1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

WP <5.0 Verständnisfragen - Wordpress

Dieses Thema im Forum "Allgemeines" wurde erstellt von DustFireSky, 28. April 2018.

  1. Hallo liebe Leute,

    ich bin auch völlig neu im Wordpress Universum angekommen. Vorher hatte ich jahrelang ein anderes CMS verwendet. Durch mangelnde Updates und fehlen wichtiger Funktionen, bin ich nun gewechselt. Ich möchte Euch einige Dinge nahe bringen, die mir als Umsteiger sorgen bereitet haben und mich teilweise fassungslos stimmten, gerade weil Wordpress global sehr weit vertreten ist. Ich nehme deshalb auch kein Blatt vor den Mund.

    Mir ist seit der Benutzung von Wordpress aufgefallen, das einige Dinge von Fremdservern eingebunden werden.

    Zum Beispiel taucht das hier bei mir im Quelltext auf:

    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Warum ist das nötig ?

    Jeder lernt doch, das man Scripte jeglicher Art nicht von externen Seiten/Servern einbinden soll. Warum macht das dann Wordpress und warum werden die Apis/Fonts nicht einfach mitgeliefert und bei Bedarf durch ein Wordpress Update aktualisiert ? Oder ist mein wissen diesbezüglich veraltet ? Wenn ja, was passiert wenn die zu ladende Seite nicht erreichbar ist? Da bin ich ein wenig kritisch!

    Ansonsten gefällt mir Wordpress wirklich gut. Es ist schlank, unterstützt die aktuellsten PHP Versionen, Responsive Designs, HTML5, CSS3 und all das was schön ist. :D

    Was ich mich jedoch gefragt habe ist, warum sind sicherheitsrelevante Dinge nicht von Hause aus im Wordpress vertreten ? Über Plugins kann man das nachholen, aber wäre es nicht besser dies wäre im Standardpaket schon enthalten ?

    • Loginversuche begrenzen (Bruteforce)
    • RecaptchaV2 für alle sinnvollen Bereiche, leicht erweiterbar.
    • Den Authornamen NIEMANDEN anzeigen, auch nicht über URL Tricksereien. Da dachte ich, ich wäre schlau einen Usernamen(Loginnamen) zu nehmen, der sich zu 100% von meinem Spitznamen(angezeigter Name) unterscheidet, bis ich dann auf einer Seite lesen musste, dass sich jeder Depp den richtigen User (Loginnamen) anzeigen lassen kann. Ist das nicht grob fahrlässig ?
    • Auch das Wordpress in der Standardfassung nicht bereits die GZIP oder DEFLATE Komprimierung nutzt Oder Expire Dates und E-TAG's setzt verstehe ich nicht.
    • Auch Einstellungen zum automatischen Komprimierung von Bildern beim hochladen gibt es auch nicht.
    Natürlich kann ich all diese Dinge durch Plugins ergänzen, aber damit schaffe ich auch neue Sicherheitsrisiken, da jedes Plugin von anderen verwaltet und geschrieben wird. Ich muss mich also darauf verlassen, dass die Anbieter dieser Plugins Ihr Handwerk auch verstehen.

    Ein weiterer Punkt ist die schiere Anzahl von Javascripten und CSS Dateien, die durch jedes Plugin hinzukommt. Diesem unnötigen Irrsinn könnte man schon damit beseitigen, wenn es die ganzen nützlichen Sicherheits Features bereits in der Standard Fassung gibt.

    Ich habe einige Threads gelesen gehabt, wo die nützlichsten 10 Plugins vorgestellt wurden. Der Witz an der Sache ist, das einem jeder Rät diese zu installieren, da man sonst leichte Beute ist für jeden Angreifer. Schön das die Symptome behandelt werden, aber wäre es nicht besser bei der Ursache anzufangen ? Dem Wordpress selbst ? Wenn doch jeder sowieso diese Dinge braucht, warum sind sie dann nicht direkt enthalten ? Außerdem würde man so auch das CSS und Javascript Chaos eindämmen.

    Ich hoffe ich konnte Euch zum Nachdenken bringen, denn als neuer Nutzer und somit auch Außenstehender,fällt einem die Sicht auf die Dinge deutlich einfacher als langjährige Nutzer, die den Wald vor lauter Bäumen nicht mehr sehen. :eek::D
     
  2. SirEctor

    SirEctor Well-Known Member
    Ehrenmitglied

    Registriert seit:
    28. Oktober 2008
    Beiträge:
    12.361
    Zustimmungen:
    427
    Du bist hier in einem Forum von freiwilligen Usern, die anderen Usern helfen. Entwickler von WordPress habe ich hier noch nicht gesehen. Von daher ist dein Beitrag zwar hilfreich für andere User, aber die Ideen sollten den Entwicklern auf anderen Wegen mitgeteilt werden.
     
  3. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    11.638
    Zustimmungen:
    1.778
    Nur kurz zur Einbindung von Fremdservern:

    Die ersten beiden Links entstehen durch Plugins oder das Theme, nicht durch WordPress selbst.

    Der dritte Link zu s.w.org kann mehrere Gründe haben, meist ist es der WordPress Emoji-Support für ältere Browser den man über ein Plugin einfach abschalten kann und im Hinblick auf DSGVO auch sollte, da sonst ggf. alleine schon durch einen Kommentar o.ä. ungewollt und unerwartet externe Daten eingebunden werden könnten.

    Und ganz kurz zu reCaptcha: Im Hinblick auf DSGVO sollte man genau überlegen, ob man sowas noch einsetzt.

    Für Hinweise, Fehlermeldungen, Feature-Requests usw. direkt für die WordPress Entwickler kann man hier Tickets erstellen.
     
    #3 b3317133, 28. April 2018
    Zuletzt bearbeitet: 28. April 2018
  4. Achso, verdammt. Danke für die Info.
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden