Kommentare in WordPress: die IP-Adresse entfernen

IP-Adresse entfernen von Kommentaren in WordPress

Ein wichtiges Puzzleteil beim Datenschutz auf deinem Blog ist die Sache mit den IP-Adressen: normalerweise speichert WordPress nÀmlich bei jedem Kommentar die IP-Adresse mit. SpÀtestens seit der im Mai 2018 in Kraft getretenen DSGVO ist das brenzlig und etwas, das du Àndern solltest.

Du kannst das Speichern der IP-Adresse entweder komplett abstellen (so handhabe ich das und zeige dir hier, wie das geht) oder solltest sie zumindest nach einigen Tagen anonymisieren oder komplett löschen.

Keine IP-Adresse mehr speichern – so geht’s:

Mit wenigen Zeilen Code kannst du das Speichern von IP-Adressen in deinem selbstgehosteten WordPress abstellen. Das geht so leicht, dass du dafĂŒr kein Plugin benötigst. 🙂

FĂŒge den folgenden Codeschnipsel einfach in die functions.php deines Themes ein:

// keine IP-Adressen von Kommentarschreibern speichern
function remove_comment_ip()
{
   return "127.0.0.1";
}

add_filter( 'pre_comment_user_ip', 'remove_comment_ip', 50); 
  • Was passiert hier? – Wir erstellen eine Funktion namens remove_comment_ip() und sagen ihr, dass sie immer den Wert „127.0.0.1“ ausspucken soll.
  • Warum genau diese Zahl? Wir brauchen einfach irgendeine beliebige IP-Adresse, die die eigentliche IP ĂŒberschreibt. 127.0.0.1 ist die IP-Adresse vom localhost – du kannst da auch einen anderen Wert reinschreiben.
  • Und wann wird diese Funktion aufgerufen? Unmittelbar vor dem Speichern eines neues Kommentars.

Die 50 am Ende ist wichtig, falls du das Plugin Antispam Bee verwendest. Das greift nĂ€mlich selber auf die IP-Adresse zu (genauer gesagt, auf den Filter pre_comment_user_ip). Wir mĂŒssen dafĂŒr sorgen, dass unsere Funktion zuerst ausgefĂŒhrt wird, deswegen geben wir ihr eine höhere PrioritĂ€t. Antispam Bee lĂ€uft mit der Prio 10, wir nehmen daher einfach eine höhere Zahl.

Der Code stammt vom Thomas Leister und war lange auf GitHub verfĂŒgbar (Update von Januar 2024: mittlerweile gibt es ihn dort leider nicht mehr). Ich habe ihn nur etwas modifiziert und aus dem Plugin einen einfachen Eintrag fĂŒr die functions.php gemacht.

Alte IP-Adressen löschen

Jetzt bist du schon mal auf der sicheren Seite, was kĂŒnftige Kommentare angeht. Allerdings mĂŒssen wir uns noch um die bestehenden Kommentare kĂŒmmern. Deren IP-Adressen mĂŒssen ja auch weg!

Am einfachsten kannst die IP-Adressen in der Datenbank Àndern.

Mit dieser Zeile SQL ĂŒberschreibst du die IP-Adresse aller Kommentare ebenfalls mit 127.0.0.1:

UPDATE wp_comments SET comment_author_IP = '127.0.0.1';

Wo sehe ich die IP-Adressen ĂŒberhaupt?

Öffentlich sichtbar waren die IP-Adressen nie. Nur im Verwaltungsbereich tauchen sie auf.

Wenn du dort auf „Kommentare“ klickst, findest du bei jedem Kommentar den Namen des Verfassers, seine Emailadresse sowie die IP-Adresse. Hier steht jetzt ĂŒberall nur noch 127.0.0.1:

WordPress & DSGVO: IP-Adresse von Kommentaren nicht speichern
Bei allen Kommentaren steht jetzt 127.0.0.1 als IP-Adresse

Falls du die IP-Adressen hingegen fĂŒr einen begrenzten Zeitraum speichern möchtest, findest du auf Blogmojo eine Anleitung dazu (danke fĂŒr den Link, INA!).

Ich hoffe, ich konnte dir mit diesem kleinen Tutorial weiterhelfen! 🙂
Wenn dem so ist, wĂŒrde ich mich ĂŒber einen Kommentar freuen!

21 Kommentare zu „Kommentare in WordPress: die IP-Adresse entfernen“

  1. Hey,
    sehr cool, dass du dieses kleine Tutorial gemacht hast.
    Leider kann man das Theme ja nur dann bearbeiten, wenn man einen der teureren Tarife nimmt, was ich etwas schade bis sehr doof von WordPress finde. Oder irre ich mich gerade und finde das einfach nur nicht? Es gibt einen Bereich namens „CSS“, aber da baut man ja vermutlich nicht den Codeschnipsel von oben ein.

    Liebe GrĂŒĂŸe
    Lara

    1. Hallo Lara,

      solche Anpassungen kannst du leider nur in der selbstgehosteten Version von WordPress vornehmen, wo du vollen Zugriff auf deine Dateien hast.

      Liebe GrĂŒĂŸe
      Anne

  2. Ähm. Der Artikel ist eigentlich gelogen. Denn als Blogger hat man auch Pflichten. Und zwar Nachweispflichten. Und wenn man sich an gesetzliche Nachweispflichten halten will, dann reicht nur Name und E-Mail nicht aus. (Siehe Gesetze zu Nachweispflichten) Und gerade, wenn man etwas (mit Auswahlfeld/HĂ€ckchen) bestĂ€tigt, z.B. dass man mit der Speicherung von Daten einverstanden ist oder das man eine E-Mail-Benachrichtigung möchte oder sich zu einem Newsletter anmelden möchte, dann muss man als Blogger auch theoretisch nachweisen können, dass es bei dem, der sich irgendwo eingetragen hat, nicht um irgendwenn handelt. Also ist es gar nicht so klug die IP gar nicht erst zu speichern, sondern erst nach einer gewissen Zeit. Und da muss man dann selbst entscheiden, wie hoch man das berechtigte Interesse sieht. Aber zu sagen, dass man wegen der DSGVO die IP nicht speichern sollte, ist nicht nur falsch (gelogen), sondern könnte auch (rechtlich) gefĂ€hrlich sein. Vielleicht musst Du nochmal recherchieren. Es gibt einige Artikel die genauer erklĂ€ren, warum die IP gar nicht böse ist und warum man sie durchaus speichern sollte…. fĂŒr eine gewisse, verechtigte Zeit.

    1. Guten Morgen,

      hast du dazu Quellen? WĂŒrde mich interessieren.
      So eine gesetzliche Nachweispflicht greift, soweit ich weiß, bei völlig anderen Themen (bspw. Krankmeldungen). Die Anmeldung zu Email-Benachrichtigungen oder Newslettern hingegen muss ohnehin ĂŒber ein Double Opt-In laufen, d.h. es muss eine Email an die eingetragene Adresse geschickt werden und die Anmeldung ĂŒber einen darin enthaltenen Link bestĂ€tigt werden. Das ist von der IP-Adresse unabhĂ€ngig.
      Wohingegen es Dutzende von (seriösen) Quellen gibt, die eindeutig darauf hinweisen, dass man die IP-Adresse tunlichst nicht speichern solle. Bspw. hier: https://www.datenschutz.org/wordpress-datenschutz/

  3. Anne, ich halte mich da immer nur an RA Schwenke. Er hat dazu einen Passus in seinem Datenschutzgenerator (https://datenschutz-generator.de/):
    Zitat: „Hinweis zur Speicherung von IP-Adressen bei Kommentaren: Die IP-Adressen mĂŒssen nicht gespeichert werden. Aber falls das der Fall ist, dann sollte die Speicherdauer der IP-Adressen sollte nicht lĂ€nger als 7 Tage betragen. Danach sollten die IP-Adressen gelöscht oder durch KĂŒrzung des letzten Oktetts anonymisiert werden.“

    Ein Snippet dafĂŒr gibt es bei Blogmojo drĂŒben (https://www.blogmojo.de/wordpress-kommentare-ip-adressen/).

  4. Hi Anne,
    herzlichen Dank fĂŒr die einfache ErlĂ€uterung! Ich habe die IPs bislang immer ĂŒber ein Plugin „Remove IP“ (oder so Ă€hnlich) deaktiviert. Das kann ich mir ja mit deinem Snippet schenken 🙂

    Mal noch eine andere Frage: wie genau integriert ihr immer das pinnbare Bild am Ende eurer Artikel? Macht ihr das manuell oder per Plugin? (so wie in diesem Artikel)

    Danke und LG
    Jasmina

    1. Hallo Jasmina,

      ja, viele FunktionalitĂ€ten kann man auch ohne Plugin basteln. 🙂

      Das Pin-Bild ist tatsĂ€chlich auch so eine selbstgebaute Kiste – es ist ein Shortcode, bei dem ich im Artikle immer nur die URL des Bilds sowie den Text angeben muss, der unter dem Pin erscheinen soll. Da kann ich die Tage mal eine Anleitung drĂŒber schreiben!

      Liebe GrĂŒĂŸe
      Anne

  5. Hi Anne,

    oh ja, sehr gerne! Ich suche da noch nach einer themeunabhÀngigen und einfachen Lösung! Das wÀre prima, wenn du dazu eine kleine Anleitung veröffentlichen könntest.

    LG
    Jasmian

  6. oh ja, fĂŒr die PIN-IT-Button manuelle Anleitung wĂŒrde ich mich auch interessieren – zumal man ja IMHO alle Pin-It-Plugins vergessen kann wegen ihrer Verbindungsherstellung zu Pinterest (Stichwort DSGVO). Kann man das mit einer manuellen Lösung ich sag mal „DSGVO konform“ hinbekommen, Anne?

  7. Danke fĂŒr diesen Beitrag. Habe eine andere Frage. Vielleicht kannst Du mir helfen. Ich habe einen Blog mit WP gestartet. Wo finde ich den die Kontaktdaten in WP von den Lesern welche Kommentare etc hinterlassen? Wahrscheinlich sehe ich den Wald vor BĂ€umen nicht. Vielen Dank im voraus.

    1. Hallo Marina,

      herzlichen GlĂŒckwunsch zum Start deines Blogs! 🙂

      Schau mal im Adminbereich von WordPress – da links in der Sidebar gibt es einen Punkt namens „Kommentare“. Hier siehst du alle Kommentare, neben dem Text stehen der Name, die Emailadresse, ggf. die Webseiten-Adresse sowie die IP-Adresse der Kommentarschreiber.

      Ich hoffe, das hilft dir weiter!

      Liebe GrĂŒĂŸe
      Anne

  8. Pingback: Antispam Bee: mein Plugin-Tipp fĂŒr WordPress | Bloghexe

  9. Liebe Anne,
    ich baue mir gerade eine Blog mit WordPress auf und bin derzeit bei der DatenschutzerklÀrung. Dein Tipp mit dem Codeschnipsel ist genial. Vielen Dank.
    Liebe GrĂŒĂŸe
    Dini

  10. Hallo,
    danke fĂŒr den Code. Mir ist aufgefallen, dass bei der Funktion „Passwort vergessen“ ebenfalls die volle IP Adresse per Mail zusammen mit dem Link zum ZurĂŒcksetzen des Passwortes geschickt wird. Weißt du, wie man das verhindern kann?

    Viele GrĂŒĂŸe
    Robert

      1. Hallo Anne,
        danke fĂŒr deine Antwort 🙂 Wenn ich auf der Login-Seite /wp-admin/ bzw. wp-login.php die Funktion „Passwort vergessen?“ nutze, bekomme ich eine E-Mail mit diesem Text:

        Jemand hat das ZurĂŒcksetzen des Passworts fĂŒr folgendes Benutzerkonto angefordert:

        Name der Website: XXXX

        Benutzername: XXXX

        Falls das nicht beabsichtigt war, ignoriere diese E-Mail einfach. Es wird dann nichts passieren.

        Um dein Passwort zurĂŒckzusetzen, besuche folgende Adresse:

        XXXX

        Diese Anforderung zum ZurĂŒcksetzen des Passworts stammt von der IP-Adresse 95.0.0.0.

        (Ip von mir anonymisiert).
        Ich hatte das auf zwei Seiten getestet, dort war dies bei beiden der Fall. Ob das von einem Plugin kommt, weiß ich nicht, aber es werden zumindest unterschiedliche Themes verwendet.

        Viele GrĂŒĂŸe

        1. Hallo Robert,

          ah, ich hatte nur probiert, als Admin aus dem Dashboard heraus jemandem ein neues Passwort zusenden zu lassen. Da steht die IP-Adresse dann nÀmlich nicht drin.

          Ich habe mal geschaut – der entsprechende Code kommt aus der Datei wp-includes/user.php ab Zeile 2777, ist also eine Standardfunktion von WordPress. Da wird die IP-Adresse desjenigen, der fĂŒr sich ein neues Passwort anfordert, ĂŒber $_SERVER[‚REMOTE_ADDR‘] ermittelt.

          Den Inhalt dieser Mail kann man ĂŒber die functions.php modifizieren – ich habe da jetzt mal die Standardtexte reingepackt und nur den Abschnitt mit der IP-Adresse weggelassen:

          
          /*-----------------------------------------------------------------------------------*/
          // keine IP-Adresse in der PW-Reset-Mail
          /*-----------------------------------------------------------------------------------*/
          
          function retrieve_password_message_filter($message, $key, $user_login, $user_data) {
              $site_name = wp_specialchars_decode( get_option( 'blogname' ), ENT_QUOTES );
          
          $message = __('Jemand hat das ZurĂŒcksetzen des Passworts fĂŒr folgendes Benutzerkonto angefordert:') . "\r\n\r\n";
              $message .= sprintf(__('Name der Website: %s'), $site_name) . "\r\n\r\n";
              $message .= sprintf(__('Username: %s'), $user_login) . "\r\n\r\n";
              $message .= __('Falls das nicht beabsichtigt war, ignoriere diese E-Mail einfach. Es wird dann nichts passieren.') . "\r\n\r\n";
              $message .= __('Um dein Passwort zurĂŒckzusetzen, besuche folgende Adresse:') . "\r\n\r\n";
              $message .= network_site_url("wp-login.php?action=rp&key=$key&login=" . rawurlencode($user_login), 'login') . "\r\n";
              return $message;
          }
          add_filter ( 'retrieve_password_message', 'retrieve_password_message_filter', 10 ,4);

          Die einzelnen Texte kannst du natĂŒrlich bearbeiten, wichtig ist eigentlich nur der Part mit network_site_url, der den Reset-Link darstellt.

          Ich hoffe, das hilft dir weiter!

          Liebe GrĂŒĂŸe
          Anne

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Nach oben scrollen