Hallo marctrix,

Meiner Meinung müsste so etwas bereits heute in der Datenschutz-Erklärung angegeben sein. Da steht doch welche Daten wozu erhoben werden. Es tut nur niemand (ehrlich angeben, was die Seite macht) - manche vermutlich aus Unwissenheit (wer weiß schon, was die Affiliate-Programme so alles auf der eigenen Website anstellen)…

Und dann kommt auch noch dazu, dass selbst weit verbreitete CMS wie WordPress ihrem Auslieferungszustand nicht gerade Daten-sparsam sind:

• Gravatar per default aktiviert
• Akismet mitgeliefert (aber nicht aktiviert), für Deutschland wäre Anti Spam Bee mit möglichst Datenschutz-freundlichen Voreinstellungen besser
• IP-Adressen von Kommentatoren werden gespeichert
• Fonts von externen Anbietern sind an diversen Stellen (Admin-Interface (haben sie aber mittlerweile wohl entfernt), Standard-Theme) eingebunden und das nicht ohne Fummele deaktivierbar
• auf Geräten ohne Font mit Emoji-Unterstützung werden Ressourcen von s.w.org nachgeladen
• Aus „Wordpress“ wird in allen Texten das korrekte „WordPress“ gemacht. Ich weiß, wie WordPress richtig geschrieben wird, will mich aber an der Stelle nicht ungefragt korrigieren lassen.

Weitere Sicherheitsprobleme sind die ganzen integrierten APIs, die man selten braucht, aber nicht ohne weitere Plugins oder Anpassungen an der functions.php anpassen kann.

Meine Plugin-Liste besteht aus ziemlich vielen Dingen, die Sachen einfach nur abschalten:

• Disable Emojis
• Disable Google Fonts
• Disable REST API
• Disable XML-RPC
• Remove IP
• Remove Wordpress to WordPress filter

Nur drei weitere Plugins sind vorhanden, darunter Antispam Bee. Es sind $$\frac{2}{3}$$ der installierten Plugins nur für das Abschalten von per default aktivierten Funktionen zuständig, die man meiner Meinung nach von Hause aus abstellen können sollte.

Gruß
Julius