Antispam Bee und die DSGVO
Die neue Datenschutz-Grundverordnung gilt ab dem 25. Mai. In den wenigen Tagen bis dahin werden viele Betreiber von Websites nervös daran arbeiten, herauszufinden, ob ihre Seiten schon DSGVO-konform sind, welche Plugins vielleicht besser ausgeschaltet oder ausgewechselt werden und welche Services einfach entfernt gehören.
Das Pluginkollektiv ist eine Gruppe von Entwicklerinnen und Entwicklern, die einen ganzen Zoo von WordPress-Plugins pflegen, die allesamt vor einigen Jahren von Sergej Müller (langjährigen Lesern auch als ursprünglicher Autor des WP LETTER bekannt) entwickelt wurden. Ich selbst bin in der glücklichen Lage, von Zeit zu Zeit ein wenig im Pluginkollektiv mitzuarbeiten. All diesen Plugins ist eines gemein: sie wurden vom ersten Tag mit größtem Bedacht auf Datensparsamkeit und Datenschutz konzipiert. Deshalb ist das Statistik-Plugin Statify heute eine simple aber ausreichende Alternative zu Google Analytics und auch Antispam Bee, das vorher schon ein extrem beliebtes Antispam Plugin war, erfährt dieser Tage einigen Zulauf.
Nachdem es im Vorfeld einige Gerüchte bezüglich der DSGVO-Konformität Antispam Bees gab, hat das Kollektiv mit der in Kürze verfügbaren Version 2.8 großen Wert darauf gelegt, alle Zweifel auszuschließen und entfernt eine Option, zum Abgleich mit einer externen Spam-Datenbank. Der Abgleich, der bisher standardmäßig nicht aktiv war, ist für eine zuverlässige Spam-Erkennung nicht erforderlich, durch seinen Wegfall kann das Plugin aber nicht mehr versehentlich „falsch“ konfiguriert werden. Auch hinter den Kulissen wurden Optimierungen vorgenommen. IP-Adressen werden zum Beispiel nicht mehr im Klartext verarbeitet, was einen zusätzlichen Schutz der Daten bedeutet.
Noch befindet sich Antispam Bee 2.8 in der Testphase. Wer dabei helfen möchte und über einige technische Grundkenntnisse verfügt, kann die Beta-Version auf GitHub herunterladen und installieren. Die finale Version 2.8 wird in den kommenden Tagen – und in jedem Fall noch vor dem 25.5. – als normales Update verfügbar sein.
Einführung in WordPress-Sicherheit
Machen wir uns nichts vor: mit knappen 30% Marktanteil ist WordPress ein attraktives Ziel für Angreifer. Die gute Nachricht ist, dass WordPress selbst, das was wir meist als „WordPress-Core“ bezeichnen, ziemlich sicher ist und bei Bekanntwerden eines Sicherheitsproblems in der Regel sehr schnell eine Aktualisierung erfährt.
In der Realität bestehen WordPress-Installationen aber aus deutlich mehr als dem Core. Viele Anwenderinnen und Anwender setzen Themes von Drittanbietern ein, nutzen Plugins aus dem WordPress.org-Verzeichnis und von kommerziellen Anbietern. Dazu kommen Nutzer mit Admin-Rechten, schlechte Passwörter und nur zu gerne vernachlässigte Updates.
Die Sicherheitsexperten von Sucuri haben einen außerordentlich umfassenden Guide zusammengestellt, der auch Einsteiger geschickt durch das Unterholz der WordPress-Sicherheit navigieren dürfte.