden rein kommerzielle Angebote offensichtlich beworben, setze ich den Link auf nofollow und unangemessene werden einfach entfernt.

Erlaubte HTML-Tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <hr> <big> <small> <sub> <sup> <u>

Ihre E-Mailadresse wird nicht veröffentlicht. Mit dem Absenden anerkennen Sie die Datenschutzhinweis des Blogs.