Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Die schmutzige Seite von WordPress

981 views

Published on

Talk auf dem WordCamp Köln 2017 über Datenschutz, Privatsphäre, Sicherheitsmythen und UX-Absurditäten in WordPress und um WordPress herum.

Published in: Internet
  • Be the first to comment

  • Be the first to like this

Die schmutzige Seite von WordPress

  1. 1. Die schmutzige Seite von WordPress WordCamp Köln 2017
  2. 2. Torsten Landsiedel Moderator im Supportforum auf WP.org Support-Mitarbeiter bei Advanced Ads @zodiac1978 auf Twitter Wer bin ich?
  3. 3. in WordPress und um WordPress herum Datenschutz, Privatsphäre, Sicherheitsmythen und UX-Absurditäten
  4. 4. Eine weitere WordPress-Website Bei der Installation wird nicht nach dem Untertitel gefragt:
  5. 5. Eine weitere WordPress-Website Uuups.
  6. 6. Passwortgeschützt = sicher? Verschiedene Beiträge mit identischem Passwort versehen Nach der Eingabe des Passworts ist jeder Beitrag offen, der mit diesem Passwort gesichert ist.
  7. 7. Mediathek = nicht-öffentlich? REST API zeigt alle Autoren, Medien, Revisionen, ... https://developer.wordpress.org/rest-api/reference/ Require Authentication aktivieren https://de.wordpress.org/plugins/rest-api-toolbox/
  8. 8. Mediathek = nicht-öffentlich? REST API zeigt auch alle alle Seiten und Beiträge Schließt dein Coming Soon / Maintenance-Plugin die REST API?
  9. 9. Permalinks-2 Permalinks mit Zahlen am Ende (Autosave, aber kein Titel)
  10. 10. Permalinks-2 Permalinks mit “-2” am Ende Alter Beitrag im Papierkorb oder in der Mediathek mit gleichem Permalink.
  11. 11. Akismet = Spamschutz BDSG verbietet das Versenden von personenbezogenen Daten in “unsichere” Länder (hier USA) ohne explizite Einwilligung Geht somit nur mit Extra-Plugin. https://de.wordpress.org/plugins/akismet-privacy-policies/ Oder man nutzt Alternativen ...
  12. 12. admin = Unsicher? Jein. – Username wird an vielen Stellen „verraten": ● /?author=1 (user-id) ● “Passwort vergessen”-Funktion ● Login-Feedback ● Autoren-Link (sofern im Theme gesetzt) ● Klasse am Autoren-Kommentar ● Body-Klasse auf Autoren-Seite ● … Vermeiden macht trotzdem Sinn. Aber nicht viel.
  13. 13. https = sicher? Jein. Schützt beim Übertragen der Formulardaten im Netzwerk (z.B. offenes W-LAN bei Konferenz, Flughafen, Café, etc.) Schützt nicht gegen andere Lücken. https://perezbox.com/2015/07/https-does-not-secure-your-website/
  14. 14. Kommentarverschachtelung Ja, ein Edge Case. Trotzdem. Verschachtelter Kommentar-Thread: Kommentar A -> Kommentar C als Antwort auf A Kommentar B Feed ohne Verschachtelung: Kommentar A Kommentar B Kommentar C
  15. 15. Kommentarverschachtelung Mit Beispiel wird es klarer: Verschachtelter Kommentar-Thread: “WordCamps sind super!” -> Antwort: “Finde ich auch!” “WordCamps sind doof!” Feed ohne Verschachtelung: “WordCamps sind super!” “WordCamps sind doof!” “Finde ich auch!”
  16. 16. E-Mail wird nicht veröffentlicht? Hash-Werte verraten per Gravatar-Link die E-Mail-Adresse deiner Kommentar-Autorinnen & -Autoren. Probiere es selbst: http://wordpressexpose.chrisgherbert.com/
  17. 17. WP Importer enthält alle Daten? Der Standard-WordPress-Importer überträgt keine Beitragsbilder (“featured images”). Bilder werden nur übertragen, wenn der “Import-Blog” noch online ist. Hat Probleme bei sehr großen Sites.
  18. 18. Strafe fürs Übersetzen! Übersetzte Plugins werden im lokalisierten Verzeichnis nicht besser gewertet. Im Gegenteil sogar. Man wird de facto schlechter gefunden. Empfehlung: Suche nur auf wordpress.org (nicht auf xx.wordpress.org) und nur mit englischen Begriffen
  19. 19. Fremde Server Google Fonts kann man auch lokal laden https://die-netzialisten.de/wordpress/google-fonts-ueber-den-eigenen-server-einbinden/ Fehlt die native Browserunterstützung werden Emojis / Twemojis als Bild von CDNs geladen (MaxCDN, s.w.org) Lösung: Lokal laden oder Polyfill deaktivieren https://de.wordpress.org/plugins/wp-local-emoji/ https://de.wordpress.org/plugins/disable-emojis/ https://de.wordpress.org/plugins/emoji-settings/
  20. 20. IP Logging deaktivieren add_filter('pre_comment_user_ip', __return_zero() ); Oder dieses Plugin installieren: https://de.wordpress.org/plugins/remove-ip/
  21. 21. Daten löschen Ausnahmen vom Verbot der Speicherung bestehen aber möglicherweise dann, wenn die IP-Adresse streng zweckgebunden zur Erkennung, Eingrenzung oder Beseitigung von Störungen oder Fehlern maximal sieben Tage gespeichert wird. Nach Ablauf von sieben Tagen müssen jedoch auch die zu diesem Zweck gespeicherten IP-Adressen grundsätzlich gelöscht oder anonymisiert werden. https://www.datenschutz-notizen.de/datenschutz-fuer-blogbetreiber-wordpress-rechtskonform-nutzen-4211055/ Nach 7 Tagen aus Datenbank löschen: UPDATE `wp_comments` SET `comment_author_IP` = ''
  22. 22. Automattic != WordPress? Gravatar (Dienst von Automattic) ● fest integriert (kann in Einstellungen deaktiviert werden) Akismet (Dienst von Automattic) ● Standardplugin bei jeder Installation mit kostenpflichtigen Dienst (nur für private Blogs kostenfrei)
  23. 23. Danke! Fragen? Widerspruch? Alternativen? Los geht’s!

×