El 25.05.2018 entró en vigor la UERGPD . Te ofrecemos una visión general de las precauciones técnicas que consideramos importantes en el contexto de RGPD para operar el sitio web tu WordPress de forma legalmente segura.

RGPDElimina los plugins dañinos de WordPress y sustitúyelos por alternativas conformes a RGPD.

Si los plug-ins tienen que establecer una conexión válida con otro sitio web y transmitir datos como la dirección IP, resulta problemático. Tales plugins deben sustituirse definitivamente por una alternativa que cumpla la normativa de la UERGPD, al menos hasta que los fabricantes publiquen una versión de sus plugins que cumpla la normativa.

Recopilar estadísticas anónimas de visitantes

Por supuesto, también nos gustaría saber qué funciona especialmente bien en nuestro sitio web, qué le gusta leer o compartir a la gente, cuánto tiempo permanecen los visitantes en sitio o cuál es la tasa de rebote. Con la UE-RGPD la situación legal se ha endurecido un poco. Como ya ocurría con la anterior normativa alemana sobre protección de datos, debes anonimizar completamente a todos los visitantes de tu sitio web tus . Sin embargo, no se pueden transferir datos personales a otros servicios.

Por esta razón, recomendamos Statify para que todos los datos personales anonimizados permanezcan en el sitio web tus y no se transmitan a ningún otro servicio.

Según la información del plugin, éste no procesa, envía ni almacena datos personales, como cookies o direcciones IP fuera del sitio web tus .

Utiliza avatares que cumplan con la ley para el blog y los comentarios

• Avatar Privacy permite el uso conforme a RGPD de la función Gravatar de WordPress

Avatar Privacy de Peter Putzer ofrece las siguientes características para la implementación de RGPD : Por un lado, el hash de las direcciones de correo electrónico no se publica si no existe una cuenta Gravatar para ello. En segundo lugar, ofrece una opción de inclusión o exclusión para la visualización del Gravatar en los comentarios y en el perfil de usuario. Además, el plugin proporciona nuevos avatares predeterminados que se cargan desde el servidor local en lugar de los servidores de gravatar.com en EEUU.

Una alternativa es desactivar completamente los gravatares en tu propio sitio web:

• Avatar de usuario de WP en lugar de Gravatar

Sin embargo, para desactivar completamente Gravatar en WordPress, tienes que realizar los siguientes ajustes en el área de administración de WordPress, en la opción de menú "Ajustes": Desplázate hacia abajo en el submenú bajo Discusiones hasta que llegues a la sección Avatares. A continuación, desactiva la casilla: "Visualización de avatares - Mostrar avatares". Haz clic en Guardar para aplicar la configuración y borrar la caché del sitio web tus . Ahora el sitio web tu ya no debería comunicarse con wordpress.com .

Procedimiento de opt-in doble para los comentarios

Aquí hay que decir de antemano que la notificación de otros comentarios sobre el propio comentario ya presupone que se transmitirán los datos. Si quieres excluir una interpretación negativa de esta "zona gris", utiliza el plugin gratuito Subscribe to Double-Opt-In Comments. De esta forma, el visitante tiene que confirmar activamente por adelantado que realmente desea recibir notificaciones sobre comentarios posteriores.

Restringe la protección antispam a tu propio sitio web

Aquí se puede utilizar Antispam Bee o Akismet, por ejemplo. Antispam Bee puede utilizarse de acuerdo con RGPD si respetas los siguientes ajustes del plugin: La función "Considerar la base de datos pública de spam" debe estar desactivada para evitar que las direcciones IP de los visitantes de tus se transmitan al servicio Stop Forum Spam. Contrariamente a lo que muchos suponen, el filtro de idioma, que utiliza la API de Google, no es problemático en términos de protección de datos:

Si se ha activado el filtro de voz, las diez primeras palabras de cada comentario se envían al servicio de Google para el reconocimiento de voz. Tres palabras del contenido del comentario. Ni la dirección de correo electrónico, ni el nombre de la persona que comenta, ni la dirección IP. En resumen: no hay datos personales y, por tanto, no hay problema. - Simon Kraft, miembro del Pluginkollektiv

Sustituye los plugins de copia de seguridad de WordPress por soluciones alternativas si es necesario

Para contrarrestar la transferencia de datos personales a servidores estadounidenses, por ejemplo, y como efecto secundario positivo para liberar más capacidades de rendimiento en tus , deberías plantearte no utilizar plugins especiales de copia de seguridad de WordPress. También hay alternativas a un plugin de copia de seguridad de WordPress que puedes considerar.

Utiliza la caché del servidor web en lugar del plugin de caché de WordPress

Muchos plugins de caché hacen un buen trabajo al almacenar en caché el sitio web tu . El almacenamiento en caché permite que el sitio web se entregue más rápidamente. Sin embargo, el almacenamiento en caché también conlleva una pérdida de control sobre los datos.

Una alternativa conforme a la ley, que también garantiza la desaparición de los plug-ins de alto rendimiento, es utilizar la caché del lado del servidor.

La ventaja: los datos ya están almacenados cuando se entregan y, al menos en Raidboxes , sólo se encuentran en servidores alemanes con certificación ISO 27001 garantizada.

Evitar plugins sociales problemáticos

Los servicios para compartir a menudo ya utilizan los datos en cuanto los visitantes de tu están en el sitio web con un plugin social activo. Aunque todavía no se haya compartido nada, los datos ya se están transmitiendo. Esto es fundamental en términos de RGPD .

Plugins de formulario de contacto

Según el Reglamento General de Protección de Datos, el envío de un formulario requiere el consentimiento del remitente. Los datos incluyen no sólo la IP personal, sino también la dirección de correo electrónico y el propio contenido. El consentimiento para el almacenamiento de datos puede implementarse mediante una casilla de verificación de aceptación adicional en Contact Form 7 y en Gravity Forms, por ejemplo, con el plugin gratuito WP GDPR Compliance. Hoy en día, sin embargo, todos los plugins de este tipo deberían haber implementado los requisitos relativos a RGPD .

newsletter de noticias y marketing por correo electrónico

En tus formularios Newsletter , sólo la dirección de correo electrónico debe ser un campo obligatorio, todos los demás datos, como el nombre y los apellidos, sólo deben solicitarse como opción. Como ocurre con todos los formularios, el procedimiento de doble opción también se aplica al formulario Newsletter , así como la mayor transparencia posible en la información sobre lo que pretendes hacer u ofrecer exactamente con el formulario Newsletter .

Si aún no lo has hecho, ¡utiliza siempre el procedimiento de opt-in doble! Con el doble opt-in, el destinatario del correo electrónico debe hacer clic explícitamente en el enlace de un correo electrónico de confirmación una segunda vez después de la primera inscripción para ser incluido en la lista de distribución. Esto garantiza que nadie se inscriba en tu nombre en Newsletter y que la inscripción real también la desees tú.

Medidas técnicas fuera de tus Plugins de WordPress

Encriptación SSL

La encriptación SSL no es obligatoria en RGPD, pero sin una conexión SSL no es posible la transmisión segura de datos en el sitio web tu . También puedes obtener más información sobre SSL en nuestro extenso Compendio sobre SSL de Let's Encrypt.

¿No quieres configurar tú mismo el certificado SSL? Entonces utiliza los certificados SSL de Let's Encrypt, por ejemplo, que puedes activar rápida y fácilmente para el sitio web tu WordPress de forma gratuita con una instalación de un solo clic.

Crear la exclusión de Google Analytics

En este contexto, cabe señalar una vez más que es obligatoria la anonimización completa de los visitantes. Para garantizarlo, el frecuentemente utilizado Google Analytics debe ampliarse con la siguiente línea de código:

ga('set', 'anonymizeIp', true);

Debería haber tu fragmento de javascript tenía este aspecto de antemano:

<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXXXX-X', 'auto');
ga('require', 'displayfeatures');
ga('require', 'linkid', 'linkid.js');
ga('send', 'pageview');
</script>

el código se ve así después de añadirlo:

<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXXXX-X', 'auto');
ga('require', 'displayfeatures');
ga('require', 'linkid', 'linkid.js');
ga('set', 'anonymizeIp', true);
ga('send', 'pageview');
</script>

Además, debes crear una opción en tu política de privacidad que permita a los visitantes de tus excluirse completamente de Google Analytics. Puedes encontrar un plugin gratuito de inhabilitación para Google Analytics llamado Google Analytics Opt-Out en el directorio de plugins de WordPress. Esto instala una cookie que impide que analytics.js recopile los datos.

Direcciones IP anonimizadas en los comentarios de los blogs

WordPress almacena por defecto las direcciones IP de quienes escriben comentarios. Sin embargo, según la UERGPD , la recopilación de direcciones IP no cumple la normativa de protección de datos. Puedes evitar el futuro almacenamiento de direcciones IP con la ayuda de un pequeño código PHP en tus functions.php. Te recomendamos que utilices un tema hijo para ello, de modo que el código siga integrado tras la próxima actualización de tu Themes. El código que hay que insertar es

function  wpb_remove_commentsip( $comment_author_ip ) {
	return '';
	}
add_filter( 'pre_comment_user_ip', 'wpb_remove_commentsip' );

Por último, debes eliminar manualmente las direcciones IP existentes con carácter retroactivo en la base de datos del sitio web tus una vez. Puedes encontrar buenas instrucciones sobre cómo hacerlo aquí.