Ad­mi­nis­tra­ti­on

Eine In­stal­la­ti­ons­an­lei­tung, die sich auch auf einen schu­li­schen Ser­ver (z.B. bei BelWü oder im In­tra­net der Schu­le) an­wen­den lässt, fin­den Sie bei word­press.org:

https://​codex.​word­press.​org/​In­stal­lin­g_​Word­Press

HTTPS

Ach­ten Sie dar­auf, das Blog von An­fang an voll­stän­dig unter einer HTTPS Do­main lau­fen zu las­sen und nut­zen Sie HTTPS nicht nur für den Login in Word­press.

Sie stel­len so si­cher, dass Sie den da­ten­schutz­recht­li­chen Vor­ga­ben bes­ser ent­spre­chen und ver­hin­dern, dass sich Ihre Be­nut­zer "aus Ver­se­hen" doch über HTTP an­mel­den.

Au­toup­date

Soll­ten Sie die in Word­press ein­ge­bau­te Au­toup­date Funk­ti­on nicht nut­zen kön­nen, weil die Da­tei­sys­tem­rech­te Ihres Pro­vi­ders dies ver­hin­dern, dann zie­hen Sie zu einem an­de­ren Pro­vi­der um.

Hän­di­sche Up­dates, auch wenn diese zeit­nah vor­ge­nom­men wer­den, kom­men im Falle von Word­press zu spät. Zu viele Ha­cker haben sich auf diese Platt­form spe­zia­li­siert und su­chen ge­zielt nach ver­wund­ba­ren In­stal­la­tio­nen, so­bald eine Si­cher­heits­lü­cke be­kannt wird.

Plug­ins

Su­chen Sie im Plu­gin Di­rec­to­ry von Word­press unter https://​word­press.​org/​plug­ins/ immer quell­of­fe­ne (open sour­ce) und ak­tu­ell ge­pfleg­te Plug­ins. Fra­gen Sie beim Ent­wick­ler und / oder der Com­mu­ni­ty des Plug­ins nach, wenn Sie sich nicht si­cher sind, ob das Plu­gin den da­ten­schutz­recht­li­chen Vor­aus­set­zun­gen ent­spricht. Re­agiert die­ser / diese nicht, dann ist dies in deut­li­cher Hin­weis dar­auf, nach einer an­de­ren Al­ter­na­ti­ve zu su­chen.

Da­ten­schutz

De­ak­ti­vie­ren Sie die Gra­va­tar-Funk­tio­nen im Ba­ckend von Word­press. Diese Funk­ti­on gibt die IP Adres­se Ihrer Be­su­cher wei­ter.

Lö­schen Sie das vor­in­stal­lier­te Plu­gin für die Be­kämp­fung von Spam-Kom­men­ta­ren (Akis­met) - die­ses ent­spricht nicht den da­ten­schutz­recht­li­chen Vor­ga­ben. In­stal­lie­ren Sie ein al­ter­na­ti­ves Plu­gin gegen Kom­men­tar­spam.

In­stal­lie­ren Sie ein Plu­gin, das die in Word­press vor­han­de­nen Funk­tio­nen zum Nach­la­den von Goog­le-Fonts de­ak­ti­viert.

Bin­den Sie den be­hörd­li­chen Da­ten­schutz­be­auf­trag­ten Ihrer Schu­le mit ein. Auch das Word­press Ihrer Schu­le muss im Ver­fah­rens­ver­zeich­nis be­rück­sich­tigt sein.

Sys­tem­si­cher­heit

Nut­zen Sie ein Plu­gin für 2-Fak­tor-Au­then­ti­fi­zie­rung und ver­pflich­ten Sie die Be­nut­zer Ihres Schul­blogs, die­ses für sich aktiv zu schal­ten.

Al­ter­na­tiv oder auch zu­sätz­lich: Kon­fi­gu­rie­ren Sie den Web­ser­ver so, dass der Login in das Ba­ckend des Blogs zu­sätz­lich mit einer .htac­cess Datei und damit einer wei­te­ren Si­cher­heits­ab­fra­ge ge­schützt ist. Diese Maß­nah­me ver­hin­dert die Re­gis­trie­rung von schul­frem­den Per­so­nen.

Er­lau­ben Sie Kom­men­ta­re nur re­gis­trier­ten Be­nut­zern.

Schal­ten Sie die XML-RPC Schnitt­stel­le von Word­press ab, wenn Sie diese nicht be­nö­ti­gen. Ent­spre­chen­de Plug­ins fin­den Sie im Plu­gin-Di­rec­to­ry.

Alle ge­nann­ten Maß­nah­men er­schwe­ren brute force An­grif­fe auf Ihr Blog.

WP Net­work / Mul­ti­si­te

Ak­tu­el­le Word­pres­se er­lau­ben die In­stal­la­ti­on in einem Modus, der die Ein­rich­tung von Un­ter­blogs stark ver­ein­facht. In­for­ma­tio­nen zu die­sem Fea­ture fin­den Sie auf der fol­gen­den Seite:

https://​codex.​word­press.​org/​Crea­te_​A_​Net­work

So­fern Ihr Pro­vi­der die Ein­rich­tung von Mul­ti­si­tes un­ter­stützt (das ist ab­hän­gig von der Web­ser­ver­kon­fi­gu­ra­ti­on) soll­ten Sie dies für Ihre In­stal­la­ti­on von Be­ginn an nut­zen, um zu ver­mei­den, meh­re­re ge­trenn­te Blog In­stal­la­tio­nen pfle­gen zu müs­sen, falls sich die Me­tho­de an Ihrer Schu­le durch­setzt.

Die spä­te­re Um­stel­lung eines Ein­zel­blogs auf eine Mul­ti­si­te-In­stal­la­ti­on ist im Prin­zip zwar eben­so mög­lich wie der Umzug von vie­len ein­zel­nen Blogs unter das Dach einer in­te­grier­ten Mul­ti­si­te-Lö­sung ... aber das Gefri­ckel wol­len Sie sich nicht antun.

Un­ter­blogs kön­nen als Sub­do­mains oder als Un­ter­ord­ner eines Haupt­blogs ein­ge­rich­tet wer­den. Dies ist keine Ge­schmacks­fra­ge, son­dern ab­hän­gig von den Zer­ti­fi­ka­ten für die HTTPS-Ver­bin­dung zu Ihrem Web­ser­ver. Meist fah­ren Sie ein­fa­cher mit einer Lö­sung, bei der die Ein­rich­tung von Un­ter­blogs in Un­ter­ord­nern der zum Blog­gen ge­nutz­ten Do­main vor­ge­nom­men wird. Sie be­nö­ti­gen dann nur ein Zer­ti­fi­kat für die Haupt­do­main. So er­gibt sich z.B. die fol­gen­den Struk­tur:

• schul­do­main.de: Home­page der Schu­le
  • schul­do­main.de/blogs: Haupt­blog der Schu­le
    • schul­do­main.de/blogs/gar­ten­ag: Un­ter­blog 1
    • schul­do­main.de/blogs/eng­lis­h9a: Un­ter­blog 2
    • schul­do­main.de/blogs/un­ter­blo­g3
    • ...
  • schul­do­main.de/mood­le: Mood­le der Schu­le
  • schul­do­main.de/wiki: Wiki der Schu­le
  • ...

Pu­bli­ka­ti­ons­pro­zess

In­stal­lie­ren Sie Plug­ins, die das Rech­te­sys­tem von Word­press so er­wei­tern, dass die von Ihnen vor­ge­se­he­nen Pu­bli­ka­ti­ons­ver­fah­ren ein­ge­hal­ten wer­den kön­nen.

Die fol­gen­den Ein­stel­lun­gen und Ver­fah­rens­wei­sen haben sich für die Ar­beit mit Blog-An­fän­gern der Unter- und Mit­tel­stu­fe als taug­lich er­wie­sen:

Ein re­gis­trier­ter Be­nut­zer soll­te zu­erst kei­ner­lei Rech­te im Blog haben (es sei denn, Sie set­zen zu­sätz­lich eine .htac­cess Ab­fra­ge ein, so dass sich nur die Per­so­nen re­gis­trie­ren kön­nen, denen Be­nut­zer­na­me und Pass­wort für diese zu­sätz­li­che Si­cher­heits­hür­de be­kannt sind) bis die­ser von der Ad­mi­nis­tra­ti­on des Blogs (und damit der das Blog be­treu­en­den Lehr­kraft) mit Kom­men­tar- und Schreib­rech­ten ver­se­hen wird (Er­nen­nung zum Re­dak­teur). Su­chen Sie im Word­press Plu­gin Di­rec­to­ry nach user roles und ca­pa­bi­li­ties.

Ein Re­dak­teur soll­te nicht selbst Posts oder gar Sei­ten ver­öf­fent­li­chen kön­nen, son­dern le­dig­lich das Recht haben, sei­nen Ar­ti­kel­ent­wurf einem Ad­mi­nis­tra­tor (und damit der das Blog be­treu­en­den Lehr­kraft) vor­zu­le­gen (in vie­len Plug­ins: sub­mit for re­view). Erst nach Sich­tung durch die Ad­mi­nis­tra­ti­on / Lehr­kraft und ex­pli­zi­ter Frei­ga­be durch diese darf und kann eine Ver­öf­fent­li­chung er­fol­gen. Su­chen Sie im Word­press Plu­gin Di­rec­to­ry nach col­la­bo­ra­ti­on, re­vi­si­on und email.

Die Er­fah­rung am KvFG zeigt: Das Recht zu kom­men­tie­ren für Re­dak­teu­re muss nicht an die Frei­ga­be durch die Ad­mi­nis­tra­ti­on ge­bun­den sein. Eine sol­che Maß­nah­me kann den Schreib­fluss und die Ar­beit mit dem Blog zu sehr be­hin­dern. Re­dak­teu­re sind re­gis­trier­te Be­nut­zer und damit den be­treu­en­den Lehr­kräf­ten be­kannt. Pro­ble­me mit Kom­men­ta­ren las­sen sich off­line / IRL / im Klas­sen­zim­mer schnel­ler und nach­hal­ti­ger lösen, als durch jeg­li­che tech­ni­sche Maß­nah­me. Die Lehr­kräf­te soll­ten je­doch über jeden neuen Kom­men­tar in ihrem Blog per E-Mail in­for­miert wer­den.

Wird ein Blog nicht mehr für un­ter­richt­li­che Vor­ha­ben be­nö­tigt, müs­sen die Rech­te aller sei­ner Re­dak­teu­re so ge­än­dert wer­den, dass diese keine wei­te­ren Kom­men­tar- und Schreib­rech­te haben.

Be­nut­zer­ord­nung

Da die je­wei­li­gen Lehr­kräf­te Ad­mi­nis­tra­to­ren in ihren je­weils ei­ge­nen Blogs sind (so­fern Sie eine Mul­ti­si­te-In­stal­la­ti­on für Ihre Schu­le be­trei­ben) soll­ten Sie diese schrift­lich zur kon­ti­nu­ier­li­chen Be­treu­ung ihres Blogs ver­pflich­ten. Be­ste­hen Sie auf Klar­na­men im Ba­ckend (Pro­fil) und las­sen Sie krea­ti­ve Be­nut­zer­na­men für das Front­end zu, die dann am Ar­ti­kel als Au­to­ren­na­me er­schei­nen. Lehr­kräf­te soll­ten im Back- wie auch Front­end Klar­na­men nut­zen. Sie kön­nen sich be­züg­lich ei­ni­ger For­mu­lie­run­gen für eine Be­nut­zer­ord­nung unter an­de­rem an die­sem Do­ku­ment im KvFG Blog ori­en­tie­ren.

Er­stel­len Sie die Be­nut­zer­ord­nung in Ab­spra­che mit der Schul­lei­tung und las­sen Sie sich diese von den Kol­leg/innen un­ter­schrei­ben, die ein Blog mit ihrer Klas­se oder AG etc. be­trei­ben wol­len.