IP-Speicherung in WordPress-Kommentaren unterbinden

Die neue Datenschutzgrundverordnung (DSGVO) kommt und so manchem Betreiber eines Blogs wird mit dem Näherrücken des finalen Umsetzungstermins, ob der zu erwartenden Rechtsunsicherheit bereits Angst und Bange. Während einige Themen, wie dem Erstellen einer Datenschutzerklärung, bereits in anderen Artikeln im Netz viel Raum gegeben wurde, soll es in diesem Beitrag um die Vermeidung einer IP-Speicherung in der Kommentarfunktion von WordPress gehen.

Diese Beschreibung trifft in erster Linie Webseitenbetreiber, welche die Software WordPress als Installation auf einem eigenen Server oder einem Shared Hosting betreiben. Es trifft nicht für Nutzer des Bloggingdienstes wordpress.com zu.

Wozu speichert WordPress IP-Daten?

Die IP-Adresse wird bereits bei jeder eingehenden Verbindung durch den Webserver protokolliert. Da gemäß DSGVO IP-Adressen aber bereits ein personenbezogenes Datum darstellen, sind hinsichtlich Speicherungsdauer und einer möglichen Unkenntlichmachung der IP-Adressen Vorkehrungen zu treffen.

Wie man durch einen Blick in die Kommentarseite in der WordPress-Administration schnell feststellen kann, ist zu jedem einzelnen Kommentar fein säuberlich eine IP-Adresse hinterlegt. Es empfiehlt sich nicht es dabei zu belassen, möchte man potentiellem Ärger und Rechtsunsicherheiten aus dem Weg gehen. WordPress ist ohne jegliche Speicherung der einzelnen Benutzer-IP ohne Einschränkung nutzbar. Solange der Betrieb unserer Seite also ohne Datenspeicherung möglich ist, sollten wir diese so weit wie möglich unterbinden. Das Prinzip der Datensparsamkeit ist hier erstes Gebot und durch die DSVGO nun auch verordnet.

Einige Plugins zur Bekämpfung von Spam, wie das oft bereits vorab installierte Akismet gleichen die IP mit einer Datenbank bekannter Spammer ab. Hierzu müssen die Daten zu einem Dritten übertragen werden, was ohne Einverständnis des Benutzers nicht zulässig ist. Bei anderen Plugins (beispielsweise Anti-Spam) verlassen die Daten hierzu den eigenen Rechner nicht und diese funktionieren meines Erachtens genauso gut und sind deswegen vorzuziehen.

Speicherung mittels functions.php deaktivieren

Wer es lieber bequem mag wird zweifellos unter den zahlreichen, verfügbaren Plugins fündig werden. Persönlich möchte ich meine Installationen lieber nicht mit Installationen zuvieler, oft recht trivialer, Plugins überfrachten. Ein ganz einfacher Weg besteht darin die Datei functions.php um einige Zeilen zu ergänzen.

Ruft hierzu das Administrations-Backend der gewünschten Seite auf und steuert über den Menupunkt „Design“ den Editor auf. Öffnet dann in eurem verwendeten Theme die Datei Theme-Funktionen (functions.php) und kopiert folgende Zeilen an das Ende der Datei.

/**
* Remove comment IP
*/
function wpb_remove_commentsip( $comment_author_ip ) {
return '';
}
add_filter( 'pre_comment_user_ip', 'wpb_remove_commentsip' );

Anschließend könnt ihr die neue Funktionalität selbst testen, indem ihr einfach einen Kommentar zu einem beliebigen Beitrag verfasst und euch im Administrationsbackend überzeugt, daß keine IP-Adresse unter neu eingetroffenen Kommentaren angezeigt wird.

IP-Adressen bestehender Kontakte löschen

Die oben beschriebene Lösung wirkt sich erst bei allen zukünftig eintreffenden Kommentaren aus. Wie sollte man vorgehen, wenn man die IP aller bereits gespeicherten Kommentare löschen möchte? Hier wird es leider ein wenig komplizierter, da dazu ein direkter Zugriff auf eure MySQL-Datenbank notwendig ist.
Wer über einen eigenen Server mit Vollzugriff über die Kommandozeile verfügt kann den folgenden Schritten folgen.

Mittels Kommandozeile

Einloggen in MySQL

mysql -u root -p

Wer über einen anderen Benutzer mit ausreichend Rechten verfügt ersetzt hier in diesem Fall das root.
Möglicherweise verfügt Ihr über mehrere Datenbanken. Listet alle verfügbaren Datenbanken auf und wählt die zu eurer WordPressinstallation Passende.

show databases;

Angenommen, die entsprechende Datenbank hiesse wordpress, so wählen wir diese aus.

use wordpress;

Dann geben wir folgende Befehlszeile ein.

UPDATE wp_comments SET comment_author_IP = '';

Durch eine Anmeldung in das Administrationsbackend der Seite könnt Ihr euch anschließend davon überzeugen. Es sind neben den Kommentaren keine IP-Adressdaten mehr gespeichert.

Mittels phpmyadmin

Nutzer von Shared Hosting Angeboten verfügen oft über keinen Zugriff per Kommandozeile, können Ihre Datenbanken dafür über den Browser mit einem Tool wie phpmyadmin verwalten. Hier reicht es aus sich durch die grafische Oberfläche zu klicken, alle Datenbanken anzeigen zu lassen und die entsprechende auszuwählen. Über einen Klick auf die Schaltfläche „SQL“ ist es dann möglich in der ausgewählten Datenbank den selben Befehl anzugeben um auf das gleiche Ergebnis zu kommen.

UPDATE wp_comments SET comment_author_IP = '';

Fragen zum DSGVO-sicheren Blog?

Welche Vorkehrungen habt Ihr getroffen um euren Blog rechtssicher zu gestalten? Teilt Eure Erfahrungen in den Kommentaren mit. Würde mich freuen wenn hier eine kleine Diskussion entsteht. Es werden an dieser Stelle in Zukunft sicherlich noch einige weitere Beiträge zum Thema erscheinen. Es kann sich lohnen von Zeit zu Zeit hier nach dem Tag DSGVO zu suchen oder abonniert einfach den RSS Feed über die Schaltfläche unter diesem Beitrag.

4 Gedanken zu “IP-Speicherung in WordPress-Kommentaren unterbinden

  1. Hallo Patrick, jetzt sind die ersten Wochen nach dem großen Tag vergangen. Viele Privatblogger haben ihre Tätigkeit vorerst eingestellt oder ihre Blogs auf „privat“ umgestellt. Hoffentlich wird sich die Stimmung langsam wieder beruhigen. Ich wünsche dir ein sonniges Wochenende, Dario

    • Hallo Dario,

      das Wort „Privatblogger“ ist auch so eine Sache. In Deutschland ist die Schwelle zu einem „gewerblichen“ Internetangebot extrem gering. Es reicht bereits aus, wenn man über ein Thema spricht mit dem man zumindest ansatzweise beruflich zu tun hat. Da ich ziemlich oft über IT-Themen schreibe würde man diesen Blog bereits mit ziemlicher Sicherheit als gewerblich bezeichnen. Auf vielen Portalen hier im Internet wird dazu geraten jede Webseite, die nicht ausschließlich einem privaten Kreis zugänglich gemacht wird (z.b. durch ein Passwort geschützt), als gewerblich zu betrachten. Da kann ich es schon verstehen, wenn Leute als Reaktion darauf die Öffentlichkeit scheuen. Eine traurige Entwicklung.

  2. Hallo Patrick,

    die Blogger-Welt scheint derzeit ziemlich verunsichert zu sein, einige Privatblogger schalten ihre Blogs sogar in den „privaten“ Modus um oder hören ganz auf. So schlimm finde ich es jedoch gar nicht. Davon wird die Welt schon nicht untergehen. In den letzten Wochen hat man wirklich viel darüber gehört und gelesen. Liebe Grüße, Dario 🙂

    • Hallo Dario,

      wer seine Technik von Anfang an auf Datensparsamkeit ausgelegt hatte, der hat jetzt mit der Umstellung nur wenig Anpassungsbedarf. Die meisten Blogger jedoch benutzen Cross-Scripting zu zahlreichen Drittanbietern völlig ungeniert um beispeilsweise Medien einzubetten. Dies ist nun ohne Weiteres nicht mehr möglich. Nehme dazu noch das Abmahnwesen in Deutschland und dann ist die Sache schon nicht mehr so harmlos. Denn kaum ein Hobbyblogger kann heute mit Sicherheit sagen, ob seine Seite noch hundertprozentig gesetzeskonform ist.
      Rechtsklarheit ist allerdings ein wesentliches Merkmal eines Rechtsstaats. Für Hobbyblogger und Kleinunternehmer ist das kein Zuckerschlecken. :-/

Schreibe einen Kommentar