WordPress heeft enkele verborgen privacyproblemen die veel gebruikers over het hoofd zien. Maar gelukkig kun je ze gemakkelijk opsporen en repareren!
Nu de opwinding over de invoering van de AVG weer is verstomd, vergeten sommigen dat privacybeveiliging een permanent belangrijk item blijft. Juridisch gezien is het nu duidelijker wat mag en wat niet. Er zijn ook al boetes uitgedeeld aan bedrijven, publieke instellingen en privépersonen. Daarom is het zinvol om nog een keer naar WordPress te kijken. Zo kun je alle resterende details op orde krijgen en verborgen valkuilen opsporen.
De meeste WordPress gebruikers hebben de bekendste AVG-kwesties nu wel onder controle. Denk aan adresgegevens van nieuwsbriefabonnees, social mediaknoppen, integratie van YouTube-video’s, Google-lettertypen, Google Maps en plug-ins die data verzamelen. Maar hoe zit het met de vele kleine valkuilen die nog verborgen zitten in WordPress, in thema’s en plug-ins?
Belangrijke opmerking: dit blog is geen juridisch advies. We wijzen je op mogelijke problemen en geven technische tips om die te vermijden. We geven expliciet geen juridische beoordeling van de beschreven aspecten.
Mogelijke privacyproblemen opsporen
Je kunt eenvoudig zelf controleren of gegevens worden overgedragen aan derden. Daarbij is het vooral belangrijk of je WordPress site via de browser van de gebruiker data van externe servers haalt. Denk aan foto’s, audio, video, lettertypes, pictogrammen, Javascript en reclamebanners. Natuurlijk is het daarbij onvermijdelijk dat die externe server het IP-adres van de gebruiker ‘ziet’. Maar de vraag is of ook andere persoonlijke gegevens worden verstrekt, zoals cookies of browserprofielen.
De Pingdom Website Speed Test is, zoals de naam al aangeeft, eigenlijk bedoeld om de snelheid van de website te testen. Maar met deze gratis online tool kun je ook dataoverdracht naar externe servers opsporen.
Om dit te doen, laat je de tool een pagina van je website of blog testen en zoek je naar het item File requests in de resultaten. Daar toont Pingdom een overzicht van alle elementen van de website die via de browser zijn geladen. De meeste URL’s die hier verschijnen, bevatten je eigen domein. Wat je zoekt zijn “vreemde” URL’s in de lijst.
In het voorbeeld zie je het eigen domein (bloggertricks.de), maar ook de servers 0.gravatar.com, fonts.gstatic.com en fonts.googleapis.com.
De gevonden URL’s toewijzen aan plug-ins of thema’s
Het wordt lastiger als je de ontdekte URL’s wilt herleiden tot een thema of een specifieke plug-in. Maar met wat logisch nadenken kom je heel ver.
In het voorbeeld is het relatief eenvoudig: fonts.gstatic.com en fonts.googleapis.com maken duidelijk dat je ergens Google Fonts hebt gebruikt. De URL toont ook dat het lettertype Merriweather’ is. Waarschijnlijk gebruikt het thema dit lettertype.
Ook gravatar.com kun je eenvoudig herleiden. Vanaf dat adres laadt WordPress de thumbnails van de gebruikers die een commentaar op een bericht achterlaten. Dit werkt alleen als deze optie is geactiveerd in WordPress via Instellingen – Discussie – Avatars. Je kunt dit probleem dus ook eenvoudig oplossen: schakel de functie daar uit.
Je hoeft de gegevensoverdracht naar externe servers overigens niet altijd te blokkeren. Je moet er alleen rekening mee houden vanwege de privacywetgeving. Afhankelijk van de situatie blokkeer je dan vervolgens inderdaad de overdracht óf schrijf je een passende passage in je privacybeleid. Soms moet je ook expliciet de toestemming van gebruikers vragen.
De test herhalen
Je moet de test nu op andere pagina’s herhalen. Maar let op: plug-ins zijn mogelijk niet op elke pagina actief. Daarom zie je widgets alleen op sommige pagina’s. Ook hebben pagina’s en berichten verschillende design-elementen en is de homepage vaak anders gestructureerd dan de rest van de site. Een FAQ-plug-in is bijvoorbeeld slechts relevant voor één FAQ-pagina, een contactformulier staat alleen op de contactpagina van je website.
Tip: voer de controles opnieuw uit als je iets verandert in je WordPress installatie. Dit is vooral aan te raden na het installeren van een nieuwe plug-in. Voor de zekerheid moet je de controles sowieso regelmatig volledig nieuw uitvoeren. Want je weet immers nooit helemaal zeker of een nieuwe WordPress versie, plug-in of thema ongemerkt nieuwe problemen veroorzaakt.
Verborgen AVG-problemen in WordPress
Verrassend genoeg heeft WordPress zélf ook enkele privacyproblemen die we hier moeten noemen, ook al beweert WordPress dat het AVG-conform is.
Emoticons: vanaf versie 4.2 zijn emojis een integraal onderdeel van WordPress. Maar deze kleine icoontjes worden vanaf een externe server geladen. Die heeft het domein s.w.org. Je kunt dit voorkomen met de plug-in Disable Emojis. Een andere plug-in met zeer uitgebreide functies is Webcraftic Clearfy en daarin vind je ook zo’n functie.
Gravatar-afbeeldingen: de kleine foto’s in de commentaren van gebruikers worden ook van een externe server geladen. Je kunt deze avatarafbeeldingen in WordPress uitschakelen via Instellingen – Discussie – Avatars.
SSL-versleuteling: persoonlijke gegevens van gebruikers moeten altijd versleuteld worden verzonden. Aangezien zelfs een eenvoudig contactformulier al de naam en het e-mailadres van de gebruiker doorgeeft, moet je WordPress site altijd SSL-versleuteld zijn. Vanuit SEO-oogpunt is SSL sowieso aan te bevelen, omdat je Google-ranking door deze veilige dataoverdracht stijgt. Wil je weten hoe je jouw WordPress site naar SSL kunt omschakelen? Lees dan het artikel Zo zet je WordPress om naar SSL.
De nieuwste WordPress versie: om veiligheidsredenen moet je altijd de laatste WordPress versie gebruiken. Dit is ook zinvol als het gaat om de AVG. De WordPress ontwikkelaars verbeteren de software namelijk voortdurend. Een voorbeeld is de link naar het privacybeleid: die is alleen in de nieuwste versies geïntegreerd op de inlogpagina van je blog.
Commentaarfunctie: in de commentaren van WordPress gaan enkele zaken schuil die relevant zijn voor de gegevensbescherming. Welke dat zijn en hoe je er technisch mee omgaat, vertellen we je in deze blogpost.
Naar de WordPress pakketten
Je kunt pas een reactie plaatsen nadat je ons privacybeleid en cookies hebt geaccepteerd. Om privacyredenen mogen wij jouw persoonsgegevens anders niet verwerken.
Klik onderaan de pagina op de blauwe button OK. Nadat je de pagina opnieuw hebt geladen, kun je een reactie achterlaten.