Von einem der auszog, ein Forum einzurichten

„Installierste schnell ein Forum“, denkt der Hessi. „Das geht schnell!“, denkt der Hessi. „Ich hatte ja schon einige Foren installiert und betrieben, kein Ding!“, denkt der Hessi. Der Hessi denkt eindeutig zu viel!

Warum der Stress?

Warum ein Forum? Mittlerweile hĂ€uften sich knapp 1.000 Kommentare unĂŒbersichtlich unter den verschiedenen Artikel. Weder ich noch die mittlerweile rege Community hatten mehr einen Überblick. Entweder ich deaktiviere die Kommentare und habe Ruhe, oder ich installiere eben ein Forum.

Was gibt es denn aktuell an guten Foren-Plugins fĂŒr WordPress?

Ich googlete und wurde auf die ĂŒblichen Seiten verwiesen, die von KIs erstellt werden. Kinsta ist mir in unangenehmer Erinnerung. Außerdem ist der letzte Schrei die Verwendung von Questions & Answers, so in der Art wie „gutefrage.de“. Dauernd werden einem diese Plugins ebenfalls aufgedrĂ€ngt. Die sind laut der Lobhudelei der automatisch erstellten Artikel auch allesamt total supi! Ein paar getestet und die Haare gerauft.

Warum frage ich also nicht gleich ChatGPT?


Hessi: ZĂ€hle Foren-Plugins fĂŒr WordPress auf

ChatGPT: Hier sind einige der bekanntesten Foren-Plugins fĂŒr WordPress:

bbPress – ein kostenloses und offizielles WordPress-Forum-Plugin, das einfach zu installieren und zu konfigurieren ist.
wpForo – ein leistungsstarkes und benutzerfreundliches Forum-Plugin, das viele Funktionen bietet, einschließlich Benutzerprofilen, Privatnachrichten und mehr.
Simple:Press – ein robustes Forum-Plugin mit einer Vielzahl von Funktionen, einschließlich einer benutzerdefinierten BenutzeroberflĂ€che und einer Integration mit BuddyPress.
Asgaros Forum – ein einfaches und schnelles Forum-Plugin, das mit vielen nĂŒtzlichen Funktionen ausgestattet ist, einschließlich einer einfachen Installation und Anpassung.
Discussion Board – ein leistungsstarkes und benutzerfreundliches Forum-Plugin mit vielen Funktionen, einschließlich der Möglichkeit, Foren zu moderieren und benutzerdefinierte Rollen zu erstellen.

Diese Liste ist natĂŒrlich nicht abschließend, aber diese Plugins sollten einen guten Ausgangspunkt bieten, wenn du nach einem Forum-Plugin fĂŒr WordPress suchst.


Ach toll, jedes einzelne Forum ist also nur geil? Dass ChatGPT als ein us-amerikanisches Plugin fĂŒr Marketing entwickelt wurde, merkt man ja kaum. Alles total knorke? Am Arsch!

Ich darf mal selbst eine Meniung haben? Nein? Mir egal!

„bbPress – kostenlos und offiziell, das WordPress-Forum-Plugin muss ja gut sein!  Es ist zwar noch einfach zu installieren, aber bereitet durch dessen kaum zu untertreffende Konfiguration erfahrenen Forenbetreibern Kopfschmerzen.

Und einige andere Foren-Plugins deinstalliere ich schneller, als die Installation dauerte. Unbedienbar! Das ĂŒbliche Problem der Software-Entwickler: die glauben, man mĂŒsse das Rad neu erfinden. Das können sie ja gerne machen, aber bitte nicht bei der Schnittstelle zum User.

Das generelle WordPress-Problem

Entschuldigung, aber das muss ich mal loswerden:

UnĂŒbersichtlichkeit

Eine generelle Pest in WordPress: jedes Plugin glaubt, es sei alleine auf der Welt und kotzt seine MenĂŒpunkte direkt in das Admin-MenĂŒ. Nimm und friss!

Wir ĂŒbersetzen die Titel des Plugins in die Sprache des Benutzers! Aus „All In One Security“ wird dann „WP-Seicherheit“. Oder wir kĂŒrzen den Namen des Plugins kryptisch ab, nachdem es installiert wurde! Prinzipiell muss der Name jedes zweiten Plugins mit „WP“ anfangen, sodass eine alphabetische Sortierung  sinnfrei wird. Lass den Trottel doch die Plugin-Liste und das Admin-MenĂŒ danach durchsuchen! Kicher, kicher, kicher! 🙁

Inkonsistenzen in der Bedienung

„Premium“-Plugins tĂ€uschen durch eine möglichst komplizierte BedienoberflĂ€che, die sich nicht an die ĂŒblichen Standards fĂŒr GUIs hĂ€lt, Kompetenz vor. Viele bunte FlĂ€chen und große Grafiken sind voll angesagt. Gerne auch noch Tabs auf einer Seite mit Tabs! Und Statistiken! Geilo! Dazwischen noch Werbung! Oder Fake-MenĂŒpunkte, die Premiumfunktionen bewerben! Klasse!

Fake-Funktionen

Diese „Premiumfunktionen“ sind in Wirklichkeit bei einigen Plugins so grundlegende Funktionen, dass das freie Plugin dadurch nur schwer benutzbar wird. Das geht so weit, dass man glaubt, das Plugin ist eine reine Demo-Installation.

Das Triggern von Purchase-Decissions durch Foolery. Grandios! So sichert man sich seine Leadership Position ganz sicher! 🙂 So sind eben die Marketing-Leute.

Triggern und alarmieren

Kann man nicht so einen Tacho, oder ein Manometer mit grĂŒnen, gelben und roten Feldern einbauen, damit der User weiß, dass er sich noch lĂ€nger mit dem Plugin befassen muss und irgendwann auch auf die Werbung zu unseren anderen teuren Plugins klickt?

Ganz groß dabei ist AIOS, die „All In One Security“ fĂŒr WordPress. Das ist ein schlimmeres Schlangenöl als Virenscanner, aber dazu spĂ€ter noch mehr. Wenn man es schaffen wĂŒrde, dass deren blöder Tacho auf 100 steht, kann man die Website weder im Backend, noch im Fronten mehr benutzen. Ja, ist klar, das ist auch eine Art von Sicherheit.

Bei mir ging dieser Zeiger stetig nach unten, denn wenn ein neues Plugin nicht so funktionierte, wie es sollte, lag es immer an AIOS! Immer! Am Ende kratzte der Zeiger am unteren Ende der Skala. Man starrt darauf und sucht den Fehler bei sich selbst. Ist meine Website nun unsicher? Werde ich gehackt, wenn ich diesen Zeiger nicht weiter in den grĂŒnen Bereich bekomme? Das nagt.

SEO-Plugins haben dieses Nagen und Triggern perfektioniert. WĂ€hrend ich gerade an diesem Text tippe, leuchtet rechts grellrot die Meldung „SEO 15/100“. Ab „SEO 81/100“ wird diese Anzeige grĂŒn. Mach dies, mach das, sonst stĂŒrzt Du bei Google ab! Das Problem ist nur: Noch nie habe ich mehr als 92 % erreicht! Da kann ich mich bemĂŒhen, wie ich will!

Freunde, meine Websiten waren schon vor der Erfindung von SEO bei den relevanten Suchbegriffen immer unter den ersten drei Treffern bei Google, also tut mal nicht so, als sei SEO eine Wissenschaft oder ein Heilsbringer! Ihr ratet doch alle nur wĂŒst, was Google gefĂ€llt, also lasst mich mit diesen bunten Triggern in Frieden!

Automattic

Aber der Fisch stinkt vom Kopf her, denn auch WordPress glaubt, dass ein WYSIWYG-Editor im Word-Style ein Relikt der Vergangenheit sei und drĂŒckt den Leuten ungefragte den Gutenberg-Editor aufs Auge, der mit „Blöcken“ arbeitet. Ich probierte es mehrfach fĂŒr einige Stunden, aber ich kann einfach den Vorteil nicht erkennen, wenn der Text im Editor komplett auf andere Art formatiert ist, als nachher im Frontend auf der Website.

Und dann noch diese unsichtbaren Blöcke! Man klickt auf seinen Text und merkt plötzlich, dass dieser automagisch unterteilt wurde. Vermutlich nach AbsĂ€tzen. Ätzend.

Das ist nicht meine persönliche Meinung, sondern diese Bevormundung geht den Leuten so auf den Sack, dass es eine große Menge an Plugins gibt, die den schrecklichen Gutenberg-Editor deaktivieren. Und die gehen weg wie geschnitten Brot.

Automattic, dem Hersteller von WordPress, gefiel das ĂŒberhaupt nicht. Wie können sie die Leute dazu bekommen, den Gutenberg-Editor zu lieben? Richtiiiiig! Er wird nun auch im offiziellen WordPress-Forum fĂŒr das Schreiben von BeitrĂ€gen vorgeschrieben! „BĂŒck Dich! Es wird Dir schon gefallen!„. Äh, nein, danke!

Der Gutenberg-Editor widerspricht der PrÀmisse jedes CMS, den Inhalt vom Design zu trennen. Benutzt man diesen Editor, wird eine Migration auf ein anderes CMS nur sehr schwer möglich sein. Vermutlich ist genau dies die Absicht: Binde die User so an das eigene Produkt, dass sie niemals wechseln werden können.

Soll ich mal davon anfangen, dass Automattic das Wort Datenschutz nicht einmal im Ansatz kennt? Die GDPR / DSGVO ist fĂŒr die einfach nicht existent. Man kann vermutlich schon froh sein, dass die Kalifornier einem nicht noch das imperiale System fĂŒr die eigene Website aufzwingen wollen. Was erwartet man von einer auf sich selbst fixierten Nation, die Landesligen nicht Landesligen, sondern „World Series“ nennt? Jupp! Ignoranz! 🙂

Ja, tut mir leid, das musste alles raus, weil ich beim Versuch ein Forum zu installieren, auf genau diese Probleme stieß.

Das beste Forum?

Ganz zum Schluss landete ich bei Asgaros. „Asgaros? Das klingt mir zu ĂŒberkanditelt und unbestimmt kompliziert!“, so landete ich erst ganz am Ende bei diesem Plugin. Aber auch nur, weil der Name des Entwicklers, der bei WordPress angegeben wurde, deutsch klang. Das hat nichts mit deutschtĂŒmelig zu tun, sondern mit Datenschutz. Es ist wirklich so, dass die DSGVO in Deutschland nicht den Usern dient, sondern ausschließlich den ekelhaften AbmahnanwĂ€lten. Ja, das sage ich als jemand, der schon einige Artikel ĂŒber den Datenschutz geschrieben hat.

Wenn der Entwickler des Asgaros Forums also Deutscher ist, kennt er sich mit den Fallstricken gut aus. Das sollte mir als Referenz reichen. Aber ich wurde eines Besseren belehrt! Im positiven Sinne, denn mit dem Asgaros-Forum kommt man sofort zurecht. Übersichtliche Einrichtung und eine schlanke Konfiguration mit sinnvollen Einstellungen, die man auch von anderen Standalone-Foren, wie dem Simple Machines Forum (SMF), kennt. Ein richtiges SahnestĂŒck! Punkt.

Es gibt nur ein Manko: Asgaros benutzt die in WordPress integrierte Benutzerverwaltung. Das ist einerseits gut, aber andererseits auch doof, weil die WP-Userverwaltung eben scheiße ist.

WordPress Userverwaltung

Oh, weia! Ich benutze wieder mal FĂ€kalsprache! WĂŒrde Ihr auch, wenn Ihr Euch der folgenden Probleme bewusst wĂ€rt:

  1. WordPress erlaubt standardmĂ€ĂŸig die Erstellung von Benutzerkonten mit dem Benutzernamen „admin“. Dies kann ein Sicherheitsrisiko darstellen, da es Hackern leicht gemacht wird, sich in das System einzuloggen, indem sie versuchen, das Passwort des Standard-Admin-Kontos zu knacken.
  2. WordPress bietet eine Standard-Anmeldeseite mit Registrierung, die es Hackern ermöglicht, automatisierte Angriffe durchzufĂŒhren, um das Passwort fĂŒr ein Benutzerkonto zu erraten. Diese Standard-Anmeldeseite bricht designtechnisch mit den Themes der Webseiten. Ja, das ist „nur“ ein optisches Problem.
  3. Es gibt keine eingebauten Sicherheits-Anmeldefunktionen wie die Zwei-Faktor-Authentifizierung (TFA) oder auch nur eine Captcha-Abfrage, die die Sicherheit der Benutzerkonten und des Systems durch automatisiere Zugriffe deutlich erhöhen könnten.
  4. Ein weiterer negativer Punkt der WordPress-Userverwaltung ist, dass standardmĂ€ĂŸig alle neu angelegten Benutzer automatisch Zugriff auf das WP-Admin-Backend und damit, wenn auch nur eingeschrĂ€nkten Zugriff auf das CMS-System haben.
  5. Es gibt keine standardmĂ€ĂŸige Möglichkeit, Benutzerkonten zu deaktivieren und nach PrĂŒfung wieder freizugeben, bevor sie Zugriff auf das Backend erhalten.
  6. Es gibt keine Standardfunktion in WordPress, die sicherstellt, dass die eingegebenen Benutzerdaten korrekt und gĂŒltig sind. Das bedeutet, dass ein Nutzer bei der Erstellung eines Accounts falsche oder fremde personenbezogene Daten angeben kann. Dies kann einen Verstoß gegen die DSGVO darstellen, da die Betreiber von Webseiten verpflichtet sind, sicherzustellen, dass die von den Nutzern in das System eingegebenen personenbezogenen Daten richtig und gĂŒltig sind. Eine Einladung fĂŒr AbmahnanwĂ€lte!
  7. Ein weiteres Problem ist die Begrenzung der KomplexitĂ€t von Passwörtern. WordPress erlaubt standardmĂ€ĂŸig sehr einfache Passwörter, die leicht zu erraten oder zu knacken sind.
  8. StandardmĂ€ĂŸig loggt WordPress Benutzer nicht automatisch aus, wenn sie fĂŒr eine bestimmte Zeit inaktiv sind. Das bedeutet, dass ein Benutzer, der im WordPress-Backend eingeloggt ist, auch dann eingeloggt bleibt, wenn er lĂ€ngere Zeit inaktiv ist oder das Browserfenster schließt. Dies kann ein Sicherheitsrisiko darstellen, da nicht autorisierte Benutzer oder Hacker auf das Konto des Benutzers zugreifen können, wenn das Backend geöffnet bleibt.
  9. etc., pp.

Ich probierte also einige Userverwaltungen aus. Die meisten sind dafĂŒr gedacht, dem armen User fĂŒr Inhalte Kohle aus der Tasche zu leiern. Soweit ebenso unsympathisch wie normal. Mir reichen die rudimentĂ€rsten Funktionen fĂŒr eine Benutzerverwaltung aus:

  1. Email-BestĂ€tigungs-Link: Der User muss nach seiner Registrierung einen Link in einer Email anklicken, damit sichergestellt ist, dass sich der EigentĂŒmer der angegebenen E-Mail-Adresse auch wirklich registrieren möchte. Die DSGVO lĂ€sst lieb grĂŒĂŸen!
  2. PrĂŒfung: Ein neuer User muss deaktiviert sein und erst durch den Admin freigegeben werden. Schön wĂ€re ein Feld, in dem ich die Frage obligatorisch machen kann, warum sich der User registrieren möchte, um Spammer zu erkennen.
  3. Username-Blacklist: Es darf sich niemand mit meinem Namen oder mit Namen wie „Admin“, „Administrator“, „Moderator“ oder Ă€hnlichen Nicknames registrieren, die eine offizielle Funktion vorgaukeln.
  4. WP-Admin: Kein User darf einen Zugriff auf das Backend zur Bearbeitung seines Profils haben.
  5. WP-User anlegen: Die Benutzerverwaltung muss trotzdem einen User auch in der WP-Userverwaltung erstellen, damit das Asgaros-Forum und auch die WP-Kommentarfunktion die neuen User verwenden können.
  6. Design: Das Login-Formular sollte optisch in die Website integriert sein.
  7. Passwortsicherheit: Es mĂŒssen komplexere Passwörter verlangt werden.
  8. Captcha oder Honeypot: Um die Masse der automatisierten Spammer bereits im Vorfeld auszusortieren, muss es ein Captcha oder einen Honeypot geben. Das Captcha muss der DSGVO entsprechen!
  9. Automatische Löschungen: UnbestÀtigte oder nicht aktivierte User (personenbezogene Daten) sollten automatisch gelöscht werden.
  10. Profile: Dem Benutzer muss erlaubt sein, die eigenen Daten zu Àndern oder zu löschen.
  11. Exportfunktion: Auf Verlangen muss man die gespeicherten personenbezogenen Daten dem Benutzer aushÀndigen können.

Die schlimmsten und ĂŒberflĂŒssigsten Probleme bereitet hier wieder einmal die DSGVO. Das Zauberwort ist aber Datensparsamkeit, denn je weniger personenbezogene Daten ich sammele, desto weniger Stress habe ich im Zweifel mit der DSGVO.

ABER: Dem gegenĂŒber stehen strafrechtliche Anforderungen. Wenn jemand einen nach dem Netzdurchsetzungsgesetz meldepflichtigen illegalen Inhalt im Forum postet, dann muss ich dessen Daten ja herausgeben. Nach meiner DatenschutzerklĂ€rung sammele ich aber nur anonymisierte IP-Adressen – also … das mache ich tatsĂ€chlich, denn was soll ich auch damit? Was soll ich also melden? Die GMail-Adresse? 🙂

Was meldepflichtig ist, bzw. was „offensichtlich rechtswidrig“ und „nicht offensichtlich rechtswidrig“ ist, muss ich entscheiden. Wehe mir! Die Löschfristen liegen dann bei 24 Stunden und sieben Tagen. Soweit mir bekannt ist, nach Erlangung der Kenntnis.

Was, wenn ich mich aber im Urlaub befinde, oder mit Corona darniederliege? Bin ich verpflichtet, jemanden zu engagieren, der sich darum kĂŒmmert? Wovon sollte ich das bezahlen? Ich beschließe, diese Fragen zu verdrĂ€ngen, denn, wie zuvor erwĂ€hnt, viel wird im Forum nicht los sein.

First Things first!

Ich probierte also verschiedene Benutzerverwaltungsplugins fĂŒr WordPress aus. Immer wieder hatte ich aber das Problem, dass ich meine Testuser nicht anmelden konnte. Manchmal mit, manchmal ohne ordentliche Fehlermeldungen.

In der WP-Userverwaltung sah alles gut aus. Rolle zugewiesen, User aktiv. Alles tipp-topp in de Reih! Auch mehrfaches Ändern und speichern Ă€nderte nichts daran, dass sich der User nicht anmelden konnte.

So kann sich niemand anmelden und ohne User ist ein Forum sinnfrei.

So langsam verzweifelte ich zwar, gab aber nicht auf.

„Sicherheit“

„KontoprĂŒfung ausstehend: Dein Konto ist momentan noch nicht aktiv. Ein Administrator muss dein Konto aktivieren, bevor du dich anmelden kannst.“

Wenn ein Nutzer diese Meldung beim Login erhĂ€lt, nachdem er sich ĂŒber ein Plugin zur Nutzerverwaltung registriert hat und im WP-Admin kein Fehler zu finden ist, liegt das an der ebenso beliebten wie Probleme generierenden Erweiterung „All In One Security“.

Diese deaktiviert, wenn man die empfohlenen Einstellungen vornimmt, jeden durch ein Plugin registrierten User – natĂŒrlich stillschweigend und auf den ersten bis achten Blick nicht sichtbar. Chapeau! Gut gemacht!

Lösung: Man kann den User irgendwo in den Tiefen des Plugins wieder freischalten – oder man deaktiviert und löscht dieses Sicherheitsmonster gleich.

Es hat mich einen Tag meines Lebens gekostet, herauszufinden, dass das Problem nicht bei den getesteten Benutzerverwaltungen liegt, sondern bei AIOS. Ja, ich bin nicht die hellste Kerze auf der Torte und habe mal wieder nicht auf mein BauchgefĂŒhl gehört, das mir schon frĂŒh riet, doch mal in AIOS zu stöbern oder den Problemlösungsmodus zu aktivieren.

Rechtliche Fallstricke

Als Betreiber eines Forums steht man in Deutschland schon mit einem Bein im Knast oder ist vom Ruin bedroht. Das wird auch immer schlimmer. Nur ein paar Beispiele:

  • Haftung fĂŒr Inhalte: Als Betreiber eines Forums ist man fĂŒr die von den Nutzern eingestellten Inhalte verantwortlich. Das bedeutet, dass man dafĂŒr sorgen muss, dass keine rechtswidrigen oder diffamierenden Inhalte veröffentlicht werden. VerstĂ¶ĂŸe können rechtliche Konsequenzen nach sich ziehen.
  • Urheberrecht: Es ist darauf zu achten, dass keine urheberrechtlich geschĂŒtzten Inhalte durch die User veröffentlicht werden. Dazu zĂ€hlen auch Avatare, die vom User hochgeladen werden können.
  • Foren-Regeln: Um rechtliche Probleme zu vermeiden, ist es wichtig, klare Forenregeln aufzustellen und diese von den Nutzern akzeptieren zu lassen. Darin sollten Regeln zu Inhalten, Umgangston und Verhalten im Forum festgelegt werden.

Die Lösungen dieser Probleme können sein:

  1. Eine Moderation des Forums. Dies bedeutet, dass alle BeitrĂ€ge vor der Veröffentlichung geprĂŒft werden.
  2. Ferner könnte ich den Upload komplett unterbinden
  3. keine Links erlauben
  4. keine privaten Nachrichten (PMs) anbieten.

Das sind eigentlich alles BeschrĂ€nkungen, die ich so nicht möchte. Auf der anderen Seite sollte ich mir nichts vormachen: das wird kein großes Forum. Die Leute werden herkommen, ein Problem besprechen und dann nie wieder herkommen.

  • Benötigt also jeder einen individuellen Avatar?
  • Links sollten schon erlaubt sein, aber vielleicht kann man die auch nicht anklickbar gestalten, das wĂ€re die halbe Miete.
  • Private Nachrichten haben zwei Probleme:
    1. Auf meiner Website könnten illegale „Dinge“ geschehen, von denen ich keine Kenntnis haben kann – und auch nicht haben darf.
    2. Zudem könnten die Leute anfangen, andere per PM um Support zu bitten, was bedeutet, dass diese Informationen fĂŒr andere nicht sichtbar und hilfreich sind.

Also wĂŒrde alles im Prinzip wie bei den Kommentaren laufen, denn den ersten Kommentar jedes Users muss ich manuell freigeben – danach können die User Kommentare verfassen, die direkt freigeschaltet werden. Ich prĂŒfe also einen User und danach darf er schreiben. Ein wenig Vertrauen muss schon sein.

Fazit

Leute, ich arbeite daran. Es kann noch ein paar Tage dauern, bis das Forum online geht. In der Zwischenzeit kann es zu Problemen kommen, weil einige Userverwaltungen ungefragt Grundeinstellungen Àndern. Gestern war die Kommentarfunktion beispielsweise deaktiviert.

3 Gedanken zu „Von einem der auszog, ein Forum einzurichten“

Schreibe einen Kommentar

Ich bin mit der DatenschutzerklÀrung und der Speicherung meiner eingegebenen Daten einverstanden.