WordPress ist ein Web-Content-Management-System (kurz WCMS).
Ein Content-Management-System (CMS, Inhaltsverwaltungssystem) ist eine Software zur gemeinschaftlichen Erstellung, Bearbeitung und Organisation von Inhalten (Content) zumeist in Webseiten.
Außer WordPress gibt es unter anderem Joomla, TYPO3 und Drupal.
WordPress ist das derzeit am meisten verwendete Open-Source-CMS.
Open Source (offene Quelle) ist Software mit öffentlich einsehbaren Quelltext und kann meistens kostenlos genutzt werden.
WordPress basiert auf der Skriptsprache PHP (empfohlen wird PHP 7 oder höher) und benötigt z. B. eine MySQL-Datenbank.


Eine SSL-Verbindung (Secure Socket Layer) ist eine verschlüsselte Netzverbindung zwischen einem Server und einem Client (Browser). SSL wurde von der Netscape Communications Corporation entwickelt.
Die letzte Version des SSL-Protokolls war die 3.0 und sie wurde von TLS (Transport Layer Security) Version 1.0 ersetzt.

Die Verschlüsselung erfolgt insbesondere beim Einsatz mit HTTPS.
HTTPS ist die verschlüsselte Variante von HTTP (Hypertext Transfer Protocol). Das Protocol lädt Webseiten (Hypertext-Dokumente) vom Internet auf den Webbrowser und ist auch als allgemeines Dateiübertragungsprotokoll sehr verbreitet.

Eine Website, auch eine private Website, sollte über „https“ übermittelt werden.
Gemäß Artikel 5 Abs. 1 lit. f DSGVO in Verbindung mit Art. 32 Abs. 1 lit. a DSGVO müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der Daten gewährleistet. „Unter Berücksichtigung des Stands der Technik“
https://dejure.org/gesetze/DSGVO/5.html
https://dejure.org/gesetze/DSGVO/32.html
https://www.website-check.de/blog/datenschutzrecht/update-zur-dsgvo-muss-die-komplette-website-ssl-verschluesselt-werden/


Eine Seite wendet sich nur an Ihre Freunde, Bekannten und Verwandten und der Betreiber verfolgt mit der Website keinerlei wirtschaftliche Interessen. Ist es dann so, dass die EU-Zensur DSGVO diese Website nicht betrifft?

Jeder, der die EU-Regulierungswut kennt, wird wissen, dass das so natürlich nicht stimmt.

Sobald nämlich eine Seite im Internet veröffentlicht wird, richtet sich diese Seite an die Öffentlichkeit. Da sie von jedermann aufgerufen werden kann, ist sie – schwups – keine private Seite mehr und braucht eine Datenschutzerklärung mit Impressum.

In der Datenschutzerklärung muss unter anderem eine E-Mail-Adresse genannt werden. Die Daten des Besuchers, der eine Mail an den Werbsitebetreiber schickt, werden auf Mailservern und Computern des Providers gespeichert.
Auf diese Speicherung der Daten ist der Besucher hinzuweisen.


In wie weit bei dem Besuch der ersten Seite der Website persönliche Daten erhoben und verarbeiten werden, ist vom Provider und dem Inhalt der Website abhängig.

Zusammengefaßt ergibt sich neben den Cookies eine Infopflicht für verschiedene Punkte:
Der Server speichert beim Aufruf einer Website Verbindungsdaten wie IP, Browser, Datum und Uhrzeit. Das kann ein normaler Webspace-Kunde gar nicht verhindern.
Der Gesetzgeber verlangt sogar die Speicherung weil es zu strafbaren Handlungen (?) der Besucher kommen könnte.
Aus den zwangsweise gespeicherten Daten können Provider, diverse Strafverfolgungsbehörden, Geheimdienste und andere Überwachungsorganisationen die Person hinter der Verbindung ausfindig machen.

Es spielt zudem eine Rolle, ob ein CMS verwendet wird. Das ist ein Content-Management-System (=Inhaltsverwaltungssystem), eine Software mit der Inhalte z. B. von Websites verwaltet werden.
So ist WordPress als CMS sehr verbreitet.
Über 60% des CMS-Marktanteils gehören zu WordPress und damit ist WordPress das CMS mit der grössten Verbreitung.
Quelle:w3techs.com/technologies/overview/content_management


WordPress bietet viele Erweiterungen mittels Plug-ins, das sind optionale Software-Komponenten.

Dabei ist das Problem, dass viele Plugins Daten an Dritte senden. Das machen sie teilweise um die Funktion des Plugins sicherzustellen, teilweise aber auch einfach ohne ersichtlichen Grund.
Personenbezogene Daten (IP-Adressen), die unkontrolliert verwendet werden, stellen einen Verstoß gegen die DSGVO dar. Nur wenn die Daten kontrolliert von diversen Strafverfolgungsbehörden, Geheimdiensten und andere Überwachungsorganisationen genutzt werden, ist alles in Ordnung.
Auch darüber muss der Besucher informiert werden.

Da die wenigsten Plugins die Art und Weise des Datenumgangs dokumentieren, sollten möglichst alle Plugins vermieden werden, von denen Datenübermittlung bekannt ist.

Eine sehr ausführliche Liste von WordPress Plugins und deren Datenhunger, hat der Blog „blogmojo“ unter der Adresse: https://www.blogmojo.de/wordpress-plugins-dsgvo/ veröffentlicht.

Blogmojo stuft die folgenden Plugins als problematisch ein. Für diese Plugins ist derzeit keine Lösung bekannt, mit der diese Plugins DSGVO-konform genutzt werden könnten:

jQuery Pin It Button for Images
MashShare
Monarch
Share Icons Share Buttons
ShareThis
Social Locker
WpDevArt Facebook comments
Google Captcha (reCAPTCHA) by BestWebSoft
Wordfence Security
FeedStats
Disqus Comment System
wpDiscuz
Compress JPEG & PNG images
EWWW Image Optimizer Cloud
Kraken.io Image Optimizer
ShortPixel Image Optimizer
WordPress File Upload
Jetpack
Lana Downloads Manager
OneSignal
Printfriendly
ThirstyAffiliates
WP Job Manager

Anpassbare Plugins

Sehr viele der beliebten und häufig eingesetzten Plugins, bieten die Möglichkeit Einstellungen vorzunehmen, die das Übertragen personenbezogener Daten unterbinden. Bei diesen Plugins ist somit der Einsatz möglich, muss aber ggf. in der Datenschutzerklärung erwähnt werden.

Arqam Social Counter
Better Click to Tweet
Lightweight Social Icons
Meks Smart Social Widget
NextScripts: Social Networks Auto-Poster
Open Graph for Facebook, Google+ and Twitter Card Tags
Shariff Wrapper
Social Count Plus
BBQ (Block Bad Queries)
Sucuri Security
Statify
a3 Lazy Load
Autoptimize
Cache Enabler
Cachify
Crazy Lazy
Fast Velocity Minify
Optimize Database after Deleting Revisions
SG Optimizer
W3 Total Cache
WP Fastest Cache
WP-Optimize
WP Rocket
WP Super Cache
WP-Sweep
404 Redirection
All 404 Redirect to Homepage
All in One SEO Pack
Breadcrumb NavXT
Broken Link Checker
Change Permalink Helper
Contextual Related Posts
FV Top Level Categories
Google XML Sitemaps
Simple 301 Redirects
Table of Contents Plus
Title and Nofollow For Links
Yet Another Related Posts Plugin
Yoast SEO
XML Sitemap & Google News feeds
wpSEO
Enable Media Replace
EWWW Image Optimizer
Force Regenerate Thumbnails
Imsanity
Media Cleaner
Media File Renamer
Resize Image After Upload
WP Retina 2x
404page
Collapse-O-Matic
Genesis Columns Advanced
Max Mega Menu
MaxButton
Popup Builder
Posts in Page
Q2W3 Fixed Widget
Responsive Lightbox & Gallery
Shortcoder
WordPress Popular Posts
WP-PageNavi
Advanced Access Manager
Advanced Ads
Advanced Custom Fields (ACF)
Advanced Excerpt
amr shortcode any widget
Better Search Replace
Black Studio TinyMCE Widget
CSS & JavaScript Toolbox
Disable Emails
Duplicate Post
Easy Code Manager
Envato Market
Email Address Encoder
Featured Image Admin Thumb
FeedWordPress
Head, Footer and Post Injections
HTML Editor Syntax Highlighter
Insert Headers and Footers
Loco Translate
Public Post Preview
Quick Featured Images
Reveal IDs
Reviewer WordPress Plugin
Search & Replace
TablePress
tinyCoffee
TinyMCE Advanced
User Role Editor
Widget Logic
WordPress Importer
WPML
WP Recipe Maker
WP Ultimate Post Grid
WP Ultimate Recipe


Die WordPress-Seite des Theme „Baskerville“:


WordPress hat neuerdings einen Blockeditor: „Gutenberg“.
Um weiter bei dem klassischen WordPress-Editor zu bleiben, ist das Plugin „Classic Editor“ von WordPress-Mitwirkende anzuwenden.


Bei dem Theme „Baskerville“ kann der Header-Bereich so geändert werden:

->Design->Theme-Editor->Stylesheet (style.css)

Zeile 296
.header { padding: 70px 0; }  ändern in
.header { padding: 200px 0; }

->Design->Theme-Editor->Stylesheet (style.css)

Zeile 312
font-family: ‚Pacifico‘, sans-serif; ändern in
font-family: ‚Kunstler Script‘, sans-serif;

Zeile 313
font-size: 2.25em; ändern in
font-size: 7.25em;

dazu (neue Zeile 314) font-weight: bold;

Dann unten auf „Datei aktualisieren“ klicken.

Wichtig: Nach einer Theme-Aktualisierung muss dieser Vorgang wiederholt werden! Zuletzt 15.06.2020


Optisch ist ein zum Headerbild passender Hintergrund natürlich viel schöner. Dazu ist dazu keine große Programmiertätigkeit erforderlich, denn unter „Farben“ wird diese Veränderung angeboten. Die dort eingestellte Farbe gilt für alle Seiten und Beiträge.

CSS bedeutet: Cascading Style Sheets und ist auch eine Web-Sprache. Mit CSS können Gestaltungsanweisungen erstellt werden.
Zum Beispiel könnte die erste Seite (Homepage) beim Aufruf der URL (Uniform Resource Locator = einheitlicher Ressourcenzeiger) einen grauen Hintergrund bekommen.

Jede Seite hat eine ID. Die Nummer der Homepage steht oben: “post=7”.

Bei eigenen CSS-Befehlen sind Kommentare wichtig. Sie garantieren auch nach längerer Zeit, dass eindeutig klar ist, was das CSS verändert. Ein Kommentar wird durch /* eingeleitet und mit */ abgeschlossen.

Für die graue Farbe kann der hexadezimale Farbcode verwendet werden, der mit der Raute beginnt. Hexa verweist auf die sechsstellige Buchstaben/Ziffernfolge des Farbcodes.

Auch der RGB-Code wäre möglich.

Die geschweiften Klammern {} umfassen die Kombination Eigenschaft und Wert. Das Semikolon nach dem Wert ist wichtig, da es die Kombination von „Eigenschaft: Wert;“ abschließt.
Daraus ergibt sich der Befehl:
/* Hintergrundfarbe: Homepage */
body.page-id-7 {background-color: #b3b3b3; }

Anmerkung: Nach einer Theme-Aktualisierung müssen CSS-Befehle NICHT neu geschrieben werden!
Und es gibt einen Konverter mit dem ein Hex-Farbcode (HTML) in RGB umgewandelt werden kann und umgekehrt: https://www.ultimatesolver.com/de/hex2rgb
Und noch etwas umfangreicher ist diese Seite: http://www.farbtabelle.at/farben-umrechnen/


Bei dem Theme „Baskerville“ können Kommentare und Pings für jeden Beitrag einzeln mit Klick auf „QuickEdit“ erlaubt oder deaktiviert werden.


Bei längeren Arbeiten an der Website ist eine Umschaltung auf eine Wartungsseite empfehlenswert. Es reicht eine Seite mit einer einfachen Mitteilung:
Maintenance“ von WP Maintenance
Bei einer nicht-kommerziellen Informations- und/oder Hobbyseite muss bei der Wartung kein Impressum angegeben werden.


Nur ein kosmetischer Eingriff wäre die Reduzierung des unteren Bereichs (Werbezeile).
Design->Editor->Stylesheet (style.css)
2. Structure
Zeile 239 .small-padding { padding: 40px 0; }
small-padding auf 10px reduzieren
Dann unten auf das Türkisfeld „Datei aktualisieren“ klicken.
Wichtig: Nach einer Theme-Aktualisierung muss dieser Vorgang wiederholt werden!

Hier ist auch Zeile 240
.medium-padding { padding: 60px 0; }
Wenn die drei Footer nicht benötigt werden, kann die Höhe dieses Bereichs zum Beispiel auf 5px reduziert werden.

Und gleich noch eine Bemerkung zu dem Footer.
So wird die Fußzeile einer Website genannt. Dieser Bereich kann auf unterschiedliche Art genutzt werden, es können dort also ganz verschiedene Widgets stehen.


Und gleich noch eine Bemerkung zu den Widgets.
Das sind kleine Computerprogramme, die in ein anderes Programm integriert werden.
Bei dem Theme “Baskerville” stehen unter anderem diese zu Verfügung:


Die Login-Schranke zum Admin-Bereich bei WordPress ist relativ leicht zu erreichen (nach der URL kommt „wp-login.php?“) und da über 30 Prozent aller Webseiten mit WordPress laufen, können Hacker die Loginbereiche leicht finden und angreifen.

Eine einfache aber nicht ausreichende Schutzmaßnahme ist das Verstecken des WP-Adminbereichs. Das bedeutet in diesem Fall aber nicht, dass Angreifer nicht mehr darauf zugreifen können. Der Bereich ist nur versteckt aber noch vorhanden. Es gibt Tools mit denen kann die Login-Seite gefunden werden. Ein veränderter Adminbereich verlängert nur die aufzuwendende Arbeitszeit um die Seite zu attackieren.

Um die beiden URLs /wp-admin und /wp-login.php zu festgelegten Adressen zu ändern = „WPS Hide Login“ von WPServeur, NicolasKulka, tabrisrp.

Dieses kostenlose Plugin ändert die URL´s und macht die Seite etwas sicherer.
Betonung auf „etwas“.


Die häufigsten Angriff auf wp-Seiten sind Brute Force (Rohe Gewalt) Attacken. Dazu werden Programme verwendet die solange verschieden Zeichenfolgen ausprobieren, bis sie das richtige Passwort herausgefunden haben. Die Länge eines Passwortes ist schon mal sehr wichtig.

Im Prinzip kann aber mit Brute-Force-Attacken jedes Passwort geknackt werden.
Es ist halt eine Frage der Rechenleistung und der Zeit, also der Anzahl von möglichen Kombinationen die ein solches Programm in einer gewissen Zeit durchrechnen kann.

Nehmen wir einen leistungsstarken Rechner, der 2.147.483.600 Kennwörter pro Sekunde testen kann, dauert die Berechnung eines 10-stelligen Passworts aus Großbuchstaben, Kleinbuchstaben und Ziffern im längsten Fall 12 Jahre.
Der Wert stellt eine optimale Sicherheit dar, weil davon ausgegangen wird, dass die richtige Kombination erst mit der letzten Kombinationsmöglichkeit gefunden wird.
Die erforderliche Rechenzeit dauert länger, wenn Sonderzeichen mit verwendet werden.

Um es vorweg zu nehmen, ein optimales Passwort gibt es nicht. Da bei einer Brute-Force-Attacke viel Zufall im Spiel ist, wann eine bestimmte Kombination ausprobiert wird, gibt es keine 100%ige Sicherheit! Schon der erste Versuch könnte ein Treffer sein.
Quelle:1pw.de/brute-force

Gegen das ständige Ausprobieren von Kombinationen (Brute-Force-Attacken) hilft auch die Begrenzung der Login-Versuche.
Das wohl einfachste Mittel um Anmeldeversuche mit WordPress zu begrenzen ist die Verwendung eines Plugins.
Das Plugin WP-Limit-Login-Attemps begrenzt die Anmeldeversuche und beginnt zusätzlich mit einer Captcha-Überprüfung.