Wirf einen Blick in die Empfehlungsecke
Mike Kuketz
22. Juli 2016

WordPress: Datenschutz im Content-Marketing

1. Content-MarketingWordPress Datenschutz

Insbesondere im Bereich Content-Marketing greifen Unternehmen gerne auf WordPress und diverse Plugins zurück, die versprechen die Reichweite und Sichtbarkeit zu erhöhen. Dabei wird auf den Datenschutz und die IT-Sicherheit kaum Rücksicht genommen. Das fiel auch Ivana auf, weshalb sie mich im April zum Thema »Datenschutz im Content Marketing« interviewte.

Nach dem Interview vergingen dann noch ein paar Tage und wir tauschten E-Mails aus. Ivana wollte es dann ganz genau wissen und folgende Fragestellung erkunden: »Ist WordPress und das Thema Content-Marketing überhaupt mit Datenschutz und IT-Sicherheit vereinbar?« Die Frage konnte ich auf Anhieb nicht beantworten, weshalb wir einen Versuchsballon starteten.

Das Projekt hat mittlerweile schon Gestalt angenommen. Ivana’s Webseite ist umgezogen, hat ein neues Design bekommen und auch im WordPress-Backend hat sich schon einiges getan. Auf die bisher durchgeführten Änderungen möchte ich im vorliegenden Beitrag nun etwas näher eingehen und auch die technischen Aspekte beleuchten.

2. WordPress: IT-Sicherheit und Datenschutz

Zu WordPress habe ich in den vergangenen Jahren nun schon einiges verfasst. Für alle die sich schon einmal ernsthaft mit dem Thema Sicherheit und WordPress beschäftigt haben, sollten die siebenteilige Artikelserie »WordPress absichern« vermutlich kennen. Auch der Beitrag »Hacking WordPress – Ein Blick hinter die Kulissen« ist nach wie vor äußerst beliebt.

Anfang des Jahres wollte ich dann noch einige Aspekte ergänzen und habe eine neue Serie gestartet, die sich ebenfalls mit der IT-Sicherheit von WordPress beschäftigt. Bisher hat die Artikelserie »WordPress Sicherheit« noch nicht ihren Abschluss gefunden – sozusagen »Work in progress«. Ausschlaggebend für Ivana’s Interviewanfrage war übrigens der zweite Teil der Serie, in der ich aufzeige, weshalb fragwürdige Designentscheidungen der WordPress-Entwickler einen sicheren und datenschutzkonformen Betrieb nahezu unmöglich machen. Es ist daher kaum verwunderlich, dass die aufgezeigten Mängel im Zuge des Projekts ebenso berücksichtig werden müssen, wie weitere »Schwächen« von WordPress.

3. Erster Schritt: WordPress-Scan

»Wie schlimm ist es?« fragt der Patient den Arzt. Übertragen auf WordPress bedeutet das: Zunächst muss der Ist-Zustand erfasst werden, um die individuellen »Krankheiten« hinsichtlich der IT-Sicherheit und des Datenschutzes zu diagnostizieren. Antworten darauf liefert mein WordPress-Scan, der eine WordPress-Installation »durchleuchtet« und Maßnahmenempfehlungen zur Absicherung vorschlägt. Konkret besteht das Paket aus folgenden Elementen:

  • Scan der WordPress-Installation auf Schwachstellen und Konfigurationsfehler
  • Auswertung und Beurteilung der gefundenen Schwachstellen
  • Auf Basis der Ergebnisse erstelle ich individuelle Maßnahmenempfehlungen zur Behebung und Absicherung

Aber genug vom Werbeblock – wer wissen möchte welche Informationen sich gewinnen lassen, der kann sich in Ivana’s Beitrag »Wie IT-Security und Datenschutz Vertrauensbildung fördern« ein Bild davon machen.

Wir nehmen mit: Um sinnvolle Absicherungsmaßnahmen durchzuführen, muss zunächst der aktuelle Stand einer WordPress-Installation erfasst werden. Das ist insofern wichtig, da wild umgesetzte »Maßnahmen« oftmals nicht den gewünschten Effekt haben oder eklatante Schwachstellen schlichtweg übersehen werden.

4. Zweiter Schritt: Der Anfang von etwas Neuem

Auf Basis der Ergebnisse haben wir uns entschieden, den aktuellen Webseiten-Hoster beizubehalten. Für den Rest galt: Wir wagen einen Neustart! Das schien uns in Anbetracht des Projektziels die schnellere und vor allem effizientere Variante, als das bestehende Theme anzupassen und bspw. die bereits installierten Plugins mühselig auszusortieren.

4.1 Das WordPress-Theme

Den Grundstein für einen datenschutzfreundlichen und »sicheren« WordPress-Blog legt nebem dem Providerimmer auch das verwendete Theme. Viele WordPress-Themes sind unglaublich überladen und mit Unmengen an unnötigen Funktionen ausgestattet – gerade aus der Perspektive Datenschutz und insbesondere der  IT-Sicherheit ein Desaster. Es gilt daher: Weniger ist mehr. Bei der Theme Auswahl sollte man demnach nicht ausschließlich das Design oder grafischen Schnickschnack wie zum Beispiel Slider berücksichtigen, sondern weitere Kriterien im Hinterkopf behalten. Ivana hat das in ihrem Beitrag »Anpfiff! Datenschutz bei WordPress-Themes« schon kurz angeschnitten – ich ergänze hier noch ein paar wichtige Punkte:

  • Ist das Theme »sauber« programmiert bzw. versteht der Designer/Entwickler sein Handwerk?
  • Wird das Theme supportet und über welchen Zeitrahmen? Werden Updates veröffentlicht und auch Verbesserungen vorgenommen?
  • Wie »überladen« ist die functions.php? Können eventuell vorhandene »Schwächen« (bspw. die Einbindung von Google-Schriftarten oder das externe Nachladen von JavaScript »Fremdquellen«) über ein Child-Theme korrigiert werden?
  • Welche Plugins sind bereits vorinstalliert? Lassen sich die Plugins entfernen oder sind diese eng mit der functions.php verzahnt?
  • Sind Social Media Share Buttons (bspw. Facebook) bereits integriert? Wenn ja, ist das datenschutzfreundlich umgesetzt?
  • […]

Wir nehmen mit: Wer seinen WordPress-Blog tatsächlich »sicher« und datenschutzfreundlich gestalten möchte, der muss auf einem soliden Fundament aufbauen. Die Provider- und Theme-Auswahl sind daher entscheidende Vorarbeiten.

4.2 Anpassung des Themes

Zugegeben – Ivana war mit den von mir gestellten »Anforderungen« an ein neues Theme zunächst überfordert. Sie hat sich bei der Auswahl daher hauptsächlich an Kriterien orientiert, die sie bei ihrer Arbeit im Bereich Online PR und Content Marketing bevorzugt. Die Liste mit ihrer Theme-Vorauswahl hat sie mir anschließend per E-Mail zukommen lassen. Und tatsächlich, es war ein Theme dabei, dass die strengen Anforderungen nahezu erfüllte. Anpassungen waren dennoch notwendig:

  • Das Nachladen von diversen Google-Fonts musste sowohl im Frontend, als auch im Backend unterbunden werden.
  • Die unnötige Einbindung diverser JavaScripts wurde durch Anpassungen an der functions.php im Child-Theme korrigiert.
  • Der Ansatz für eine nachträgliche Installation des JetPack-Plugins wurde ebenfalls über die functions.php »herausoperiert«. Überladene Plugins wie JetPack stellen oftmals ein unnötiges Sicherheitsrisiko dar.

Wir nehmen mit: Das »perfekte« Theme ist aus IT-Sicherheit- und Datenschutz-Perspektive nicht vorhanden. Durch kleine Anpassungen lassen sich »Schwächen« jedoch meist ausbügeln.

Der Kuketz-Blog ist spendenfinanziert!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

4.3 Ergänzungen in der functions.php

Wie bereits erwähnt: Fragwürdige Designentscheidungen machen den sicheren und datenschutzfreundlichen Betrieb von WordPress nahezu unmöglich. Generell sind daher nicht nur Anpassungen am Theme notwendig – sondern jeder Betreiber sollte eine individuelle Absicherung von WordPress vornehmen. Unter anderem lassen sich WordPress-Funktionen, die man selbst nicht benötigt, über die functions.php deaktivieren. Ein Auszug der Ergänzungen von Ivana’s Blog:

/* WP-HEAD */
/* Remove XMLRPC, WLW, Generator, oEmbed ShortLink tags and extra feeds (category) from HTML-header */
remove_action('wp_head', 'rsd_link');
remove_action('wp_head', 'wlwmanifest_link'); 
remove_action('wp_head', 'wp_generator');
remove_action('wp_head', 'rest_output_link_wp_head'); 
remove_action('wp_head', 'wp_shortlink_wp_head');
remove_action('wp_head', 'feed_links_extra', 3 );

/* Remove X-Pingback from HTTP-header */
function remove_x_pingback($headers) {
	unset($headers['X-Pingback']);
	return $headers;
}
add_filter('wp_headers', 'remove_x_pingback');

/* Remove jQuery Migrate JavaScript */
function dequeue_jquery_migrate( $scripts ) {
	if ( !is_admin() && !empty( $scripts->registered['jquery'] ) ) {
		$jquery_dependencies = $scripts->registered['jquery']->deps;
		$scripts->registered['jquery']->deps = array_diff( $jquery_dependencies, array( 'jquery-migrate' ) );
	}
}
add_action( 'wp_default_scripts', 'dequeue_jquery_migrate' );

Wir nehmen mit: Jedes installierte Plugin, jede unnötige WordPress-Funktion erhöht das Risiko einer »feindlichen« Übernahme. Insbesondere vermeintliche »Security-Plugins«, wie zum Beispiel iThemes Security, erhöhen durch Schwachstellen im Programmcode die Wahrscheinlichkeit Opfer eines Angriffs zu werden nur unnötig. Das ist insofern paradox, da Security-Plugins im Normalfall eine Seite beschützen sollen.

5. Fazit

Fassen wir noch einmal kurz zusammen, was bisher geschehen ist: Der Theme-Wechsel ist vollzogen. Über diverse Anpassungen wurde sowohl die Sicherheit des WordPress-Blogs verbessert, als auch der Datenschutz adressiert. Über ein TLS-Zertifikat von Let’s Encrypt lässt sich Ivana’s WordPress-Seite seit Kurzem nun auch über einen verschlüsselten Kanal erreichen.

Wir haben also schon einiges geschafft und doch stehen noch wichtige Entscheidungen und Fragen im Raum:

  • Möglichkeiten der Besucherstrom-Analyse
  • Newsletter-System
  • Einbindung von Social-Sharing Diensten
  • Datenschutzfreundliches promoten von Inhalten
  • […]

Angesichts der noch zu lösenden Aufgaben kommen wir nun wieder auf die ursprüngliche Fragestellung zurück: Ist WordPress und das Thema Content-Marketing überhaupt mit Datenschutz und IT-Sicherheit vereinbar? Ich habe dafür noch immer keine Antwort parat. Time will tell!

Aktuell befassen wir uns mit der Besucherstrom-Analyse. Aus Datenschutzgründen ziehen wir hier ein selbst gehostetes Matomo klar gegenüber Google Analytics vor. In diesem Zusammenhang gilt es den Do Not Track-Header zu respektieren, die IP-Adresse der Besucher schon vor der Erfassung in der Datenbank zu anonymisieren und eine Tracking Opt-Out Möglichkeit anzubieten.

Bildquellen:

WordPress: WordPress Blue Logo, Free license

Über den Autor | Kuketz

Mike Kuketz

In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.

Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.

Mehr Erfahren ➡

SpendeUnterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡

Ähnliche Beiträge
Security Plugins
19. Mai 2013

Security Plugins – WordPress absichern Teil3

Lässt sich WordPress mit Security Plugins präventiv gegen Script-Kiddies, Bots und Co. absichern?
WordPress-Schwachstellen
7. Dezember 2016

Schwachstellen in Plugins und Themes – WordPress Sicherheit Teil3

WordPress: Tipps zur Vorbeugung gegen die Auswirkung von Schwachstellen in Plugins und Themes
WordPress Wollmilchsau
2. März 2016

Eierlegende Wollmilchsau – WordPress Sicherheit Teil2

Eine Standard-Installation von WordPress ist für den sicheren und datenschutzkonformen Praxisbetrieb ungeeignet.
Serverseitiger-Schutz
27. Juni 2013

Serverseitiger Schutz – WordPress absichern Teil5

Weitere .htaccess Code-Snippets für Apache und nginx sorgen für eine erweiterte, serverseitige Absicherung gegen Hacker und Script-Kiddies.
WordPress-Sicherheit
12. Februar 2016

Der richtige Hoster – WordPress Sicherheit Teil1

Die Sicherheit und Geschwindigkeit einer WordPress-Installation wird immer vom Hosting-Anbieter beeinflusst.
Weitere Themen
AndroidAuditAutonomieBackupBezahlenBrowserCloudDatenschutzDatensendeverhaltenDigitalpolitikDSGVOE-MailFirewallHackingHärteniOSKuketz-BlogLinuxmacOSMessengerOpenWrtPasswortPentestRaspberryPiRechtSicherheitslückeSicherheitsmaßnahmeTorTrackingTTDSGÜberwachungVerschlüsselungWindowsWordPressXMPP
Diskussion

4 Ergänzungen zu “WordPress: Datenschutz im Content-Marketing”

  1. Comment Avatar Ivana sagt:
    23. Juli 2016 um 19:53 Uhr

    Servus!

    Ja, da hatten wir schon einiges an Arbeit. Ich bin mir aber sicher, dass es sich lohnen wird.
    Danke für die ausführlichen Ergänzungen, damit wird der eine oder andere doch noch etwas anfangen können. ;)

    Ich freu‘ mich schon auf die nächste Runde!

    LG
    Ivana

  2. Comment Avatar LarsL sagt:
    24. Juli 2016 um 12:47 Uhr

    Hi. Das klingt sehr interessant. Gibt es denn aus Eurer Sicht Themes, welche Ihr aus Erfahrung empfehlen könnt?

  3. Comment Avatar rp sagt:
    26. Juli 2016 um 12:24 Uhr

    Wichtiges Anliegen. Aber um keen-communication.com aufzurufen, muss ich Skripte im Browser erlauben – sonst sehe ich gar nichts. Das mache ich bei mir unbekannten Websites nur in Ausnahmefällen. So viel zur Vertrauensbildung ;)

HilfeWenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-Forum

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.