WordPress: Wie deaktiviert man einen Benutzer?

Nachtrag: Das hier vorgestellte WordPress-Plugin User Locker wurde schon längere Zeit nicht mehr aktualisiert. Disable User erfüllt aber den gleichen Zweck.

WordPress Plugin User Locker: Erweiterte Einstellungen in den Benutzerkonten

Die Welt ist dauernd in Bewegung: Menschen, die einst an einem Blog mitgeschrieben haben, erhalten andere Aufgaben oder verlassen das Unternehmen und sollen dann keinen Zugriff mehr auf das Blog-Backend haben. WordPress bietet von Haus aus folgende Möglichkeiten, um mit diesem Problem umzugehen:

  • Benutzer löschen: Die radikalste Methode besteht darin, den WordPress User schlicht und einfach zu löschen. Dadurch geht allerdings auch die Information über die Autorenschaft seiner Artikel verloren, was in der Regel unerwünscht ist.
  • Benutzer entfernen: Ist WordPress als Blog-Netzwerk konfiguriert (mehrere Blogs in einer einzigen Installation), so reicht es aus, die Zuordnung des Users zu den jeweiligen Blogs zu lösen. Dadurch bleibt der User zwar Autor seiner früheren Artikel, kann aber keine neuen mehr anlegen.
  • Benutzerrechte zurückstufen: WordPress unterscheidet sechs verschiedene Benutzerrollen. Stuft man einen ehemaligen Mitarbeiter auf die Rolle Subscriber (= Abonnent) zurück, dann hat er nur noch minimale Rechte. Er könnte dann höchstens seinen Namen ändern und auf diese Weise eine unerwünschte Botschaft in seine früheren Beiträge einschleusen – etwa indem er „Max Muster“ ändert auf „Glauben Sie nicht, was sie hier lesen! Ich wurde gezwungen, das zu schreiben, aber es ist nicht wahr! Diese Produkte sind unbrauchbar und völlig überteuert!“
  • Passwort und E-Mail-Adresse ändern: Ein weiterer Ansatz besteht darin, das Passwort des Users zu ändern, so dass sich dieser nicht mehr im Backend einloggen kann. Damit er sich über die “Passwort vergessen”-Funktion nicht einfach ein neues Passwort zuschicken lässt, muss man aber zusätzlich auch die E-Mail-Adresse ändern. Dies ist insofern etwas umständlich, als in WordPress jeder User zwingend eine eindeutige E-Mail-Adresse braucht – man kann also nicht für sämtliche deaktivierten Users die gleiche Adresse (z.B. inactive.user@mydomain.com) benutzen.

WordPress Plugin User Locker: Fehlermeldung bei einem gesperrten Benutzerkonto

Was in WordPress leider fehlt ist die naheliegendste Lösung, dass man nämlich als Administrator per Checkbox andere Benutzerkonten sperren (und ggf. auch wieder freischalten) kann. Das Plugin User Locker rüstet genau diese Funktionalität nach. Dabei kann der Administrator bei Bedarf eine individuelle Textmeldung erfassen, welche dem User nach einem erfolglosen Login-Versuch angezeigt wird (z.B. “Ihr Benutzerkonto wurde deaktiviert. Für weitere Informationen setzen Sie sich bitte mit Peter Mustermann in Verbindung.”)

Das Plugin hat aber noch eine zweite Funktion: Es verhindert Brute-Force-Attacken (systematisches Durchprobieren von Passwörtern), indem nach einer bestimmten Anzahl erfolgloser Logins das Konto automatisch gesperrt wird. In der Benutzerverwaltung werden solche Konten dann als “aus Sicherheitsgründen gesperrt” gekennzeichnet.

Lightbox Plus für WordPress

Lightbox Plus (Plug-in für WordPress)

Detailansichten von Bildern, die sich in einer Lightbox bzw. einem Lightwindow öffnen, sind heute fast schon Standard. Eine schöne Lösung, um diesen Effekt auch auf WordPress-Blogs zu implementieren, ist Lightbox Plus. Das Plug-in funktioniert ohne weitere Konfiguration, bietet aber bei Bedarf detaillierte Einstellmöglichkeiten im WordPress-Backend. Unbedingt empfehlenswert!

P.S. Testen Sie den Effekt, indem Sie auf den obigen Screenshot klicken.

Adminer: Datenbank-Manager für TYPO3, WordPress, Drupal und Joomla

Adminer als TYPO3-Extension t3adminer

Adminer (frühere Bezeichnung: phpMinAdmin) ist ein Datenbank-Manager, der sich (ähnlich wie SQL Buddy und Chive) als eine bessere Alternative zum etablierten phpMyAdmin versteht und dies mit einem detaillierten Vergleich belegt. Hervorzuheben ist insbesondere der kompakte Code: Adminer besteht aus einer einzigen, rund 300 KByte grossen PHP-Datei, wogegen phpMyAdmin auf rund 15 MByte angewachsen ist und viele hundert Dateien umfasst. Adminer unterstützt zudem nicht nur MySQL, sondern auch SQLite, PostgreSQL, MS SQL und Oracle und überzeugt durch eine schlichte, übersichtliche Benutzeroberfläche.

Normalerweise wird man das Skript als eigenständige Web-Applikation betreiben. Zusätzlich stehen aber auch Extensions, Plug-Ins bzw. Module für TYPO3, WordPress, Drupal und Joomla zur Verfügung. Der obige Screenshot zeigt die Extension t3adminer, die sich optisch und von der Bedienung her sehr harmonisch in das TYPO3-Backend einfügt. Und der nachfolgende Screenshot stammt vom entsprechenden WordPress-Plugin, das Adminer entweder in einem Lightwindow oder einem separaten Tab öffnet.

Adminer als WordPress Plug-in

Must Have Plugins für BuddyPress

Community-Plattform mit BuddyPress

Ich hatte kürzlich die Gelegenheit, für eine Community mit rund 100 Mitgliedern eine Web-Plattform auf Basis von BuddyPress zu implementieren. Die grundlegenden Möglichkeiten dieses Systems habe ich schon früher einmal beschrieben (vgl. Ein eigenes Social Network aufbauen mit WordPress und BuddyPress). In diesem Artikel geht es nun um Plugins, welche BuddyPress sinnvoll ergänzen und so aus der ganzen Plattform eine runde Sache machen.

Private BuddyPress plus Absolute Privacy: Sobald die Plattform nicht öffentlich, sondern nur einem bestimmten Personenkreis zugänglich sein soll, reichen die Möglichkeiten von BuddyPress nicht mehr aus. Erst die Kombination aus den beiden genannten Plugins hat in unserem Fall das gewünschte Resultat gebracht – die Details sind im Artikel BuddyPress vor fremden Blicken schützen beschrieben.

Secure Invites: Falls man die Registrierungsmöglichkeit für neue User ausblenden und nur noch Registrierungen von eingeladenen Personen ermöglichen will, dann wäre dieses Plugin einen Blick wert.

BP Group Documents: Gruppen in BuddyPress sind eine einfache, moderne Variante von Foren. Damit die Gruppenmitglieder Dokumente austauschen können, habe ich BP Group Documents installiert. Die Dokumente stehen dann innerhalb einer Gruppe unter einem separaten Navigationspunkt zur Verfügung.

EventPress ist nicht eigentlich eine Erweiterung für BuddyPress, sondern ein allgemeines WordPress-Plugin für Veranstaltungen. In unserem konkreten Projekt hat sich diese Lösung bewährt, um Veranstaltungen für Mitglieder anzukündigen und Anmeldungen entgegenzunehmen.

Featured Member Widget: Um neue oder anderweitig interessante Mitglieder vorzustellen bietet sich dieses einfache Plugin an. Damit können manuell ausgewählte User in der Randspalte mit Foto gezeigt werden.

BuddyPress Album+: Fotos hochladen und seinen Freunden zeigen gehört zu den Basisfunktionen eines jeden Social Networks. Dieses Plugin ermöglicht genau dies, indem es den Benutzerprofilen ein Fotoalbum hinzufügt. Uploads können wahlweise im öffentlichen Activity Stream oder nur Freunden gezeigt werden.

BuddyPress Like: Den “Gefällt mir”-Button kennen wir alle von Facebook. Dieses Plugin implementiert einen “Like”-Button in BuddyPress.

BuddyPress Mobile macht eine BuddyPress-Plattform ohne weiteren Aufwand auch auf einem SmartPhone benutzbar.

Buddypress Auto Group Join erlaubt es einem Administrator, Gruppen auszuwählen, denen neue User automatisch hinzugefügt werden sollen, beispielsweise eine “New Members”-Gruppe oder eine “Fragen & Antworten”-Gruppe.

BuddyPress Group Tags macht dann Sinn, wenn auf einer Plattform relativ viele Gruppen existieren. Die Gruppen können dann mit Schlagwörtern versehen und über eine Tag Cloud einfacher gefunden werden.

Tweet Blender erlaubt es, Tweets von manuell ausgewählten Streams innerhalb der Plattform anzuzeigen. So kann man beispielsweise sicherstellen, dass der offizielle Twitter Stream der Community auch für Nicht-Twitter-Benutzer  zugänglich ist. (Als weniger sinnvoll hat sich hingegen BuddyPress Group Twitter erwiesen, das eine ähnliche Funktionalität bietet: Weil die Tweets auch in den Activity Stream eingespiesen werden, verdrängen sie in der Praxis die Aktivitäten auf der Plattform.)

BP Profile Search: Die Standard-Suche von BuddyPress ist eigentlich schon sehr gut, denn sie sucht in allen Feldern der User-Profile. Gerade bei grösseren Communities ist BP Profile Search trotzdem hilfreich, weil man dann gezielt in bestimmten Feldern suchen und so die Treffermenge einschränkten kann.

BP User Profile Map ist ein einfach zu handhabendes Plugin, das den Wohnort eines Users in dessen Profil auf einer kleiner Google Map abbildet.

RS BuddyPress Activity Refresh aktualisiert den Activity Stream auch ohne manuellen Seiten-Reload automatisch in einem einstellbaren Sekundenintervall.

WP-Polls: Auch dieses Plugin ist nicht BuddyPress-spezifisch, macht aber auf einer Community-Plattform Sinn: Es bietet die Möglichkeit, einfache Umfragen in Form von Quick-Polls durchzuführen.

Glossare und Lexika mit WordPress erstellen

DigitalGlossar: Ein auf WordPress basierendes Online-Glossar

Um ein Glossar oder ein Lexikon online zu bringen gibt es verschiedene Wege. Wer dem Beispiel der Wikipedia folgend auf die aktive Mitarbeit seiner Benutzer setzt, wird typischerweise ein Wiki nutzen. Wer eher im klassischen Sinn publizieren möchte, kommt auch mit einem Content-Management-System zum Ziel. Dieser Artikel beschreibt einen dritten Weg, nämlich den Aufbau eines Glossars mit dem Blog-System WordPress – und zwar ohne Plugins wie Lexicographer, Glossary, WP-SNAP oder Explanatory Dictionary. Als Versuchsobjekt benutzte ich ein kleines Glossar mit Fachbegriffen aus Online-Kommunikation und -Marketing, das ich einmal für Studierende erstellt hatte: das DigitalGlossar.

Der Kerngedanke besteht darin, die Blog-Kategorien als alphabetischen Index zu nutzen. Zunächst legt man also je eine Kategorie für jeden Buchstaben des Alphabets an. Die Artikel werden dann als normale Blog Posts angelegt und derjenigen Kategorie zugeordnet, die dem Anfangsbuchstaben des zu erläuternden Begriffs entspricht. Sinnvollerweise wählt bzw. erstellt man ein WordPress-Theme, das die Liste mit den Kategorien prominent am oberen Seitenrand platziert.

Alphabetische Sortierung der Posts dank WP Post Sorting

Bis hierher ist die Lösung denkbar einfach, sie hat aber noch einen entscheidenden Schönheitsfehler: Die Artikel werden in der Reihenfolge ihrer Entstehung angezeigt statt alphabetisch. Man könnte dies wohl mit einer kleinen Code-Änderung im Template korrigieren, ich persönlich habe mich jedoch für die bequemere Lösung entschieden und das Plugin WP Post Sorting installiert, das diese Aufgabe klaglos meistert.

Lassen Sie mich zum Abschluss noch kurz erläutern, worin ich den Vorteil von WordPress für diesen Einsatzzweck sehe. Zunächst bietet WordPress im Vergleich zu einem Wiki (und auch im Vergleich zu vielen CMS) die komfortabelste und übersichtlichste Arbeitsumgebung für den Autor des Glossars. Zugleich ist es sehr einfach, ein ansprechend gestaltetes Design in Form eines Themes zu beschaffen. Und schliesslich schlägt WordPress elegant die Brücke zwischen der Mitmachkultur eines Wikis und dem geordneten Publikationsprozess eines CMS: Inhaltliche Ergänzungen und Korrekturen der Benutzer können leicht über die Kommentarfunktion entgegengenommen werden, ohne dass gleich jeder den Text verändern kann.

Wer übrigens die Geschichte noch etwas weiter treiben und Custom Fields nutzen möchte, dem sei der Artikel Setting up WordPress as a dictionary site von Anne Dorko empfohlen.

WordPress: Pharma Hack eliminieren – zweiter Versuch

Vor einigen Wochen habe ich an dieser Stelle beschrieben, wie dieses Blog Opfer des sogenannten Pharma Hacks wurde. Leider zeigte sich kurz danach, wie raffiniert dieser Hack funktioniert – offensichtlich hatte ich nicht den gesamten Schadcode eliminiert, und so präsentierte sich mein Blog schon nach wenigen Tagen wieder folgendermassen in der Trefferliste von Google:

Open Mind Blog mit Phrama Hack

Das ist mehr als ein Schönheitsfehler: Der Traffic auf meinem Blog brach aufgrund des Pharma Hacks auf etwa die Hälfte ein. Diese Situation zwang mich, mich nochmals eingehender mit diesem Angriff und dessen Bekämpfung auseinanderzusetzen – hier die dabei gewonnenen Erkenntnisse, die ich primär dem Artikel “How to Diagnose and Remove the WordPress Pharma Hack” verdanke.

Was bewirkt der Pharma Hack?

Wie man im obigen Screenshot erkennen kann, wird das TITLE-Tag von Blog-Artikeln durch Werbung für verschiedenste Pharmazeutika ersetzt, deren Namen Sie von Spam-Mails bestens kennen dürften. Allerdings wird diese Werbung nur dann eingeschleust, wenn der Google-Spider auf das Blog zugreift, so dass der Hack nicht auffällt, solange ein menschlicher Besucher das Blog liest – nur in den Trefferliste von Google fällt der Hack auf.

Zusätzlich werden offenbar Links auf einschlägige Websites in die Blog Posts eingebaut. Ich selbst konnte zwar keinen solchen Link entdecken, aber wenn es sie nicht gäbe, würde der Hack keinen Sinn machen, weil der Hacker vom verunstalteten TITLE-Tag allein noch keinen Vorteil hat. Denn letztlich ist der Pharma Hack ein Parasit: Sein Ziel ist es nicht, das gehackte Blog zu schädigen, sondern ihm Links unterzujubeln und so Suchmaschinenoptimierung der übleren Sorte zu betreiben.

Wo versteckt sich der Pharma Hack?

Dass der Pharma Hack nur schwer zu entfernen ist liegt daran, dass sich der Schadcode in verschiedensten Dateien des Plugin-Verzeichnisses sowie in der Datenbank verteilt und auch einiges unternimmt, um unentdeckt zu bleiben – eine blosse Suche nach Entschlüsselungsfunktionen wie eval() oder base64_decode(), wie sie für Hacks typisch sind, führt deshalb nicht zum Ziel.

Wie wird man den Pharma Hack wieder los?

  1. Komplett-Backup von Datenbank und Dateisystem durchführen.
  2. Aktuellste WordPress-Version installieren. Dies löst zwar nicht das konkrete Problem, ist aber eine generelle Sicherheitsmassnahme für jede Web-Applikation, um zukünftigen Hacks vorzubeugen.
  3. Plugin-Verzeichnis von infizierten Dateien befreien. Dies ist leichter gesagt als getan, denn der Hack versteckt sich einigermassen zufällig in den verschiedensten Plugins in den verschiedensten (gelegentlich auch unsichtbaren) Dateien. Statt alle Plugin-Verzeichnisse nach verdächtigen Dateien durchzusehen (was sowohl zeitaufwändig als auch technisch anspruchsvoll ist) habe ich mich diesmal zu einer Radikalkur entschlossen: Ich habe den gesamten Plugin-Ordner per FTP gelöscht und anschliessend alle Plugins neu installiert. Am besten macht man vorher einen Screenshot des Plugin-Managers im WordPress-Backend, um den später zu wissen, welche Plugins installiert werden müssen.
    Das ist natürlich eine brachiale Methode und entsprechend nicht ganz unproblematisch. Je nach dem, welche Plugins man im Einsatz hat, ist das Blog nach diesem Eingriff mehr oder weniger verunstaltet oder gar gänzlich offline. Und unter Umständen ist es auch mit der blossen Neuinstallation eines Plugins nicht getan, weil Modifikationen und Konfigurationsdateien gelöscht wurden. Im Notfall kann man aber immer noch einzelne Plugins aus dem Komplett-Backup wiederherstellen, und letztlich geht es um eine Güterabwägung: Ich persönlich habe lieber ein temporär verunstaltetes Blog in Kauf genommen, um den Hack endlich loszuwerden.
  4. Schadcode aus WordPress-Datenbank eliminieren. Hier geht es darum, mit phpMyAdmin (oder einem anderen Datenbank-Frontend) einzelne Datensätze aus der Tabelle wp_options zu löschen. Die exakte Anleitung hierzu finden Sie im bereits erwähnten Artikel von Chris Pearson.

Ob diese Methode wirklich funktioniert? Nun, wir werden sehen. Im Moment jedenfalls sieht es gut aus:

Open Mind Blog ohne Pharma Hack

WordCamp Switzerland, Brugg

WordCamp Switzerland 2011

WordPress hat sich zu einem der populärsten und vielseitigsten Systeme für Websites aller Art entwickelt: Nebst zahllosen Blogs basieren auch immer mehr Unternehmens-Websites, Social-Network-Plattformen (Stichwort: BuddyPress) und sogar Shops auf WordPress.

Das WordCamp Switzerland trägt diesem Trend Rechnung: Am 7. Mai 2011 treffen sich WordPress-Benutzer an der Fachhochschule Nordwestschweiz in Brugg zu einem Barcamp rund um WordPress. 18 Sessions in 3 Tracks sind vorgesehen, wobei derzeit noch für etwa die Hälfte der Sessions Präsentation gesucht werden.

BuddyPress vor fremden Blicken schützen

WordPress Backend Login

Wer mit WordPress und BuddyPress seine eigene Social-Network-Plattform aufbaut, möchte möglicherweise nicht jedem beliebigen Besucher Zugang gewähren. Dabei geht es um zwei verschiedene Aspekte: Einerseits sollen nicht eingeloggte Besucher die Plattform nicht einsehen können (oder höchstens einige ausgewählte Seiten wie z.B. das Registrierungsformular), andererseits sollen neu registrierte Benutzer ihr Login erst nach der Freischaltung durch einen Administrator nutzen können.

Klingt einfach? Ist es aber nicht! Das Problem liegt zunächst darin, dass WordPress von Haus aus wohl das Backend, nicht aber das Frontend durchgängig mit einem Login schützt. Erschwerend kommt in unserem Fall dazu, dass das BuddyPress-Plugin einige spezielle Seiten anlegt (Activitiy Stream, Members, Groups), welche WordPress nicht wie normale Seiten behandelt; nicht alle Plugins, welche das Frontend mit einem Passwortschutz versehen, schützen deshalb auch die BuddyPress-Seiten. Und last but not least kennt WordPress keine Freischaltung von neu registrierten Benutzern durch einen Administrator, sondern erlaubt es den Benutzern, sich über einen per E-Mail zugestellten Aktivierungs-Link selbst freizuschalten.

Um also eine BuddyPress-Installation komplett vor fremden Blicken zu schützen benötigt man Plugins, und zwar gleich mehrere. Verschiedene meiner Testkandidaten haben zudem mit WordPress 3.1 und BuddyPress 1.2.8 – also den allerneusten Versionen – nicht korrekt funktioniert.

Plugin Schutz des Frontends Freischaltung von neuen Usern
BP Registration Options schützt nur BuddyPress-Seiten, aber keine Standard-WordPress-Seiten OK
Private BuddyPress OK
New User Approve wirkungslos
Absolute Privacy schützt nur Standard-WordPress-Seiten, aber keine BuddyPress-Seiten OK
WP Members wirkungslos
More Privacy Options wirkungslos
BuddyPress Privacy Component fehlerhaft (Website nicht mehr erreichbar)
Force User Login schützt nur Standard-WordPress-Seiten, aber keine BuddyPress-Seiten

 

Was in meinem Fall schliesslich funktionierte, war die Kombination aus Private BuddyPress als umfassender Schutz des Frontends und Absolute Privacy als zuverlässiger Freischaltprozess für neu registrierte Benutzer. Dass es allerdings dermassen umständlich ist, eine BuddyPress-Installation sauber gegen aussen abzuschotten, scheint mir schon ziemlich bedenklich – eine solche Funktionalität gehört meiner Meinung nach ins Basissystem und sollte nicht mit Plugins nachgerüstet werden müssen.

Der Pharma-Hack und einige Hinweise zur WordPress-Sicherheit

Open Mind Blog mit Pharma-Hack

Falls Sie mein Blog über einen RSS-Reader verfolgen oder in der Google-Trefferliste gefunden haben, dann haben Sie sich vielleicht über die penetrante Pharmazeutika-Werbung gewundert. Seien Sie versichert: Ich habe keinen Rappen damit verdient und sie auch nicht selbst aufgeschaltet; vielmehr ist das Open Mind Blog Opfer des sogenannten Pharma-Hacks geworden.

Das Perfide daran: Die Verunstaltungen des Blogs waren für den normalen Besucher (und damit auch für mich selbst) nicht sichtbar. Wurde die Seite von einem normalen Browser angefordert, dann lieferte WordPress die unversehrte Seite aus; nur dem Googlebot wurde die infizierte Version angezeigt. Leider erreichten mich auch die Warnungen meiner Leser nicht, die mich per Kommentarformular darauf hinwiesen, dass in meinen Artikeln Wörter wie “Prozac”, “Ventolin”, “Lithium” und “Viagra” vorkommen – denn hier schlug natürlich Akismet (der Kommentar-Spam-Filter von WordPress) zu. Erst durch Beschwerden per E-Mail wurde ich auf das Problem aufmerksam – und selbst dann dauerte es noch einige Zeit, bis ich es beheben konnte. Was ich bei dieser Gelegenheit gelernt habe, möchte ich Ihnen nicht vorenthalten.

Exploit Scanner

Wie ich den Pharma-Hack eingefangen habe, kann ich nicht nachvollziehen. Da ich den WordPress-Core laufend auf den neusten Stand bringe (Sicherheitsregel Nummer 1), war wahrscheinlich ein Plug-in oder ein Theme die Schwachstelle, wo der Hacker angreifen konnte. In diesem Zusammenhang habe ich einen ausführlichen Artikel gefunden, der eindrücklich die Gefahr von versuchten Gratis-Themes aufzeigt: Why You Should Never Search For Free WordPress Themes in Google or Anywhere Else. Über diesen Artikel bin ich auch auf zwei WordPress-Plugins gestossen, welche mir letztlich den entscheidenden Hinweis auf den Pharma-Hack gaben: Theme Authentity Checker (TAC) und Exploit Scanner.

Die notwendigen Informationen zur Entfernung des Schadcodes verdanke ich schliesslich diesem Artikel: Understanding and cleaning the Pharma hack on WordPress. Ich hoffe, es hat gewirkt! Falls nicht, dann beschweren Sie sich mit Vorteil nicht über das Kommentarformular, sondern per E-Mail

Ein eigenes Social Network aufbauen mit WordPress und BuddyPress

Social Network mit WordPress und BuddyPress 

Unternehmen, Organisationen, Schulen und Vereine sind im Kern nichts anderes als ein Netzwerk von Personen. Sie alle haben deshalb potentiell das Bedürfnis, sich auch im digitalen Raum auf einer Social-Network-Plattform zu treffen. Facebook, XING und Co. erlauben es ihren Nutzern, geschlossene Gruppen und Foren anzulegen, um nicht-öffentliche Informationen auszutauschen und trotzdem alle Annehmlichkeiten dieser Plattformen zu geniessen. Das hat nicht zuletzt den Vorteil, dass die Teilnehmer ihre bestehenden Accounts nutzen können und keine neue Plattform kennenlernen müssen – niederschwelliger geht es kaum mehr.

Trotzdem sollte man sich im konkreten Fall genau überlegen, ob man die Kontrolle über seine Daten an Menschen wie Mark Zuckerberg abtreten mag. Wer in dieser Hinsicht autonom bleiben will findet auch im Open-Source-Bereich Software, um sein eigenes, selbst gehostetes Social Network zu betreiben. Nebst Elgg stellt insbesondere WordPress mit dem Plug-in BuddyPress eine interessante Lösung dar.

Wenn man schon einmal eine PHP/MySQL-Applikation aufgesetzt hat, dann ist die Installation von BuddyPress trivial: WordPress-Dateien auf den Server spielen, Installer aufrufen, dann in der Plug-In-Verwaltung das BuddyPress-Plug-in installieren und schliesslich ein BuddyPress-kompatibles Template aktivieren – fertig ist das Social Network. Ab diesem Zeitpunkt bietet BuddyPress schon all das, was man von anderen Plattformen her kennt: Benutzer können ein persönliches Profil anlegen, sich mit Freunden vernetzen, private Nachrichten und öffentliche Status-Updates verschicken, sich in Gruppen organisieren und sich per E-Mail über Updates informieren lassen.

Einige Details, welche nicht unerwähnt bleiben sollen:

  • BuddyPress nutzt die normalen WordPress-Accounts. Wie bei jedem WordPress-Blog kann man als Administrator somit bestimmen, ob sich neue User selbst registrieren dürfen oder ob sie vom Administrator eingerichtet werden müssen. Um möglichst aussagekräftige Profile zu erhalten kann der Administrator zudem Zusatzfelder definieren, welche bei der Registrierung ausgefüllt werden müssen.
  • Wenn man sein eigenes Social Network betreibt muss man sich natürlich auch selbst darüber Gedanken darüber machen, wer welche Daten sehen darf. Wer die Zugriffsrechte etwas restriktiver setzen möchte kommt mit BuddyPress allein nicht sehr weit. Es gibt aber verschiedene Plug-Ins, welche BuddyPress diesbezüglich erweitern, beispielsweise BuddyPress Privacy, BP Profile Privacy, Force User Login oder Private BuddyPress.
  • Auch in vielen anderen Bereichen kann BuddyPress mit Plug-ins erweitert werden. Insgesamt findet man im offiziellen Plug-in-Directory gegen 400 solche Plug-ins.
  • Foren sind in BuddyPress nicht standardmässig vorhanden, können allerdings im WordPress-Backend mit zwei Klicks installiert werden. Hierzu greift BuddyPress auf bbPress zurück, wobei auch eine bereits bestehende bbPress-Installation eingebunden werden kann.
  • BuddyPress kann auch in einem Blog-Netzwerk (mehrere Blogs in einer einzigen WordPress-Installation) eingesetzt werden. Leider lässt sich das Plug-in aber nur für alle Blogs gemeinsam aktivieren.
  • Obwohl BuddyPress auch als reines Social Network überzeugt, so besteht doch einer der grössten Vorteile darin, dass man die gesamte Funktionalität von WordPress zur Verfügung hat. Blog und Social Network greifen so nahtlos ineinander und ergeben eine umfassende Lösung für ganz viele community-orientierte Websites. 

P.S. Im Artikel “Mein persönliches Facebook” (c’t 20/2010, Seite 162-164) wird die Einrichtung eines Sozialen Netzwerks mit BuddyPress im Detail beschrieben.

css.php