Von einem der auszog, ein Forum einzurichten

von

„Installierste schnell ein Forum“, denkt der Hessi. „Das geht schnell!“, denkt der Hessi. „Ich hatte ja schon einige Foren installiert und betrieben, kein Ding!“, denkt der Hessi. Der Hessi denkt eindeutig zu viel!

Warum der Stress?

Warum ein Forum? Mittlerweile häuften sich knapp 1.000 Kommentare unübersichtlich unter den verschiedenen Artikel. Weder ich noch die mittlerweile rege Community hatten mehr einen Überblick. Entweder ich deaktiviere die Kommentare und habe Ruhe, oder ich installiere eben ein Forum.

Was gibt es denn aktuell an guten Foren-Plugins für WordPress?

Ich googlete und wurde auf die üblichen Seiten verwiesen, die von KIs erstellt werden. Kinsta ist mir in unangenehmer Erinnerung. Außerdem ist der letzte Schrei die Verwendung von Questions & Answers, so in der Art wie „gutefrage.de“. Dauernd werden einem diese Plugins ebenfalls aufgedrängt. Die sind laut der Lobhudelei der automatisch erstellten Artikel auch allesamt total supi! Ein paar getestet und die Haare gerauft.

Warum frage ich also nicht gleich ChatGPT?

Hessi: Zähle Foren-Plugins für WordPress auf

ChatGPT: Hier sind einige der bekanntesten Foren-Plugins für WordPress:

bbPress – ein kostenloses und offizielles WordPress-Forum-Plugin, das einfach zu installieren und zu konfigurieren ist.
wpForo – ein leistungsstarkes und benutzerfreundliches Forum-Plugin, das viele Funktionen bietet, einschließlich Benutzerprofilen, Privatnachrichten und mehr.
Simple:Press – ein robustes Forum-Plugin mit einer Vielzahl von Funktionen, einschließlich einer benutzerdefinierten Benutzeroberfläche und einer Integration mit BuddyPress.
Asgaros Forum – ein einfaches und schnelles Forum-Plugin, das mit vielen nützlichen Funktionen ausgestattet ist, einschließlich einer einfachen Installation und Anpassung.
Discussion Board – ein leistungsstarkes und benutzerfreundliches Forum-Plugin mit vielen Funktionen, einschließlich der Möglichkeit, Foren zu moderieren und benutzerdefinierte Rollen zu erstellen.

Diese Liste ist natürlich nicht abschließend, aber diese Plugins sollten einen guten Ausgangspunkt bieten, wenn du nach einem Forum-Plugin für WordPress suchst.

Ach toll, jedes einzelne Forum ist also nur geil? Dass ChatGPT als ein us-amerikanisches Plugin für Marketing entwickelt wurde, merkt man ja kaum. Alles total knorke? Am Arsch!

Ich darf mal selbst eine Meniung haben? Nein? Mir egal!

„bbPress – kostenlos und offiziell, das WordPress-Forum-Plugin muss ja gut sein!  Es ist zwar noch einfach zu installieren, aber bereitet durch dessen kaum zu untertreffende Konfiguration erfahrenen Forenbetreibern Kopfschmerzen.

Und einige andere Foren-Plugins deinstalliere ich schneller, als die Installation dauerte. Unbedienbar! Das übliche Problem der Software-Entwickler: die glauben, man müsse das Rad neu erfinden. Das können sie ja gerne machen, aber bitte nicht bei der Schnittstelle zum User.

Das generelle WordPress-Problem

Entschuldigung, aber das muss ich mal loswerden:

Unübersichtlichkeit

Eine generelle Pest in WordPress: jedes Plugin glaubt, es sei alleine auf der Welt und kotzt seine Menüpunkte direkt in das Admin-Menü. Nimm und friss!

Wir übersetzen die Titel des Plugins in die Sprache des Benutzers! Aus „All In One Security“ wird dann „WP-Seicherheit“. Oder wir kürzen den Namen des Plugins kryptisch ab, nachdem es installiert wurde! Prinzipiell muss der Name jedes zweiten Plugins mit „WP“ anfangen, sodass eine alphabetische Sortierung  sinnfrei wird. Lass den Trottel doch die Plugin-Liste und das Admin-Menü danach durchsuchen! Kicher, kicher, kicher! 🙁

Inkonsistenzen in der Bedienung

„Premium“-Plugins täuschen durch eine möglichst komplizierte Bedienoberfläche, die sich nicht an die üblichen Standards für GUIs hält, Kompetenz vor. Viele bunte Flächen und große Grafiken sind voll angesagt. Gerne auch noch Tabs auf einer Seite mit Tabs! Und Statistiken! Geilo! Dazwischen noch Werbung! Oder Fake-Menüpunkte, die Premiumfunktionen bewerben! Klasse!

Fake-Funktionen

Diese „Premiumfunktionen“ sind in Wirklichkeit bei einigen Plugins so grundlegende Funktionen, dass das freie Plugin dadurch nur schwer benutzbar wird. Das geht so weit, dass man glaubt, das Plugin ist eine reine Demo-Installation.

Das Triggern von Purchase-Decissions durch Foolery. Grandios! So sichert man sich seine Leadership Position ganz sicher! 🙂 So sind eben die Marketing-Leute.

Triggern und alarmieren

Kann man nicht so einen Tacho, oder ein Manometer mit grünen, gelben und roten Feldern einbauen, damit der User weiß, dass er sich noch länger mit dem Plugin befassen muss und irgendwann auch auf die Werbung zu unseren anderen teuren Plugins klickt?

Ganz groß dabei ist AIOS, die „All In One Security“ für WordPress. Das ist ein schlimmeres Schlangenöl als Virenscanner, aber dazu später noch mehr. Wenn man es schaffen würde, dass deren blöder Tacho auf 100 steht, kann man die Website weder im Backend, noch im Fronten mehr benutzen. Ja, ist klar, das ist auch eine Art von Sicherheit.

Bei mir ging dieser Zeiger stetig nach unten, denn wenn ein neues Plugin nicht so funktionierte, wie es sollte, lag es immer an AIOS! Immer! Am Ende kratzte der Zeiger am unteren Ende der Skala. Man starrt darauf und sucht den Fehler bei sich selbst. Ist meine Website nun unsicher? Werde ich gehackt, wenn ich diesen Zeiger nicht weiter in den grünen Bereich bekomme? Das nagt.

SEO-Plugins haben dieses Nagen und Triggern perfektioniert. Während ich gerade an diesem Text tippe, leuchtet rechts grellrot die Meldung „SEO 15/100“. Ab „SEO 81/100“ wird diese Anzeige grün. Mach dies, mach das, sonst stürzt Du bei Google ab! Das Problem ist nur: Noch nie habe ich mehr als 92 % erreicht! Da kann ich mich bemühen, wie ich will!

Freunde, meine Websiten waren schon vor der Erfindung von SEO bei den relevanten Suchbegriffen immer unter den ersten drei Treffern bei Google, also tut mal nicht so, als sei SEO eine Wissenschaft oder ein Heilsbringer! Ihr ratet doch alle nur wüst, was Google gefällt, also lasst mich mit diesen bunten Triggern in Frieden!

Automattic

Aber der Fisch stinkt vom Kopf her, denn auch WordPress glaubt, dass ein WYSIWYG-Editor im Word-Style ein Relikt der Vergangenheit sei und drückt den Leuten ungefragte den Gutenberg-Editor aufs Auge, der mit „Blöcken“ arbeitet. Ich probierte es mehrfach für einige Stunden, aber ich kann einfach den Vorteil nicht erkennen, wenn der Text im Editor komplett auf andere Art formatiert ist, als nachher im Frontend auf der Website.

Und dann noch diese unsichtbaren Blöcke! Man klickt auf seinen Text und merkt plötzlich, dass dieser automagisch unterteilt wurde. Vermutlich nach Absätzen. Ätzend.

Das ist nicht meine persönliche Meinung, sondern diese Bevormundung geht den Leuten so auf den Sack, dass es eine große Menge an Plugins gibt, die den schrecklichen Gutenberg-Editor deaktivieren. Und die gehen weg wie geschnitten Brot.

Automattic, dem Hersteller von WordPress, gefiel das überhaupt nicht. Wie können sie die Leute dazu bekommen, den Gutenberg-Editor zu lieben? Richtiiiiig! Er wird nun auch im offiziellen WordPress-Forum für das Schreiben von Beiträgen vorgeschrieben! „Bück Dich! Es wird Dir schon gefallen!„. Äh, nein, danke!

Der Gutenberg-Editor widerspricht der Prämisse jedes CMS, den Inhalt vom Design zu trennen. Benutzt man diesen Editor, wird eine Migration auf ein anderes CMS nur sehr schwer möglich sein. Vermutlich ist genau dies die Absicht: Binde die User so an das eigene Produkt, dass sie niemals wechseln werden können.

Soll ich mal davon anfangen, dass Automattic das Wort Datenschutz nicht einmal im Ansatz kennt? Die GDPR / DSGVO ist für die einfach nicht existent. Man kann vermutlich schon froh sein, dass die Kalifornier einem nicht noch das imperiale System für die eigene Website aufzwingen wollen. Was erwartet man von einer auf sich selbst fixierten Nation, die Landesligen nicht Landesligen, sondern „World Series“ nennt? Jupp! Ignoranz! 🙂

Ja, tut mir leid, das musste alles raus, weil ich beim Versuch ein Forum zu installieren, auf genau diese Probleme stieß.

Das beste Forum?

Ganz zum Schluss landete ich bei Asgaros. „Asgaros? Das klingt mir zu überkanditelt und unbestimmt kompliziert!“, so landete ich erst ganz am Ende bei diesem Plugin. Aber auch nur, weil der Name des Entwicklers, der bei WordPress angegeben wurde, deutsch klang. Das hat nichts mit deutschtümelig zu tun, sondern mit Datenschutz. Es ist wirklich so, dass die DSGVO in Deutschland nicht den Usern dient, sondern ausschließlich den ekelhaften Abmahnanwälten. Ja, das sage ich als jemand, der schon einige Artikel über den Datenschutz geschrieben hat.

Wenn der Entwickler des Asgaros Forums also Deutscher ist, kennt er sich mit den Fallstricken gut aus. Das sollte mir als Referenz reichen. Aber ich wurde eines Besseren belehrt! Im positiven Sinne, denn mit dem Asgaros-Forum kommt man sofort zurecht. Übersichtliche Einrichtung und eine schlanke Konfiguration mit sinnvollen Einstellungen, die man auch von anderen Standalone-Foren, wie dem Simple Machines Forum (SMF), kennt. Ein richtiges Sahnestück! Punkt.

Es gibt nur ein Manko: Asgaros benutzt die in WordPress integrierte Benutzerverwaltung. Das ist einerseits gut, aber andererseits auch doof, weil die WP-Userverwaltung eben scheiße ist.

WordPress Userverwaltung

Oh, weia! Ich benutze wieder mal Fäkalsprache! Würde Ihr auch, wenn Ihr Euch der folgenden Probleme bewusst wärt:

  1. WordPress erlaubt standardmäßig die Erstellung von Benutzerkonten mit dem Benutzernamen „admin“. Dies kann ein Sicherheitsrisiko darstellen, da es Hackern leicht gemacht wird, sich in das System einzuloggen, indem sie versuchen, das Passwort des Standard-Admin-Kontos zu knacken.
  2. WordPress bietet eine Standard-Anmeldeseite mit Registrierung, die es Hackern ermöglicht, automatisierte Angriffe durchzuführen, um das Passwort für ein Benutzerkonto zu erraten. Diese Standard-Anmeldeseite bricht designtechnisch mit den Themes der Webseiten. Ja, das ist „nur“ ein optisches Problem.
  3. Es gibt keine eingebauten Sicherheits-Anmeldefunktionen wie die Zwei-Faktor-Authentifizierung (TFA) oder auch nur eine Captcha-Abfrage, die die Sicherheit der Benutzerkonten und des Systems durch automatisiere Zugriffe deutlich erhöhen könnten.
  4. Ein weiterer negativer Punkt der WordPress-Userverwaltung ist, dass standardmäßig alle neu angelegten Benutzer automatisch Zugriff auf das WP-Admin-Backend und damit, wenn auch nur eingeschränkten Zugriff auf das CMS-System haben.
  5. Es gibt keine standardmäßige Möglichkeit, Benutzerkonten zu deaktivieren und nach Prüfung wieder freizugeben, bevor sie Zugriff auf das Backend erhalten.
  6. Es gibt keine Standardfunktion in WordPress, die sicherstellt, dass die eingegebenen Benutzerdaten korrekt und gültig sind. Das bedeutet, dass ein Nutzer bei der Erstellung eines Accounts falsche oder fremde personenbezogene Daten angeben kann. Dies kann einen Verstoß gegen die DSGVO darstellen, da die Betreiber von Webseiten verpflichtet sind, sicherzustellen, dass die von den Nutzern in das System eingegebenen personenbezogenen Daten richtig und gültig sind. Eine Einladung für Abmahnanwälte!
  7. Ein weiteres Problem ist die Begrenzung der Komplexität von Passwörtern. WordPress erlaubt standardmäßig sehr einfache Passwörter, die leicht zu erraten oder zu knacken sind.
  8. Standardmäßig loggt WordPress Benutzer nicht automatisch aus, wenn sie für eine bestimmte Zeit inaktiv sind. Das bedeutet, dass ein Benutzer, der im WordPress-Backend eingeloggt ist, auch dann eingeloggt bleibt, wenn er längere Zeit inaktiv ist oder das Browserfenster schließt. Dies kann ein Sicherheitsrisiko darstellen, da nicht autorisierte Benutzer oder Hacker auf das Konto des Benutzers zugreifen können, wenn das Backend geöffnet bleibt.
  9. etc., pp.

Ich probierte also einige Userverwaltungen aus. Die meisten sind dafür gedacht, dem armen User für Inhalte Kohle aus der Tasche zu leiern. Soweit ebenso unsympathisch wie normal. Mir reichen die rudimentärsten Funktionen für eine Benutzerverwaltung aus:

  1. Email-Bestätigungs-Link: Der User muss nach seiner Registrierung einen Link in einer Email anklicken, damit sichergestellt ist, dass sich der Eigentümer der angegebenen E-Mail-Adresse auch wirklich registrieren möchte. Die DSGVO lässt lieb grüßen!
  2. Prüfung: Ein neuer User muss deaktiviert sein und erst durch den Admin freigegeben werden. Schön wäre ein Feld, in dem ich die Frage obligatorisch machen kann, warum sich der User registrieren möchte, um Spammer zu erkennen.
  3. Username-Blacklist: Es darf sich niemand mit meinem Namen oder mit Namen wie „Admin“, „Administrator“, „Moderator“ oder ähnlichen Nicknames registrieren, die eine offizielle Funktion vorgaukeln.
  4. WP-Admin: Kein User darf einen Zugriff auf das Backend zur Bearbeitung seines Profils haben.
  5. WP-User anlegen: Die Benutzerverwaltung muss trotzdem einen User auch in der WP-Userverwaltung erstellen, damit das Asgaros-Forum und auch die WP-Kommentarfunktion die neuen User verwenden können.
  6. Design: Das Login-Formular sollte optisch in die Website integriert sein.
  7. Passwortsicherheit: Es müssen komplexere Passwörter verlangt werden.
  8. Captcha oder Honeypot: Um die Masse der automatisierten Spammer bereits im Vorfeld auszusortieren, muss es ein Captcha oder einen Honeypot geben. Das Captcha muss der DSGVO entsprechen!
  9. Automatische Löschungen: Unbestätigte oder nicht aktivierte User (personenbezogene Daten) sollten automatisch gelöscht werden.
  10. Profile: Dem Benutzer muss erlaubt sein, die eigenen Daten zu ändern oder zu löschen.
  11. Exportfunktion: Auf Verlangen muss man die gespeicherten personenbezogenen Daten dem Benutzer aushändigen können.

Die schlimmsten und überflüssigsten Probleme bereitet hier wieder einmal die DSGVO. Das Zauberwort ist aber Datensparsamkeit, denn je weniger personenbezogene Daten ich sammele, desto weniger Stress habe ich im Zweifel mit der DSGVO.

ABER: Dem gegenüber stehen strafrechtliche Anforderungen. Wenn jemand einen nach dem Netzdurchsetzungsgesetz meldepflichtigen illegalen Inhalt im Forum postet, dann muss ich dessen Daten ja herausgeben. Nach meiner Datenschutzerklärung sammele ich aber nur anonymisierte IP-Adressen – also … das mache ich tatsächlich, denn was soll ich auch damit? Was soll ich also melden? Die GMail-Adresse? 🙂

Was meldepflichtig ist, bzw. was „offensichtlich rechtswidrig“ und „nicht offensichtlich rechtswidrig“ ist, muss ich entscheiden. Wehe mir! Die Löschfristen liegen dann bei 24 Stunden und sieben Tagen. Soweit mir bekannt ist, nach Erlangung der Kenntnis.

Was, wenn ich mich aber im Urlaub befinde, oder mit Corona darniederliege? Bin ich verpflichtet, jemanden zu engagieren, der sich darum kümmert? Wovon sollte ich das bezahlen? Ich beschließe, diese Fragen zu verdrängen, denn, wie zuvor erwähnt, viel wird im Forum nicht los sein.

First Things first!

Ich probierte also verschiedene Benutzerverwaltungsplugins für WordPress aus. Immer wieder hatte ich aber das Problem, dass ich meine Testuser nicht anmelden konnte. Manchmal mit, manchmal ohne ordentliche Fehlermeldungen.

In der WP-Userverwaltung sah alles gut aus. Rolle zugewiesen, User aktiv. Alles tipp-topp in de Reih! Auch mehrfaches Ändern und speichern änderte nichts daran, dass sich der User nicht anmelden konnte.

So kann sich niemand anmelden und ohne User ist ein Forum sinnfrei.

So langsam verzweifelte ich zwar, gab aber nicht auf.

„Sicherheit“

„Kontoprüfung ausstehend: Dein Konto ist momentan noch nicht aktiv. Ein Administrator muss dein Konto aktivieren, bevor du dich anmelden kannst.“

Wenn ein Nutzer diese Meldung beim Login erhält, nachdem er sich über ein Plugin zur Nutzerverwaltung registriert hat und im WP-Admin kein Fehler zu finden ist, liegt das an der ebenso beliebten wie Probleme generierenden Erweiterung „All In One Security“.

Diese deaktiviert, wenn man die empfohlenen Einstellungen vornimmt, jeden durch ein Plugin registrierten User – natürlich stillschweigend und auf den ersten bis achten Blick nicht sichtbar. Chapeau! Gut gemacht!

Lösung: Man kann den User irgendwo in den Tiefen des Plugins wieder freischalten – oder man deaktiviert und löscht dieses Sicherheitsmonster gleich.

Es hat mich einen Tag meines Lebens gekostet, herauszufinden, dass das Problem nicht bei den getesteten Benutzerverwaltungen liegt, sondern bei AIOS. Ja, ich bin nicht die hellste Kerze auf der Torte und habe mal wieder nicht auf mein Bauchgefühl gehört, das mir schon früh riet, doch mal in AIOS zu stöbern oder den Problemlösungsmodus zu aktivieren.

Rechtliche Fallstricke

Als Betreiber eines Forums steht man in Deutschland schon mit einem Bein im Knast oder ist vom Ruin bedroht. Das wird auch immer schlimmer. Nur ein paar Beispiele:

  • Haftung für Inhalte: Als Betreiber eines Forums ist man für die von den Nutzern eingestellten Inhalte verantwortlich. Das bedeutet, dass man dafür sorgen muss, dass keine rechtswidrigen oder diffamierenden Inhalte veröffentlicht werden. Verstöße können rechtliche Konsequenzen nach sich ziehen.
  • Urheberrecht: Es ist darauf zu achten, dass keine urheberrechtlich geschützten Inhalte durch die User veröffentlicht werden. Dazu zählen auch Avatare, die vom User hochgeladen werden können.
  • Foren-Regeln: Um rechtliche Probleme zu vermeiden, ist es wichtig, klare Forenregeln aufzustellen und diese von den Nutzern akzeptieren zu lassen. Darin sollten Regeln zu Inhalten, Umgangston und Verhalten im Forum festgelegt werden.

Die Lösungen dieser Probleme können sein:

  1. Eine Moderation des Forums. Dies bedeutet, dass alle Beiträge vor der Veröffentlichung geprüft werden.
  2. Ferner könnte ich den Upload komplett unterbinden
  3. keine Links erlauben
  4. keine privaten Nachrichten (PMs) anbieten.

Das sind eigentlich alles Beschränkungen, die ich so nicht möchte. Auf der anderen Seite sollte ich mir nichts vormachen: das wird kein großes Forum. Die Leute werden herkommen, ein Problem besprechen und dann nie wieder herkommen.

  • Benötigt also jeder einen individuellen Avatar?
  • Links sollten schon erlaubt sein, aber vielleicht kann man die auch nicht anklickbar gestalten, das wäre die halbe Miete.
  • Private Nachrichten haben zwei Probleme:
    1. Auf meiner Website könnten illegale „Dinge“ geschehen, von denen ich keine Kenntnis haben kann – und auch nicht haben darf.
    2. Zudem könnten die Leute anfangen, andere per PM um Support zu bitten, was bedeutet, dass diese Informationen für andere nicht sichtbar und hilfreich sind.

Also würde alles im Prinzip wie bei den Kommentaren laufen, denn den ersten Kommentar jedes Users muss ich manuell freigeben – danach können die User Kommentare verfassen, die direkt freigeschaltet werden. Ich prüfe also einen User und danach darf er schreiben. Ein wenig Vertrauen muss schon sein.

Fazit

Leute, ich arbeite daran. Es kann noch ein paar Tage dauern, bis das Forum online geht. In der Zwischenzeit kann es zu Problemen kommen, weil einige Userverwaltungen ungefragt Grundeinstellungen ändern. Gestern war die Kommentarfunktion beispielsweise deaktiviert.

3 Gedanken zu „Von einem der auszog, ein Forum einzurichten“

Schreibe einen Kommentar

Ich bin mit der Datenschutzerklärung und der Speicherung meiner eingegebenen Daten einverstanden.