Embeds deaktivieren

Seit einiger Zeit gibt es in WordPress die Funktion der sogenannten Embeds. Bei Embeds wird aus einer URL automatisch eine kleine Vorschau der URL in deinem Beitrag oder der Seite angezeigt. Alles was man dafür machen muss ist mitten im Text die URL zu schreiben und per default macht WordPress hieraus eine solche Vorschau.

Darüber hinaus kann man aber auch über einen Shortcode das Embed noch beeinflussen, wie zum Beispiel

Embeds anpassen

Quelle: https://codex.wordpress.org/Embeds

 

Ich sehe in Embeds aber ein mittleres bis großes Problem: Embeds sollen eine „Live-Vorschau“ auf die angegebene URL ermöglichen. Um dies zu realisieren, wird bei einem Embed ein Iframe genutzt:

WP Embed Iframe

Zwar arbeitet WordPress hierfür mit einer Whitelist anhand welcher gefiltert wird für welche solcher URLs ein Embed überhaupt nur möglich ist, jedoch wird für die Live-Vorschau, wie gesagt, ein Iframe genutzt. Und Iframes sind 2019 definitiv alles andere als #cool! 😉

Sicherheitsrisiko Embeds

Tatsächlich geht von Iframes ein gewisses Sicherheitsrisiko aus. Durch ein Iframe wird die eigene Seite nämlich anfällig für cross-site attacs. Ja, die für Embeds erlaubten Seiten werden von WordPress in einer Whiteliste gepflegt, was das Risiko einer XSS-Attacke eingrenzen sollte, jedoch ist es bekanntlich nicht ganz ausgeschlossen, dass zum Beispiel durch eine schadhafte Werbung auf der durch ein Embed eingebundenen Seite doch etwas böses auf deiner Seite landet.

Ein weiteres unstrittiges Risiko von Embeds bzw. Iframes ist der Datenschutz! In dem Augenblick, in dem dem Besucher beim Aufruf deiner Seite mittels eines Embeds/Iframes zum Beispiel ein lustiges Katzenvideo auf Youtube angezeigt wird, werden an Youtube die geliebten Nutzerdaten deines Besuchers (also IP-Adresse, Browser etc.) übermittelt. Und nicht erst seit Inkrafttreten der DSGVO ist dies ein echtes Problem!

Embeds in WordPress deaktivieren

Damit du also nicht aus Versehen ein Embed/Iframe in einem deiner Beiträge nutzt und somit dich (durch die Hürde des Datenschutzes) und deinen Besucher (durch das Risiko der XSS-Attacke) einem unnötigen Risiko aussetzt, solltest du Embeds in WordPress deaktivieren!

Füge hierfür folgenden Code in deine functions.php ein, und schon sind alle WP-Embeds kein Problem mehr für dich:


function block_wp_embed() {
wp_deregister_script('wp-embed'); }
add_action('init', 'block_wp_embed');

Schritt für Schritt zum schnellen WordPress

Ladezeit Extrem!

Mit diesem wirklich genialen Buch optimierst auch du garantiert die Ladezeit von deinem Blog!