Im Rahmen der WordPress-Multisite bestehen folgende Einschränkungen:
- Installation von Themes und Plugins nur durch Superadmins möglich (Seiten-Admins können aktivieren/deaktivieren)
- kein Dateizugriff (FTP/SSH), kein Datenbankzugriff, kein CGI
- kein Editieren von Theme-Code im WP-Dashboard
- Hinzufügen von PHP nur durch Superadmins. CSS/JS kann selbst hinzufügt werden.
Sicherheit
Die Eingabe eines falschen Benutzernamens oder die dreimalige Eingabe eines falschen Passworts bedeutet eine sofortige, zeitlich begrenzte Sperre der IP.
Bitte im Benutzerprofil sicherstellen, dass der „Benutzername“ und der „Öffentliche Name“ nicht ident sind, außerdem wird empfohlen dort den User-Slug (domain.com/author/slug) zu ändern.
Benutzernamen: Keine leicht zu erratenden wie „admin“, „login“ oder den Domainnamen bzw. Teile davon (abcd.kunstuni-linz.at) verwenden! Personal-/Matrikelnummer nicht verwenden.
Zur Absicherung von Logins und Kommentaren wird „Google reCaptcha“ verwendet. Sollte die rechts unten eingeblendete Grafik stören, so kann sie mittels CSS ausgeblendet werden:
.grecaptcha-badge {display: none !important;}
Kontaktformulare von „Contact Form 7“: Zur Vermeidung von Spam unbedingt eigenes Google reCaptcha einrichten, Anleitung hier. Außerdem den „Contact Form 7 Honeypot“ verwenden, der dabei hilft, Spam durch Bots zu vermeiden. Dazu bei der Formular-Bearbeitung auf den Button „Honeypot“ klicken, um einen einzufügen.
Zugriff auf XML-RPC und REST-API ist eingeschränkt. Sollte ein Theme/Plugin Zugriff darauf benötigen, dann den Entwickler fragen, welche Namespaces/URIs auf die Whitelist müssen.
Upload von Dateien (Medien)
Medien vor dem Upload bearbeiten (Skalierung, Kompression, Dateityp). Für Fotos das JPG-Format verwenden (nicht PNG!), Richtwert max. Höhe und Breite: 2000 px, JPEG-Komprimierung: 80; ausgenommen Bilder die zur starken Vergrößerung vorgesehen sind. Als maximale Bildgröße ist voreingestellt: 2560 x 2160 px. Software-Tipps Bildbearbeitung: Windows: IrfanView; MacOS: XnView MP
Installiert ist das Plugin „Resize Image After Upload“, siehe Dashboard unter „Einstellungen -> „Resize Image Upload“. Dort kann jeder Seitenadmin die maximale Bildgröße einstellen, Empfohlene Einstellungen: JPG-Kompressionslevel = 83 | Force JPEG-recompression: Yes | Convert PNG to JPEG: = Yes.
Dateien mit gleichem Namen werden von WordPress beim Hochladen nicht überschrieben, sondern fortlaufend nummeriert. Daher Dateien, die bereits vorhandene Dateien ersetzen sollen, nicht jedesmal neu hochladen! Stattdessen die alte Datei entweder zuvor löschen oder das Plugin „enable media replace“ („Datei ersetzen“) aktivieren und die gleichnamige Funktion verwenden, um vorhandene Medien durch neue zu überschreiben. Vorteil: Die Links bleiben gleich.
Auf die „Hygiene“ achten: Nicht benötigte Inhalte endgültig löschen!
Uploads werden standardmäßig in jahres- und monatsbasierten Ordnern hochgeladen (z. B. …/2022/09/datei.jpg). Dieses Verhalten kann auf Anfrage geändert werden.
Videos können/sollen am Mediaspace (https://mediaspace.ufg.at) der Kunstuni hochgeladen und in Seiten oder Beiträge eingebettet werden, wie folgt:
- Ein Admin der jeweiligen WordPress-Seite muss im WordPress-Dashboard im Menüpunkt „Snippets“ die Funktion „Enable unfiltered_html for Administrators“ (für WP-Benutzerrolle „Administrator“) bzw. „Enable unfiltered_html for Editors“ (für WP-Benutzerrolle „Redakteur“) aktivieren. Diese Funktion erlaubt es den Benutzern den Code einzufügen.
- Das Video auf mediaspace.ufg.at hochladen und veröffentlichen (darf nicht privat sein).
- Unterhalb des Videos die „Embed“ Funktion benutzen und den Code kopieren.
- Den Code im WordPress in ein HTML-Element (Individuelles HTML) einfügen.
WYSIWYG-Editor
WordPress verwendet seit Version 5.0 den sog. „Block Editor (Gutenberg)“ . Dieser unterscheidet sich teils erheblich von allen anderen gebräuchlichen Editoren, weswegen zusätzlich der „Classic Editor“ installiert ist. Der Editor kann von Seiten-Admins im Dashboard unter „Einstellungen -> Schreiben“ umgestellt werden. Beide Editoren lassen sich unter „Einstellungen -> TinyMCE Advanced“ anpassen.
Schriftart „LinzSans“
Alternative Schriftart (web safe font): Arial. Einbetten von „LinzSans“ per CSS:
@import url('/extern/fonts/LinzSans/LinzSans.css');
Kommentarfunktion
Die Kommentarfunktion ist deaktiviert (Voreinstellung), das kann bei Bedarf von Seitenadmins geändert werden (Menü Einstellungen -> Disable Comments).
E-Mail Einstellungen
Im Dashboard-Menüpunkt WP Mail SMTP bei „Von E-Mail“ und „Von Name“ die gewünschten Daten eintragen und die Option „Rückgabe-Pfad“ aktivieren. Sollen diese Angaben Priorität über Einstellungen anderswo haben, dann die Häkchen bei „Force from“ setzen (empfohlen).
Updates
Themes und Plugins welche nicht global verwaltet werden (also solche, die individuell für eine Seite gekauft und aktiviert wurden und nicht im WordPress-Repository vorkommen), müssen in den meisten Fällen manuell upgedated werden. Daher regelmäßig beim Theme/Plugin-Hersteller überprüfen, für welches Theme oder Plugin ein Update vorliegt und die entsprechenden Dateien (zip) an die Superadmins schicken.
Veraltete Plugins und Themes, die nicht mit neueren WordPress-Versionen und Webstandards (php) kompatibel sind oder die für Sicherheitsprobleme bekannt sind, werden entfernt.
Impressum, GDPR/DSGVO, Pflege
Im Impressum das jeweils für den Inhalt verantwortliche Institut, Abteilung oder Organisation anführen. Sollten die Verantwortlichen nicht ersichtlich bzw. nicht erreichbar sein oder sollte die Webseite verwaist sein (kein Login eines Admins länger als 2 Jahre), dann kann die Webseite jederzeit deaktiviert werden.
Falls personenbezogene Daten verarbeitet werden, ist ein „Opt-in“ erforderlich, das heißt der Nutzer muss aktiv zustimmen, eine reine Information („Cookie Notice“) reicht nicht. Um das zu erreichen steht das Plugin „EU Cookie Law (GDPR)“ zur Verfügung. Es bietet die Möglichkeit, Cookies zu blockieren, bis die Zustimmung des Nutzers erfolgt ist. Konfigurierbar über das Menü „Einstellungen“ => „EU Cookie Law“
Zum lokalen Hosten von Google Fonts und anderen externen dynamischen Inhalten können die Plugins „OMGF“ und „GDPress“ verwendet werden.