Heute habe ich eine neue Version meines Gravatar Privacy Proxys für WordPress fertiggestellt. Für das Plugin ist keine Einrichtung eines externen Proxyservers mehr notwendig. Die Installation wurde dadurch erheblich vereinfacht: Einfach ZIP herunterladen, in WordPress hochladen, Plugin aktivieren und fertig.
Als Proxy wird nun ein mitgeliefertes PHP-Script genutzt, welches die Anfragen an die Gravatar-Server stellt. Ein Cache für bessere Performance ist derzeit noch nicht vorhanden, aber in Planung.
Um zu verhindern, dass der integrierte Proxy unberechtigt verwendet wird, verfügt die neue Version über eine Zugriffskontrolle, die externe Zugriffe verhindert.
Version 0.2.1 des GPP Plugins könnt ihr auf GitHub herunterladen: https://github.com/ThomasLeister/gravatar-privacy-proxy
Standardmäßig sind in WordPress Gravatare aktiv. Ist ein Kommentar mit einer E-Mail Adresse verknüpft, die Gravatar.com bekannt ist, wird das passende Profilbild vom Server heruntergeladen und auf dem WordPress Blog dargestellt. Die ständige Kontaktaufnahme zu Gravatar-Servern bei jedem Laden einer Blogseite kann jedoch ein Datenschutzproblem sein. Für Gravatar ist nachvollziehbar, welcher Blogbesucher eine bestimmte Seite eines bestimmten Blogs aufgerufen hat – alleine dadurch, dass ein Benutzer eine Blog-Seite und damit die Gravatare lädt.
Um auch dieses Datenleck zu schließen, habe ich ein kleines WordPress-Plugin namens „Gravatar Privacy Proxy“ entwickelt, das die Avatar-Anfragen nicht direkt an Gravatar.com stellt, sondern zunächst über einen (eigenen) Proxy leitet. Wenn ihr Seiten auf diesem Blog aufruft, werdet ihr feststellen, dass keine Anfragen an gravatar.com gestellt werden, sondern stattdessen an gravatar.trashserver.net – meinen Gravatar-Proxy. Dieser tut nichts anderes, als die Anfragen entgegenzunehmen und an den echten Gravatar-Server weiterzugeben. Für den Gravatar-Server sieht es so aus, als sei mein Proxy der Blogbesucher. Der tatsächliche Besucher bleibt hinter dem Proxy anonym.
Mein WordPress Plugin schreibt alle Avatar-Adressen so um, dass sie über den Proxy geleitet werden. Damit das Plugin funktioniert, braucht ihr einen externen HTTP Reverse Proxy Server. Mit Nginx lässt sich so ein Server sehr einfach einrichten (siehe README).
Mein Gravatar Privacy Proxy Plugin biete ich kostenlos unter der freien MIT Lizenz an. Wie ihr das Plugin installiert und einrichtet, könnt ihr in der README Datei nachlesen.