#Projekt26 (2/26) | Hier kommt mein Bericht zur Umsetzung des Experiments mit der WordPress-Registrierung – also eine Beschreibung dessen, was ich so installiert und mir selbst zusammen geschrieben habe, um aus der Core-Registrierung ein ansatzweise brauchbares Feature zu machen.
Neun (9) Waghalsige waren bisher so freundlich, den Spaß mitzumachen und sich auf dieser Site zu registrieren – danke euch allen, ihr seid klasse! Und das Folgende ist definitiv noch nicht das letzte Wort zu diesem ganzen Zauber, sondern eine Art Zusammenfassung; um manche Details geht es dann in den kommenden Wochen.
Neuen Leserinnen und Lesern sei noch einmal ans Herz gelegt, dass es hier um ein Experiment geht – also etwas, das meistens nicht funktioniert – und dass die vorgestellten Lösungen teils sehr speziell auf meinen Use Case zugeschnitten sind. Das darf so sein, und gleichzeitig freue ich mich natürlich, wenn ihr eure Gedanken zu diesem und anderen möglichen Use Cases beisteuert.
Aber nun: ab ins Unterholz…
Registrierung
Warteschleife und Freischaltung
Plugin: WP Approve User + Anpassungen
WP Approve User ist Kommentar-Moderation, bloß nicht für Kommentare, sondern für Profil-Registrierungen; schöner als die Kommentar-Moderation, versendet es optional auch noch Benachrichtigungen bei (Nicht-)Freischaltung.
Zu verdanken haben wir dieses Schätzchen unserem alten Freund Konstantin Obenland (hallo, Konstantin!), und wie in so einem Fall nicht anders zu erwarten, tut es exakt, was es soll, mit klassisch obenland’scher Eleganz. Ein großartiges Plugin, das mir jeden Tag den Tag rettet, denn ein wenig Kopfzerbrechen bereitete mir zwischendurch der Registrierungsspam …
Spam-Abwehr
Plugin: Eigenbau
Pro Tag landeten zuletzt 10-20 Spammer in der Warteschleife von WP Approve User; das hört sich nach nicht viel an, aber es läppert sich. Mit einem reCaptcha waren es deutlich weniger (zuletzt), aber dafür hatte ich damit ein potenzielles Datenschutzproblem. Zwickmühle.
Nach einigem Hin- und Her habe ich jetzt eine eigene Lösung gebaut – sehr speziell auf meinen Use Case zugeschnitten, denn ich gehe davon aus, dass die lieben Leute, die keine Bots sind und sich auf meiner Website registrieren, mich irgendwie (er-)kennen. 🙃
Kennzahlen zur Effektivität meiner Lösung habe ich noch keine, werde aber Bericht erstatten. In den knapp 24 Stunden, in denen sie jetzt läuft, hatte ich jedenfalls noch keine einzige Spam-Registrierung. 🤞
Angepasste Login-Seite
Plugin: Eigenbau
Ok, ist jetzt nicht der mega Unterschied zur Core-Seite. Eigenes Logo halt, mit Link zur eigenen Site antatt zu Herrn Mullenweg, und ein extra Hinweis auf der Registrierungsseite, wie der Hase läuft. Mache ich sicher irgendwann noch mehr draus, sobald ich sowas wie ein Design im Frontend habe.
Profil (Subscriber)
Eigenes Profil löschen
Plugin: Delete me + Anpassungen
Das eigene Nutzungsprofil löschen – warum das nicht per Core geht, ist mir komplett schleierhaft. Dafür gibt’s halt dieses sehr ordentliche Plugin, mit wirklich umfassenden Anpassungsmöglichkeiten für die User Experience.
Dashboard
Plugin: Eigenbau
Dem WordPress Dashboard – diesem Inbegriff gut gemeinter Nutzlosigkeit kosmischen Ausmaßes – ein Mondstaubkorn Sinnhaftigkeit einzuhauchen, daran sind schon ganz andere als meinereiner gescheitert. Aber sei’s drum, dachte ich mir, die Latte hängt dermaßen tief, was kannste da falsch machen.
Heraus gekommen ist eine zweispaltige Ansicht mit einem eigenen Widget links (ein Anfang, ok?) und der core-seitig gelieferten Activity rechts.
Über die Screen Options lässt sich alles, wie gewohnt, ein- oder ausblenden. Verschieben geht auch, nur habe ich die gestrichelten Platzhalter-Kästen versteckt. Nicht ganz barrierefrei vielleicht, aber so fällt bei einer leeren Spalte der Dauerreiz zum Füllen derselben weg – wir haben doch eh alle mehr als genug Stress, oder?
Farbschema: Altis
Plugin: Eigenbau (Teil-Fork von Altis)
Das edle Blau stammt nicht von mir, sondern gehört zu Altis, der Plattform meines Arbeitgebers Human Made. Der Code von Altis ist komplett open source, da habe ich mir das CSS einfach mal ausgeliehen, denn das Core-Schwarz mag ich nicht mehr sehen und die anderen Core-Farbschemata noch weniger. Gefällt’s euch?
GitHub-Kontaktfeld
Plugin: Eigenbau
Bisher einfach nur ein Profil-Feld zum Ausfüllen, aber mit Potenzial…
Zwei-Wege-Authentifizierung
Plugin: Two Factor
Selbsterklärend, sollte eigentlich überall aktiv sein.
Sicherererere Passwörter
MU Plugin: WP Password Bcrypt + Anpassung
WP Password Bcrypt bringt WordPress dazu, den PHP-eigenen (und sichereren) Verschlüsselungsalgorithmus zu nutzen. Es muss als MU-Plugin installiert sein, damit es die jeweiligen pluggable functions in WordPress rechtzeitig überschreibt.
Und weil ich es bis jetzt nicht via Composer lade (ja, ja), habe ich in meine Kopie als Ergänzung noch die Forcierung von mindestens 32 Zeichen eingefügt. Kann man auch trennen natürlich … sollte man wohl auch … mache ich noch, versprochen.
Admin Notices nur für Admins
Plugin: Eigenbau (Teil-Fork von Dobby)
Ich kann mir partout keinen Grund vorstellen, warum meine Subscriber die Admin Notices anderer Plugins sehen sollten. Darum bin ich auf Nummer sicher gegangen. 🤫
Admin allgemein
Help Tabs hinfort
Plugin: Eigenbau
Wer weiß, was gemeint ist: ja.
Wer’s nicht weiß: genau.
Toolbar aufgeräumt
Plugin: Eigenbau
Im Backend: Alles raus außer Link zum Frontend (links) und das User-Menü (rechts); Kommentar-Icon nur dann, wenn es auch was zu moderieren gibt.
Im Frontend: wie oben, plus Customizer- und Edit-Post-Link.
Und „Howdy“ nur, wenn jemand in Texas sitzt … Ok, Scherz. Wäre datenschutzmäßig zu kompliziert. Kein Howdy für alle.
Kommentare
Spam-Abwehr
Plugin: Antispam Bee
Was sonst. Schon ans pluginkollektiv gespendet?
Automatische Kommentar-Freischaltung für eingeloggte Benutzer/-innen
Plugin: Eigebau
Die Überschrift erklärt’s, oder? Auch wenn jemand zwar ein registriertes Profil, aber noch keinen freigeschalteten Kommentar hat: solange er/sie eingeloggt ist, veröffentlichen sich die Kommentare auf Vertrauensbasis von selbst.
Benachrichtigungen
Plugin: Falcon + eigene Anpassungen
Ebenfalls aus dem Hause Human Made und mit einem „dev“ in der Versionsnummer, macht dieses Schmuckstück seine Sache richtig, richtig gut. Registrierte Nutzer/-innen können ihre Abos für Beiträge und Kommentare granular auswählen, auf der eigenen Profilseite, oder direkt im Dashboard. (Doch nicht im Dashboard, habe das Widget ausgeblendet; warum, erzähle ich später.)
Hacken muss ich es trotz alledem, aber davon in einem nächsten Beitrag mehr…
Bearbeitung
Plugin: Simple Comment Editing + eigene Anpassungen
Mein Ehrgeiz, das Editieren über Nutzungsrechte zu lösen (nach einem Tip von Bernhard), ist an WordPress leider lässig abgeperlt – die Rechtesituation für Kommentare ist an edit_posts geknüpft und ansonsten hochgradig komplex. Zu viel für meine alternden Synapsen.
Nach einigem Hin und Her und diversen fruchtlosen Tauchgängen in den Core, bin ich daher nun doch bei der Standardlösung mit dem einschlägigen Plugin gelandet, plus einer kleinen Anpassung, die den Edit-Link ausschließlich für registrierte Nutzer/-innen anzeigt. (Die Eieruhr zum Bearbeiten ist auf 20 Minuten eingestellt.)
Kennzeichnung registrierter Kommentierender
Plugin: Eigenbau
Bernhard hatte den lustigen Vorschlag gemacht, registrierte Nutzer/-innen mit einer Art Anstecknadel als „verified“ Kommentierende auszuzeichnen. Digital-Swag! Mit sowas kriegste mich immer.
Als Badge dient ein Sparkle-Emoji (✨) mit zusätzlichem Screen-Reader-Text („Verified Member“). Anstatt das Ganze im Theme zu versenken, filtere ich get_comment_author (Backend) und get_comment_author_link (Frontend). Und damit klar ist, wer in den hoffentlich reichlichen Kommentaren das Hausrecht hat, habe ich für den/die Beitragsautor/-in noch ein ✍️ Badge dazu gezaubert.
Desweiteren im Einsatz
- Cachify mit HD Cache. (Kannste auch für spenden!)
- Was Eigenes für rudimentäre PWA-Features (work in progress).
- Noch was Eigenes, um Feedly dazu zu kriegen, ein Icon für meine Feeds anzuzeigen; funktioniert bloß irgendwie noch nicht. 😣
- Das Theme Susty von Jack Lennox (sehr, sehr work in progress).
Code?
Der Code der hier genannten Mini-Plugins Marke „Eigenbau“ steht ab sofort in einem – vorerst – privaten GitHub-Repo.
Diejenigen, die sich nach meinem ersten Projekt26-Beitrag registriert hatten, haben bereits eine Einladung dafür erhalten. Nicht dass es da so wahnsinning Aufregendes zu sehen gäbe, aber wer mir den Gefallen getan und bei diesem Registrierungsexperiment mitgemacht hat, soll nun natürlich auch den Code hinter der Umsetzung begutachten dürfen.
Wer ebenfalls begutachten möchte, aber noch kein Profil hat: gerne hier registrieren, Bestätigungsemail abwarten, Profil mit GitHub-Name aktualisieren und sich auf den Invite freuen!
Und ansonsten: gerne Ideen, Tips, Anregungen, Kritik usw in die Kommentare!
Tolle Liste, vielen Dank für die Übersicht. Sehe ich das richtig, dass Falcon nur für registrierte Personen funktioniert? Ich suche noch immer ein Plugin, um die Notifications von Jetpack mal endlich zu ersetzen. Ja, ich nutze das noch immer 🙈
Stimmt, Bernhard, Falcon funktioniert nur für registrierte Personen. 🙂 Der übliche Anwendungsfall (bzw. der, aus dem heraus es wohl entstanden ist) ist ein geschlossenes P2-Netzwerk, wie es Firmen wie Automattic, Human Made u.a. für die interne Kommunikation zusätzlich zu Slack verwenden.
Lustiges Detail am Rande: mein Experiment mit der Registrierung kam primär zustande, weil ich das Thema Benachrichtigungen ohne Jetpack und so schön wie mit Falcon lösen wollte, aber keine Alternative fand, die mir gefiel … 🙈😂
Für nicht registrierte Benutzer verwende ich Subscribe To Comments Reloaded: https://wordpress.org/plugins/subscribe-to-comments-reloaded/
Ist auf jeden Fall ganz in Ordnung. Bietet die Wahl zwischen Benachrichtigung bei allen neuen Kommentaren unter einem Artikel oder nur für Antworten, Double Opt-In wird unterstützt und Abmeldung mit einem Klick ebenfalls.
Man muss es aber nach der Installation umfangreich testen. Den Haken bei “BCC Admin bei Benachrichtigungen” ist für den Anfang sehr hilfreich.
Hi Johannes! Subscribe To Comments Reloaded hatte ich früher auf GlückPress laufen, dann aber irgendwann mal rausgeschmissen. Warum, fällt mir gerade nicht ein … gab’s da mal eine Sicherheitslücke oder sowas?
Viel wichtiger war mir aber: ich wollte dieses Mal gerne Beitrags- und Kommentar-Abo in einem abgefrühstückt haben – und natürlich ohne Jetpack. Dafür schien Falcon dann einfach ideal. Was mich wiederum auf die Idee mit dem Registrierungsexperiment brachte… 😉
bzgl. Spam (mal nicht bezogen auf die Registrierung) in Sachen Kontaktformulare: was empfiehlt denn der geneigte Leser als ReCaptcha Ersatz dafür?
Der übliche Honeypot von CF7 hält nicht mal mehr ‘ne Stunde stand, Quiz finde ich eher bekloppt und Akismet brauchen wir wohl nicht zu diskutieren. Also … ?
Nach meiner Erfahrung läuft es auf eine Quizfrage hinaus, allerdings muss es ja nicht eine Matheaufgabe oder sowas sein. Irgendwas, was sich auf die Site selbst bezieht, vielleicht?
Der Honeypot funktioniert hervorragend. Du solltest nur schön missverständliche IDs benutzen. Standard bei CF7 ist ja z.B. your-mail, your-name, etc. Wenn du jetzt den Honeypot einbaust, benutzt du z.B. “your-company” und “your-phone” o.ä. und setzt die willkürlich da rein, einzeln oder hintereinander.
Mit dieser Technik kommt quasi nichts mehr durch. Getestet auf ca. 200+ Websites.
Ah, merke: Wenn du einen alten Beitrag aus der Zeit vor Falcon aktualisierst, weil du ihm z.B. eine Sprache zuweisen möchtest (mittels einer schlanken Taxonomy-Lösung, die du gerade gebaut hast), dann schickt Falcon geflissentlich eine Benachrichtigung für diesen „neuen“ Post los, den es noch nicht kannte.
Sorry! 🙈
Zum Thema verifizierte Account habe ich das hier noch gefunden:
https://marc.tv/marctv-verifizierte-zugaenge-gegen-gefaelschte-kommentare/
Spannend wäre es auch ggf. Gravatar für nicht-verifizierte Kommentare zu deaktivieren (aus Datenschutzgründen und wg. Fake-Accounts mit geklauten Gravatar-Bildern).
Cool, danke, Torsten! Ja, spätestens sobald ich Gravatare bei mir aktiviere, fliegen sie für nicht registrierte User auch gleich wieder raus. 😄