Sicherheitslücke in Plugin, Tracking in Browsern

Sicherheitslücke in PHP-Code-Plugin

Die Sicherheitsexpert*innen von Wordfence haben in einem aktuellen Blogbeitrag über eine kritische Sicherheitslücke in fühere Versionen des Plugins „PHP Everywhere“ berichtet. In allen bisherigen Versionen des Plugins ist es offenbar für alle angemeldeten Benutzer*innen möglich, beliebigen Code auszuführen.

So unangenehm das im Einzelfall sein mag – ein Update auf die neue Version 3.0.0 ist dringend empfohlen – möchte ich hier auf einen grundsätzlichen Punkt hinweisen. Stefan Kremer hat es auf Twitter ziemlich gut auf den Punkt gebracht und erklärt, dass man „kein Plugin – egal welches – einsetzt, um Code in WordPress Webseiten zu injizieren“.

Der Weg über ein Plugin mag vor allem für Einsteiger*innen super einfach sein, aber der Mehraufwand für ein kleines Plugin oder ein eigenes Child-Theme nebst functions.php ist überschaubar. Auch für alle, die sich bisher von PHP ferngehalten haben und keine umfassenden Programmier-Erfahrungen vorweisen können, ist dieses kleine Projekt eine wertvolle Erfahrung und öffnet Türen in ganz neue Bereiche der WordPress-Anpassung.

Weiterführende Informationen →

Tracking-Präferenzen von Browsern

Sehr weit oben auf der Liste der Dinge, die alle, absolut alle Bewohner*innen des Webs in den Wahnsinn treiben, stehen Cookie-Banner. Seit einigen Jahren scheinen die Betreiber*innen von Websites davon auszugehen, dass sich Websites nicht ohne die aufmerksamkeitsheischenden Kästen betreiben lassen. Was im Grunde eine Idee war, Website-Besucher*innen die Entscheidung darüber zu überlassen, ob sie dem Tracking durch Cookies zustimmen, ist längst zu einem schlechten Witz verkommen.

Walter Ebert hat sich mit eleganteren Möglichkeiten beschäftigt, eine Einwilligung zum Tracking einzuholen. Angefangen mit dem, in die Jahre gekommenen, Standard Do-Not-Track (DNT) bis hin zu dessen Weiterentwicklung Global Privacy Control (GPC). Wie beide Werte programmatisch in PHP oder JavaScript abgefragt werden können, zeigt Walter in den Code-Schnipseln seines Beitrags.

Von den mitlesenden Anbietern von Cookie-Banner-Plugins würde ich mir wünschen, dass diese einfachen Abfragen Einzug in die Lösungen erhalten, um das Internet zu einem weniger hässlichen Ort zu machen. Und den Nutzer*innen dieser Plugins sei gesagt: ein Standard-WordPress ohne Shop und Mitgliederbereich lässt sich auch hervorragend ohne Cookie-Banner betreiben.

Weiterführende Informationen →

Wie es mit Omikron um WordCamps steht

Dieser Tage laufen die Vorbereitungen für einige wenige Präsenz-WordCamps in den nächsten Monaten. Mit Blick auf das Präsenz-Event zum State of the Word im Dezember, das eine Reihe von Corona-Infektionen nach sich zog, werden jetzt die Schutzmaßnahmen auf WordCamps diskutiert.

Ein besonders banger Blick richtet sich dabei auf das große WordCamp Europe, das Anfang Juni in Portugal stattfinden soll.

Weiterführende Informationen →