Complianz für sichere Youtube Videos

Youtube Videos erfordern nun explizite Zustimmung

Vor ein paar Tagen hab ich ja über die Google Fonts und wie man sie vom lokalen Webserver ausliefern lassen kann geschrieben. Aber trotzdem hatte mein Blog immer noch Probleme, dass die Youtube Videos weiterhin Schriften von Google geladen haben.
Dies kann ich ganz einfach umgehen, indem ich das Complianz Cookie Plugin installiert haben. Sobald der Benutzer seine Zustimmung erlaubt, werden die Youtube Videos aktiviert. Sollte er es nicht machen, bleiben die Youtube Video deaktiviert.

Ich habe meinen Blog schon weitestgehend optimiert um so wenig Cookies wie möglich zu nutzen.
- Kein Google Analytics stattdessen Statify welches nur die Aufrufe der Seiten anonym zählt.
- Google Fonts werden lokal geladen.
- Youtube Videos werden über die Nocookies Server geladen um Tracking zu vermeiden.
- Eingebettete Videos von Youtube oder Soundcloud werden nur noch nach Cookie Zustimmung geladen.

So sollte ich erstmal fein raus sein.
Falls euch noch etwas auffällt, dann lasst mir doch gerne einen Kommentar da. ;)

WordPress: Google Fonts auf lokalen Server auslagern

Google Fonts ist ja ein Thema. Es gehen auch immer mal wieder Abmahnungen rum. Siehe die Links von LNP 445. Aber als ich Anfang des Jahres geschaut habe, gab es noch keine sinnvolle Möglichkeit per Plugin die Fonts lokal zu laden.
Nun gibt es aber doch die Möglichkeit dazu und das Ganze relativ leicht. Bei Netzgänger gibt es eine tolle Anleitung dazu.
Nämlich mit dem Plugin Local Google Fonts. Das macht seinem Namen alle Ehre. Nämlich die Google Fonts runterzuladen und vom eigenen Server auszuliefern.
Leider habe ich wohl mit dem Twenty Sixteen doch noch ein sehr altes Theme, welche auch nach dem Aktivieren des Plugins immer noch Schriften von Google lädt.
Ihr könnt entweder über die Entwicklerkonsole im Browser checken ob ihr Schriften von Google nachlädt oder einfach mal dieses Tool laufen lassen.
Bei einer Kundin hat es jedenfalls gut funktioniert.
Falls ihr auch ähnliche Probleme habt und Hilfe benötigt schreibt mich gerne an. Ich schau es mir dann und finde sicher eine passende Lösung.

//Update 19.11.2022: Meine Website lädt grundsätzlich schon alle Schriften lokal. Aber durch die eingebundenen Youtube Videos (die übrigens alle über die nocookie Server geladen werden!) werden leider trotzdem Youtube Videos geladen. Das hat mir auch der Ersteller des Plugins bestätigt.
Leider ist es wohl allgemein schwierig, die Google Fonts loszuwerden. Die einfachste Methode ist wohl den Besucher ordentlich drauf hinzuweisen, dann weiß er zumindest worauf er sich einlässt.

Ein weiterer guter Google Fonts Checker ist dieser hier. Damit kann man sogar die zu prüfende URL verlinken. :)
Wer sowieso ganz frisch ein WordPress Theme aufsetzt kann ja auch gleich darauf achten, dass es nach Möglichkeit gar keine Google Fonts Verweise hat. Dann kann man sich die Plugins auch sparen. ;)

Frische WordPress Installationen werden gekapert

Dieses Problem mit gerade frisch installierten WordPress Instanzen ist schon irgendwie bemerkenswert.


Es scheint, dass dies ein wenig mit der Funktionalität von Let's Encrypt zusammenhängt. Durch das sogenannte Certificate Transperancy werden neue Zertifikate von gerade erstellten Domains recht schnell propagiert. Daher kann ein Skript diese Domains recht schnell auf noch nicht komplett durchlaufene WordPress Installations Assistenten suchen und so diese WordPress Instanzen einfach übernehmen.
Mir war vollkommen unbekannt, dass dies heute noch so einfach möglich ist. Denn die meisten ordentlichen Webspace Provider (Domain Factory, Webgo oder Strato) haben alle heute Installer, welche für einen im Hintergrund gleich eine neue WordPress Instanz installieren. Dabei wird auch gleich ein neues Admin Password abgefragt, so dass die Installation fertig ist.
Scheinbar gibt es aber auch noch günstige Webhosting Anbieter, welche solche Automatismen nicht haben. Klar, dann registriert man seine Domäne und vielleicht damit auch gleich noch sein Let's Encrypt Zertifikat und schon ist die Domäne bekannt. Als nächstes lädt man das entpackte WordPress ZIP per FTP auf seinen Webspace. In dieser Zeit kann der Angreifer schon die WordPress Installation gefunden haben und fertig gestellt haben. Gut, findige Leute können das Ganze ja wieder löschen. Aber eventuell merkt man es nicht mal.
In diesem Fall würde ich vermutlich diesen Weg gehen (hab ich nicht ausprobiert):
1. WordPress ZIP hochladen
2. Installation mit einer Zwischendomain (am besten noch ohne Let's Encrypt Zertifikat) durchführen.
3. Richtige Domain einrichten (auf das WordPress Verzeichnis zeigen lassen und Let's Encrypt einrichten).
4. Die wp-config.php noch eine Ebene weiter hochschieben.
5. Die WordPress Instanz mit der richtigen Domain aufrufen und eventuell schauen ob diese in den Einstellungen richtig eingerichtet ist.
-> Vielleicht muss man dazu aber auch noch die wp-config.php anpassen.

Aber damit entfällt in der Theorie ja die Möglichkeit, dass potenzielle Skriptkiddies so schnell durch Certificate Transparency von der WordPress Instanz erfahren ohne dass die Installation schon fertig ist.

Fand ich eben spannend, da meine WordPress Installation auch schon ewig alt ist und ich deshalb schon lange keine frische WordPress Installation mehr gemacht habe.

Werbung auf diesem Blog

Eigentlich finde ich Werbung immer sehr nervig. Besonders die lästigen Bannerwüsten aus irgendwelchen Werbenetzwerken. Sowas will ich hier gar nicht haben. Vor vielen Jahren hab ich ab und zu mal ein paar Textbeiträge veröffentlicht, für die ich auch mal ein paar Euro bekommen habe. Allerdings ist dies auch klar als Werbung definiert. Sowas ähnliches habe ich seither nicht mehr gemacht. Aktuell ist Daily Music mein Haupt Thema hier.
Es gab und gibt jedoch noch ein Werbenetzwerk namens Backlinkseller.de. Damit kann jeder, der Geld ausgeben will, einen Textlink bei verschiedenen Seiten schalten und so ein paar Links sammeln. Da es diesen Blog nun schon ein paar Jahre gibt und auch einigermaßen gut indexiert ist, biete ich damit potenziell auch eine gute Werbefläche.
Ich habe die Textlinks hier auf diesem Blog nun auch eingebaut, jedoch im Footerbereich. Dann sind diese Links zwar da und können angeklickt werden, stören aber nicht den Lesefluss. Cookies werden dadurch auch nicht gesetzt, von dem her sehe ich das ganze auch entspannt.

Falls ihr auch einen Blog habt und potenziell ein paar Cents / Euros dazu verdienen wollt, dann habe ich hier noch einen Referal Link. Sprich durch eure Anmeldung bekomme ich auch einen kleinen Anteil von eurem Umsatz vom Betreiber. Im Rahmen meines Nebengewerbes werden die Einnahmen natürlich auch ordentlich versteuert.

WP Twitter Auto Publish Powered By : XYZScripts.com