Was Du an Deiner WordPress Webseite anpassen solltest
Gastartikel
Mein Name ist Mathias und ich bin Webendtwickler mit grosser WordPress-Leidenschaft. Täglich befasse ich mich mit vielen unterschiedlichen Anliegen zum Thema Website. Wir haben viele Kunden, die ihre Website selber aufbauen möchten und lediglich Unterstützung bei WordPress benötigen.
Die häufigsten Fragen beginnen mit: „Wie mache ich …”.
Im Zuge der DSGVO ist es ohnehin wichtig, sich mit seiner Website zu beschäftigen. Allgemeine Informationen zum Erstellen einer Website findest Du bereits auf Claudias Blog. Dort gibt es auch eine Liste mit den sechs Must-have Inhalten für Deine Website.
Auf ein paar Punkte, in Hinblick auf den Stichtag der DSGVO (25. Mai 2018), möchte ich Dich jetzt vorbereiten. Dazu zählen nicht nur Dinge, die auf Deiner Seite sichtbar (Frontend) sind, sondern auch Dinge, die im Hintergrund (Backend) laufen. Wenn Du Dich noch gar nicht mit der DSGVO auseinandergesetzt hast, dann empfehle ich Dir den Gastartikel von Jasmin Lieferring auf Claudias Blog.
An dieser Stelle möchte ich dir zeigen, was ich auf unserer Website mache:
Updates sind ein essentieller Bestandteil einer WordPress Seite
1. Updates
Wann hast Du das letzte Mal ein WordPress-Update gemacht?
Wenn Du in WordPress eingeloggt bist, werden dir Updates direkt oben neben Deinem Seitenname sowie links in der Navigation, wenn Du auf „Dashbord” klickst, angezeigt. Es ist sehr wichtig, dass die WordPress-Version, sowie Deine Plugins, regelmäßig aktualisiert werden, da mit einem Update auch Sicherheitslücken geschlossen werden. Zum Aktualisieren kannst Du einfach auf das kreisförmige „Pfeilsymbol“ neben Deinem Websitenamen klicken.
Aktualisierungen werden gerne unterschätzt. Auch kleine Websites werden gehackt. Daher hier auch ein kleiner Tipp: wenn Du Dich selbst nicht um Updates kümmern kannst, dann beauftrage jemanden. Es ist günstiger als eine ganze Website samt Inhalten, die sich über die Jahre angesammelt haben, zu verlieren. Durch Updates schützt Du auch die Daten Deiner Kunden, insbesondere, wenn Du einen Shop oder Kundenbereich mit eingebaut hast. Denn durch eine Sicherheitslücke können personenbezogene Daten „abgefangen” werden.
Tipp: Bevor Du ein Update machst, führe unbedingt ein Backup durch. Auch hier gibt es zahlreiche Beschreibung, auch direkt von WordPress. Es ist insgesamt einfacher, als es zunächst erscheint. Ich empfehle Dir diese Beschreibung.
Sind Deine Plugins eigentlich alle aktuell?
2. Plugins
Plugins sollten nicht nur regelmäßig aktualisiert, sondern auch auf die Übermittlung von Daten überprüft werden. Vor der Installation solltest Du überprüfen, wann dieses Plugin das letzte Update bekommen hat. Sollte es zu lang her sein (meine Grenze sind sechs Monate), dann lass lieber die Finger von diesem Plugin.
WordPress-Seiten, die wir für Kunden erstellen, haben immer das Plugin Wordfence installiert. Wordfence ist wohl derzeit noch nicht DSGVO konform, allerdings arbeiten sie daran, es bis zum 25. Mai noch umzustellen.
Dieses Plugin blockiert Angriffe auf Deine WordPress-Seite. Es sind z.B. Angriffe bei denen versucht wird, sich als Admin auf Deiner Seite anzumelden. Versuche mit so wenig Plugins wie möglich zu arbeiten. Jedes Plugin könnte ein weiteres Sicherheitsrisiko sein. Überprüfe daher vorher, wie viele Bewertungen das Plugin hat, wie viele Downloads und wie oben beschrieben, wann es das letzte Update bekommen hat.
Klicke dafür auf „Plugins“ > „installierte Plugins“ und dann bei dem jeweiligen Plugin auf „Details ansehen“. Es öffnet sich dann die folgende Übersicht eines Plugins:
Ein SSL Zertifikat verschlüsselt die Übermittlung deiner Daten
3. SSL Zertifikat
Ein SSL Zertifikat ist sehr wichtig. Rufst Du eine Website ab, forderst Du die Dateien der Website vom Webserver an. Dieser sendet Dir dann die Dateien zu. Mit einem SSL Zertifikat ist diese Übertragung verschlüsselt und damit sicherer. Besonders Daten, die von einem Kontaktformular Deiner Website versendet werden, sind so besser geschützt. Viele Webhoster bieten kostenfreie Varianten für eine Domain an, bei anderen musst Du dafür extra bezahlen. Kein Webhoster stellt Deine Seite einfach so, ohne Vorwarnung, auf SSL um. Mit einem SSL Zertifikat steht vor dem www. Deiner Website ein https:// anstelle von http://. Außerdem hat Google bereits angekündigt, dass nicht verschlüsselte Website im Ranking zukünftig abgestraft werden. Frage bei Deinem Webhoster nach, ob er Dir ein SSL zur Verfügung stellen kann. Danach stellst Du Dein WordPress auf SSL um. Ich kann Dir hier leider keine Anleitung an die Hand geben, da es von Webhoster zu Webhoster variiert. Solltest Du Dich nicht mit einem SSL Zertifikat auseinandersetzen wollen oder können, dann unterstütze ich Dich sehr gerne dabei.
Checkboxen dienen als Hinweis
4. Kontaktformular
Hast Du ein Kontaktformular auf Deiner Website? Wir haben eins und in Bezug auf die DSGVO, machen wir folgendes:
Wir fragen in Zukunft nur noch die E-Mailadresse verpflichtend ab. Alle anderen Angaben sind freiwillig. Natürlich nutzen wir ein Captcha bzw. eine Sicherheitsabfrage (bei Contact Form 7 heißt es „Quiz”), um SPAM-Mails zu unterdrücken.
Außerdem werden wir in Zukunft eine Checkbox mit folgendem Hinweis anbieten: „Mit dem Absenden des Kontaktformulars und den darin enthaltenen personenbezogenen Daten, erkläre ich mich mit der Übermittlung an Sie und der Verarbeitung meiner Daten für eine Antwort auf meine Anfrage einverstanden.“. Ist die Checkbox nicht angeklickt, wird auch nichts übertragen.
Freebies sind nicht tot, die Umsetzung muss nur anders erfolgen.
5. Newsletter
Für die Newsletter-Anmeldung fragen wir nur noch die E-Mailadresse ab und schreiben unseren Newsletter eher „neutral“. Das ist natürlich nicht schön, aber in Hinblick auf die DSGVO für uns die sicherste Variante. Außerdem ist die Newsletter Anmeldung bei uns immer freiwillig, ohne die Möglichkeit sich für ein Freebie (kostenfreies „Geschenk“) gleichzeitig anmelden zu können. Das Freebie kannst Du allerdings zum kostenfreien Download für jeden zur Verfügung stellen.
Hier möchte ich Dir gerne die Facebook Gruppe „DSGVO und Online Marketing Recht“ von Sabrina Keese – Haufs ans Herz legen. Dort findest du auch alle wichtigen Informationen rund um das Thema Freebie im Sinne der DSGVO, direkt frisch von einer Anwältin geliefert. Sollte es Urteile oder Neuerungen in der Auslegung geben, dann wirst Du sie dort als erstes erfahren. Um diese Informationen erfahren zu können, musst Du selbstverständlich Mitglied dieser Gruppe sein.
Die Browsererweiterung „Ghostery“ kann Dir übrigens anzeigen, welche Tracker sich auf Deiner Website befinden. Diese Erweiterung gibt es sowohl für Chrome, als auch für Firefox und ist auf Deutsch. Dort kannst Du beispielsweise auch Werbung blockieren, sowie den Einsatz des Facebook Pixel. Als gute Alternative kann ich auch „uBlock Origin” empfehlen, aber bitte nicht mit ublock.org verwechseln.
Thema Datenschutz: Ghostery sammelt wohl selber auch Daten von den Ghostery-Nutzern, was uBlock Origin nicht macht. Ghostery ist jedoch schneller und leichter eingerichtet.
Schritt für Schritt zur Anzeige deiner Cookies
6. Cookies
Um herausfinden zu können, welche Cookies deine Website setzt, musst Du bei Firefox folgenden Befehl ausführen: Rechtsklick auf gewünschter Website
- Seiteninformationen anzeigen
- dann öffnet sich ein separates Fenster (Mac & Windows Darstellungen weichen voneinander ab) und dort klickst Du auf „Sicherheit“
- danach wählst Du im Bereich „Datenschutz & Chronik“ den Button „Cookies anzeigen“
- nun werden dir alle von dieser Seite gesetzten Cookies angezeigt
Achte darauf, dass Dein Cookie Hinweis auf der Website dein Impressum und Deine Datenschutzerklärung nicht verdeckt!
Analyse Tools helfen Dir Deine Marketingtätigkeiten zu verbessern, aber sie bringen auch Risiken mit sich.
7. Google Analytics
Für die Nutzung von Google Analytics ist ein Auftragsdatenverarbeitungsvertrag mit Google notwendig, was ja kein Geheimnis mehr ist. Es ist sehr wichtig, dass Du Google Analytics nur nutzt, wenn Du tatsächlich auch auf die analytischen Daten zugreifen möchtest. Andernfalls empfehle ich Dir Google Analytics nicht zu nutzen. Wir hatten schon einige Kunden, die jahrelang Google Analytics auf ihrer Website eingebunden hatten, aber sich nicht einmal eingeloggt haben. Zum Umgang mit Google Analytics gab es bereits einen tollen Gastartikel von Anja Herting. Es ist wichtig, dass Du in Deiner Datenschutzerklärung einen Hinweis zu Google Analytics bietest und die „Opt-out“ Möglichkeit. Dafür gibt es bereits kostenpflichtige Plugins. Wir selber nutzen keine Tracking Tools mehr und wenn, war es immer Matomo (bzw. früher PIWIK). Da dieses Tracking Tool direkt auf dem eigenen Server installiert werden muss. Das Durcheinander und hin und her wegen Datenschutz ist uns, auf gut Deutsch gesagt: zu doof. Wir brauchen auch nicht zwingend ein Trackingtool. Das ist nur wirklich relevant, wenn damit aktiv gearbeitet und die Website entsprechend ausgerichtet wird.
Wichtiger Hinweis: Hier gibt es aktuell kurzfristige neue Auslegungen der DSGVO. Dazu gibt es ebenfalls alle Informationen in der Facebook-Gruppe von Sabrina Keese-Haufs.
8. Facebook Pixel
Dieser war bei uns noch nie im Einsatz, da wir diesen aus Datenschutzgründen schon immer selber als kritisch empfunden haben. Facebook wird, soweit wir gehört haben, in Zukunft einen Auftragsdatenverarbeitungsvertrag anbieten, damit der Facebook Pixel ordnungsgemäß eingesetzt werden kann. Allerdings achte vorsichtshalber auch hier darauf, eine Opt-out Möglichkeit anbieten zu können. Dafür gibt es bereits ein Plugin, welches allerdings nicht kostenfrei ist. In diesem Plugin wird auch das Opt-out von Google Analytics möglich. Erwähne den Facebook Pixel auch in Deiner Datenschutzerklärung.
Wichtiger Hinweis: Die neue Auslegung der DSGVO betrifft ebenfalls den Facebook Pixel. Hier werden neue Informationen in Sabrinas Facebook Gruppe veröffentlicht.
9. Datenschutzerklärung und Impressum
Im Rahmen der DSGVO ist es natürlich super wichtig eine angepasste Datenschutzerklärung und dazu auch das passende Impressum zu haben. Für beides empfehle ich jeweils eine Unterseite. Wir lassen uns unsere Rechtstexte schreiben und das können wir auch jedem empfehlen. Auf kostenfreie Generatoren kann auch zurückgegriffen werden beispielsweise von Dr. Thomas Schwenke oder der deutschen Gesellschaft für Datenschutz. Allerdings wird hier keine Haftung übernommen. Das Risiko musst Du für Dich selbst abschätzen.
Weitere wichtige Punkte zu Deiner Webseite und der DSGVO:
- nutze starke Passwörter
- regelmäßige Updates sind notwendig
- Backups erstellen, um Deine Inhalte zu sichern
- überprüfe, welche Daten nach außen übermittelt werden
- überprüfe, welche Cookies Deine Website setzt
- überprüfe Deine Plugin Auswahl – Sind alle notwendig?
Wir bieten Dir auch einen kompletten Check an mit der Umsetzung von wichtigen Maßnamen, um die Sicherheit deiner WordPress Seite zu erhöhen. Ich hoffe Dir sind einige Dinge jetzt etwas klarer, bei Fragen darfst Du Dich selbstverständlich gerne melden.
Vielen Dank an Claudia, dass ich diesen Gastartikel verfassen darf. Für Fragen stehe ich Euch natürlich gerne zur Verfügung.
Der Autor
Mathias Grothe, Webentwickler mit großer WordPress Leidenschaft. Ich habe es mir zur Mission gemacht, Webhosting einfach zu erklären. Bei meinen Paketen spielt auch die DSGVO eine große Rolle. Mehr dazu findest Du auf www.mira-webhosting.de
Der Artikel kommt gerade recht, ich habe ihn mir direkt gespeichert, denn so einige to do’s sind auf meiner Website noch zu erledigen, bis die DGSVO in Kraft tritt! 🙂
Liebe Grüße, Kay.
http://www.twistheadcats.com
Ich möchte ergänzen, dass nicht nur Formulare mit einer Checkbox zum Einholen der Genehmigung für die Verarbeitung der übertragenen Daten auszustatten sind, sondern – und das ist ja noch wichtiger/verbreiteter – auch die Kommentarfunktion!
Genau Eddy, aus diesem Grund habe ich soeben diese Plugin installiert: https://wordpress.org/plugins/shapepress-dsgvo/
Danke für Deinen Kommentar!
Herzliche Grüsse
Claudia