WordPress Logo

Wie jetzt herausgekommen ist, wurde in WordPress eine Sicherheitslücke entdeckt, durch die Angreifer den Content betroffener WordPress-Seiten ändern können. Betroffen waren demnach die WordPress Version 4.7.0 und 4.7.1. Falls noch nicht geschehen, wird Benutzern dringend empfohlen ein WordPress-Update auf die Version 4.7.2 durchzuführen.

Sicherheitslücke kam mit der WordPress Rest-API

WordPress hat mit der Version 4.7.0 eine Rest-API eingeführt. Seit der Version 4.7.0 ist die Rest-API standardmäßig ein Teil von WordPress und kann vom Nutzer auch nicht im Administrationsbereich deaktiviert werden. Der entdeckte Fehler, von dem die Versionen 4.7.0 und 4.7.1 gleichermaßen betroffen waren, lag in der Validierung von Parametern die an das API übergeben werden können.

Automatische Updates helfen

WordPress hat eine automatische Update-Funktion, die ab der Version 3.7 standardmäßig mit dabei und aktiviert ist. Benutzer ab dieser Version sollten Updates dementsprechend automatisch erhalten, womit die Sicherheitslücke auch ab der Version 4.7.2 behoben ist. Um ganz sicher zu gehen empfehlen wir Ihnen jedoch sich in Ihren WordPress Administrationsbereich anzumelden und unter „Dashboard -> Aktualisierungen“ zu überprüfen welche WordPress Version Sie verwenden und gegebenenfalls manuell ein Update zu starten.

Screenshot Startseite Google Analytics

In diesem Beitrag möchten wir Ihnen erklären, wie Sie Google Analytics in Ihre Webseite einbinden, so dass Sie die IP-Adressen Ihrer Besucher anonymisieren und diese nicht an Analytics übermittelt werden. Vorab sei jedoch erwähnt, dass wir an dieser Stelle keine Rechtsberatung hinsichtlich irgendwelcher Datenschutzrichtlinien durchführen und dadurch auch nicht garantieren, dass sich seit der Veröffentlichung dieses Artikels der Rechtsstand ggf. wieder geändert hat.

WARUM DIE IP-ADRESSEN MEINER BESUCHER ANONYMISIEREN?

Aufsichtsbehörden haben schon länger über einen datenschutzkonformen Einsatz von Webanalyse-Tools, wie z.B. Google Analytics, gesprochen. Fakt ist, dass bei einer nicht Anonymisierung der IP-Adresse diese in Google Analytics und somit auf einem ausländischen Server gespeichert wird.

Neben anderer Rahmenbedingungen, wie z.B. einer Datenschutzerklärung (kostenfrei erstellbar auf e-Recht24.de) in der auf die Verwendung von Cookies und Google Analytics hingewiesen werden muss, bedarf es also auch der Anonymisierung der IP-Adresse Ihrer Webseiten-Besucher.

WIE ANONYMISIERE ICH DIE IP-ADRESSE MEINER BESUCHER?

Google hat für diesen Zweck eine Erweiterung des Google Analytics Code zur Verfügung gestellt. Durch diese Erweiterung werden die letzen 8 Bit der IP-Adresse gelöscht. Dies ermöglicht zwar weiterhin eine grobe Lokalisierung des Users, was jedoch von den Datenschutzbehörden in Deutschland anerkannt wird.

Aktuell wird fast ausschließlich der sogenannte „Universal Analytics“ Code angewendet. Eine Anpassung (rot markiert) könnte dann wie folgt aussehen:

<script>

ga(‚create‘, ‚UA-XXXXXXX-X‘, ‚ihredomain.de‘);
ga(’set‘, ‚anonymizeIp‘, true);
ga(’send‘, ‚pageview‘);

</script>