Letztens ist mir aufgefallen, dass ich bei der Installation von WordPress Seiten immer dieselben Plugins installiere. Welche und warum will ich hier teilen:
- Really Simple SSL – https://really-simple-plugins.com
Wenn ich eine neue Webseite aufsetze oder einen Relaunch einer bestehenden Webseite mache, habe ich meistens noch kein SSL-Zertifikat hinterlegt und zugewiesen. Das passiert erst zum Livegang. Das bedeutet, dass die Seiten-URLs zunächst weiterhin mit „http“ in den Browsern angezeigt und als „unsicher“ klassifiziert werden. Mit Really Simple SSL, ist die Umstellung auf allen Seiten- und Medien-URLs schnell und einfach gemacht. - SVG Support – https://wordpress.org/plugins/svg-support/#description
Aus Sicherheits- und Kompatibilitätsgründen ist die Einbindung von SVG-Dateien in WordPress ist nicht standardmäßig aktiviert. SVG-Dateien können potenzielle Sicherheitsrisiken darstellen, da sie Skripte enthalten können, die beim Rendern im Browser ausgeführt werden. Dies könnte zu Cross-Site-Scripting (XSS) führen, wenn böswillige Skripte eingebettet sind.
WordPress priorisiert die Sicherheit seiner Benutzer und Websites, daher wird standardmäßig die Einbindung von SVG-Dateien nicht erlaubt, um potenzielle Sicherheitslücken zu vermeiden. Dies bedeutet jedoch nicht, dass SVGs überhaupt nicht verwendet werden können. Entwickler können Sicherheitsmaßnahmen ergreifen, um SVGs sicher einzubinden, wie z.B. das Entfernen von Skripten und das Begrenzen der Dateizugriffe.
Ich nutze seit Jahren das Plugin SVG Support, um SVGs einfach sicher in WordPress zu integrieren. Es gibt aber auch eine Reihe anderer Plugins und Methoden. - Post Types Order – https://de.wordpress.org/plugins/post-types-order/
WordPress war ursprünglich ein reines Blog- und Magazin CMS. Deshalb werden Beiträge standardmäßig nach Datum sortiert – meist die aktuellsten zuerst. Als Workaround kann man natürlich jederzeit das Datum verändern, um eine neue, themenadäquate Sortierung zu erreichen. Leichter geht es aber mit „Post Types Order“, mit dem nicht nur Beiträge sondern auch Seiten, Medien, Templates und Navigationsmenüs per Drag-and-Drop verschoben und neu sortiert werden. - Disable and Remove Google Fonts – https://de.wordpress.org/plugins/disable-remove-google-fonts/
Der Einsatz von Google Fonts kann datenschutzrechtlich aus mehreren Gründen bedenklich sein:
Datensammlung durch Google: Wenn eine Website Google Fonts verwendet, werden die Schriftarten von den Google-Servern geladen. Dadurch wird es Google möglich, Informationen über Besucher der Website zu sammeln, einschließlich ihrer IP-Adresse, Browserinformationen und besuchten Seiten. Dies kann dazu führen, dass Nutzerdaten von Google erfasst und möglicherweise für Werbezwecke verwendet werden.
Tracking: Google kann auch Cookies verwenden, um das Verhalten der Nutzer zu verfolgen, wenn sie Websites besuchen, die Google Fonts verwenden. Dies ermöglicht es Google, ein detailliertes Profil der Nutzerinteressen zu erstellen und personalisierte Werbung bereitzustellen.
Abhängigkeit von einem Drittanbieter: Durch die Verwendung von Google Fonts bindet eine Website sich an einen Drittanbieter, was bedeutet, dass die Verfügbarkeit und Leistung der Schriftarten von Google abhängt. Wenn Google Fonts aus irgendeinem Grund nicht verfügbar ist oder langsam lädt, kann dies die Benutzererfahrung auf der Website beeinträchtigen.
Aufgrund dieser Datenschutzbedenken und weil es in letzter Zeit immer wieder Abmahnwellen deshalb gegeben hat, habe ich mich dazu entschieden, auf Google Fonts zu verzichten und stattdessen lokale Schriftarten oder alternative Schriftbibliotheken zu verwenden, die keine externe Verbindung erfordern und keine Nutzerdaten an Dritte übertragen. Dies können auch Google Fonts sein, die heruntergeladen und lokal gehostet werden.
Da Google Fonts in machen Themes standardmäßig eingebunden sind, ist es sinnvoll, „einmal mit dem Besen durchzugehen“, um auch wirklich alle Google Fonts zu deaktivieren und zu entfernen. - Antispam Bee – https://de.wordpress.org/plugins/antispam-bee/
Bei WordPress ist als Standardlösung gegen Spam-Kommentare Akismet vorinstalliert. Es dient der Spam-Erkennung für Kommentare oder Kontaktformulare. Deshalb gilt es bei vielen WordPress Profis trotz der weiten Verbreitung aus Datenschutzsicht bedenklich. Denn jeder geschriebene Kommentar sowie die IP-Adresse des kommentierenden Nutzers werden an Server des US-Unternehmens Automattic gesendet, das hinter Akismet steckt. Rechtlich sicher lässt sich demnach Akismet kaum betreiben. Spätestens seit das EU-US-Privacy-Shield, ein Abkommen zwischen der EU und den USA, vom Europäischen Gerichtshof wegen der zu weitreichenden Befugnisse der US-Geheimdienste für unwirksam erklärt wurde, sollten Webseitenbetreiber sich nach Alternativen umsehen.
Meine Alternative: Antispam Bee blockiert Spam-Kommentare und -Trackbacks effektiv, ohne Captchas und ohne personenbezogene Daten an Dienste von Dritten zu versenden. Es ist kostenlos, werbefrei und 100 % DSGVO-konform.