Administration
Eine Installationsanleitung, die sich auch auf einen schulischen Server (z.B. bei BelWü oder im Intranet der Schule) anwenden lässt, finden Sie bei wordpress.org:
https://codex.wordpress.org/Installing_WordPress
HTTPS
Achten Sie darauf, das Blog von Anfang an vollständig unter einer HTTPS Domain laufen zu lassen und nutzen Sie HTTPS nicht nur für den Login in Wordpress.
Sie stellen so sicher, dass Sie den datenschutzrechtlichen Vorgaben besser entsprechen und verhindern, dass sich Ihre Benutzer "aus Versehen" doch über HTTP anmelden.
Autoupdate
Sollten Sie die in Wordpress eingebaute Autoupdate Funktion nicht nutzen können, weil die Dateisystemrechte Ihres Providers dies verhindern, dann ziehen Sie zu einem anderen Provider um.
Händische Updates, auch wenn diese zeitnah vorgenommen werden, kommen im Falle von Wordpress zu spät. Zu viele Hacker haben sich auf diese Plattform spezialisiert und suchen gezielt nach verwundbaren Installationen, sobald eine Sicherheitslücke bekannt wird.
Plugins
Suchen Sie im Plugin Directory von Wordpress unter https://wordpress.org/plugins/ immer quelloffene (open source) und aktuell gepflegte Plugins. Fragen Sie beim Entwickler und / oder der Community des Plugins nach, wenn Sie sich nicht sicher sind, ob das Plugin den datenschutzrechtlichen Voraussetzungen entspricht. Reagiert dieser / diese nicht, dann ist dies in deutlicher Hinweis darauf, nach einer anderen Alternative zu suchen.
Datenschutz
Deaktivieren Sie die Gravatar-Funktionen im Backend von Wordpress. Diese Funktion gibt die IP Adresse Ihrer Besucher weiter.
Löschen Sie das vorinstallierte Plugin für die Bekämpfung von Spam-Kommentaren (Akismet) - dieses entspricht nicht den datenschutzrechtlichen Vorgaben. Installieren Sie ein alternatives Plugin gegen Kommentarspam.
Installieren Sie ein Plugin, das die in Wordpress vorhandenen Funktionen zum Nachladen von Google-Fonts deaktiviert.
Binden Sie den behördlichen Datenschutzbeauftragten Ihrer Schule mit ein. Auch das Wordpress Ihrer Schule muss im Verfahrensverzeichnis berücksichtigt sein.
Systemsicherheit
Nutzen Sie ein Plugin für 2-Faktor-Authentifizierung und verpflichten Sie die Benutzer Ihres Schulblogs, dieses für sich aktiv zu schalten.
Alternativ oder auch zusätzlich: Konfigurieren Sie den Webserver so, dass der Login in das Backend des Blogs zusätzlich mit einer .htaccess Datei und damit einer weiteren Sicherheitsabfrage geschützt ist. Diese Maßnahme verhindert die Registrierung von schulfremden Personen.
Erlauben Sie Kommentare nur registrierten Benutzern.
Schalten Sie die XML-RPC Schnittstelle von Wordpress ab, wenn Sie diese nicht benötigen. Entsprechende Plugins finden Sie im Plugin-Directory.
Alle genannten Maßnahmen erschweren brute force Angriffe auf Ihr Blog.
WP Network / Multisite
Aktuelle Wordpresse erlauben die Installation in einem Modus, der die Einrichtung von Unterblogs stark vereinfacht. Informationen zu diesem Feature finden Sie auf der folgenden Seite:
https://codex.wordpress.org/Create_A_Network
Sofern Ihr Provider die Einrichtung von Multisites unterstützt (das ist abhängig von der Webserverkonfiguration) sollten Sie dies für Ihre Installation von Beginn an nutzen, um zu vermeiden, mehrere getrennte Blog Installationen pflegen zu müssen, falls sich die Methode an Ihrer Schule durchsetzt.
Die spätere Umstellung eines Einzelblogs auf eine Multisite-Installation ist im Prinzip zwar ebenso möglich wie der Umzug von vielen einzelnen Blogs unter das Dach einer integrierten Multisite-Lösung ... aber das Gefrickel wollen Sie sich nicht antun.
Unterblogs können als Subdomains oder als Unterordner eines Hauptblogs eingerichtet werden. Dies ist keine Geschmacksfrage, sondern abhängig von den Zertifikaten für die HTTPS-Verbindung zu Ihrem Webserver. Meist fahren Sie einfacher mit einer Lösung, bei der die Einrichtung von Unterblogs in Unterordnern der zum Bloggen genutzten Domain vorgenommen wird. Sie benötigen dann nur ein Zertifikat für die Hauptdomain. So ergibt sich z.B. die folgenden Struktur:
- schuldomain.de: Homepage der Schule
- schuldomain.de/blogs: Hauptblog der Schule
- schuldomain.de/blogs/gartenag: Unterblog 1
- schuldomain.de/blogs/english9a: Unterblog 2
- schuldomain.de/blogs/unterblog3
- ...
- schuldomain.de/moodle: Moodle der Schule
- schuldomain.de/wiki: Wiki der Schule
- ...
- schuldomain.de/blogs: Hauptblog der Schule
Publikationsprozess
Installieren Sie Plugins, die das Rechtesystem von Wordpress so erweitern, dass die von Ihnen vorgesehenen Publikationsverfahren eingehalten werden können.
Die folgenden Einstellungen und Verfahrensweisen haben sich für die Arbeit mit Blog-Anfängern der Unter- und Mittelstufe als tauglich erwiesen:
Ein registrierter Benutzer sollte zuerst keinerlei Rechte im Blog haben (es sei denn, Sie setzen zusätzlich eine .htaccess Abfrage ein, so dass sich nur die Personen registrieren können, denen Benutzername und Passwort für diese zusätzliche Sicherheitshürde bekannt sind) bis dieser von der Administration des Blogs (und damit der das Blog betreuenden Lehrkraft) mit Kommentar- und Schreibrechten versehen wird (Ernennung zum Redakteur). Suchen Sie im Wordpress Plugin Directory nach user roles und capabilities.
Ein Redakteur sollte nicht selbst Posts oder gar Seiten veröffentlichen können, sondern lediglich das Recht haben, seinen Artikelentwurf einem Administrator (und damit der das Blog betreuenden Lehrkraft) vorzulegen (in vielen Plugins: submit for review). Erst nach Sichtung durch die Administration / Lehrkraft und expliziter Freigabe durch diese darf und kann eine Veröffentlichung erfolgen. Suchen Sie im Wordpress Plugin Directory nach collaboration, revision und email.
Die Erfahrung am KvFG zeigt: Das Recht zu kommentieren für Redakteure muss nicht an die Freigabe durch die Administration gebunden sein. Eine solche Maßnahme kann den Schreibfluss und die Arbeit mit dem Blog zu sehr behindern. Redakteure sind registrierte Benutzer und damit den betreuenden Lehrkräften bekannt. Probleme mit Kommentaren lassen sich offline / IRL / im Klassenzimmer schneller und nachhaltiger lösen, als durch jegliche technische Maßnahme. Die Lehrkräfte sollten jedoch über jeden neuen Kommentar in ihrem Blog per E-Mail informiert werden.
Wird ein Blog nicht mehr für unterrichtliche Vorhaben benötigt, müssen die Rechte aller seiner Redakteure so geändert werden, dass diese keine weiteren Kommentar- und Schreibrechte haben.
Benutzerordnung
Da die jeweiligen Lehrkräfte Administratoren in ihren jeweils eigenen Blogs sind (sofern Sie eine Multisite-Installation für Ihre Schule betreiben) sollten Sie diese schriftlich zur kontinuierlichen Betreuung ihres Blogs verpflichten. Bestehen Sie auf Klarnamen im Backend (Profil) und lassen Sie kreative Benutzernamen für das Frontend zu, die dann am Artikel als Autorenname erscheinen. Lehrkräfte sollten im Back- wie auch Frontend Klarnamen nutzen. Sie können sich bezüglich einiger Formulierungen für eine Benutzerordnung unter anderem an diesem Dokument im KvFG Blog orientieren.
Erstellen Sie die Benutzerordnung in Absprache mit der Schulleitung und lassen Sie sich diese von den Kolleg/innen unterschreiben, die ein Blog mit ihrer Klasse oder AG etc. betreiben wollen.