Spionageprogramme in WordPress deaktivieren

Mullenweg - Data Collection
Gefunden auf der Homepage von Matt Mullenweg (ma.tt).
Dass das Internet eine gigantische Späh-Maschine geworden ist, darf dank der Hashtags #NSA und #Snowden öffentlich verkündet werden, ohne in den Generalverdacht des Verfolgungswahns zu geraten. Freemail-Dienste lesen maschinell die private wie geschäftliche Korrespondenz mit, Internet-Browser senden bei Updates das statistisch erfasste Surfverhalten an die Datenserver, Tracking-Verfahren protokollieren die Netz-Fußspuren, Suchmaschinen und Mobil-Apps orten und erstellen Bewegungsprofile. Dass aber auch das Weblog-System WordPress Informationen preisgibt, um dem Traum jedes Marketers, dem gläsernen Kunden ein Stück näher zu kommen, sollte jeder Journalistin und jedem Blogger bei der Arbeit mit diesem 'kostenlosen' Programm zumindest bewusst sein.

WordPress gilt als das weltweit meist genutzte Content-Management-System im Internet. Es ist ein Musterbeispiel für die Dynamik, die eine General-Public-lizenzierte Open-Source-Software dank einer riesigen Entwicklergemeinde entfalten kann. Es ist aber auch ein Beispiel dafür, dass der Begriff "freie Software" nicht mit demokratischen Grundrechten assoziiert werden sollte, sondern rein ökonomisch zu verstehen ist. Ein diktatorischer Eingriff des WordPress-Chefs Matt Mullenweg in den Programmkern zeugt hiervon (siehe "capital_P_dangit"), die Verflechtung mit Google und seine eigene Datensammel-Leidenschaft beweisen es.

Verlinkung von Google-Fonts in WordPress

Im Zuge von Modernisierungen der Administrationsoberfläche wurde Ende 2013 auf wordpress.org zu einer Experten-Diskussion aufgerufen. Die Frage war: "Open Sans, bundling vs. linking". Erörtert werden sollten technische Aspekte bei der Integration von Schrifttypen, die der Google-Konzern kostenlos auf seinen Servern bereitstellt. Die Frage, ob solch eine Einbindung von Web-Fonts in das WP-Backend überhaupt nötig sei, war offenbar bereits gefallen. Zur Diskussion stand lediglich die Art der Integration: Einbindung der Schrift-Dateien in das WordPress-Softwarepaket oder interaktive Verlinkung mit den Google-Servern. Argumente gegen die Implementierung einer Netzverbindung zu Google und auch ein Plädoyer, gänzlich auf diese kosmetische Aufhübschung zu verzichten, wurden schlicht ignoriert. Offenkundig war die Frage selbst lediglich kosmetischer Natur: Bereits 10 Minuten nach Eröffnung des Threads gab Mullenweg als erster Antwortender die Entscheidung preis, ab der Version 3.8 dem Google-Konzern eine kleine Hintertür ins WordPress-Backend zu öffnen.

Menü: Seitenquelltext
Rechter Mausklick auf einen leeren Bereich der HTML-Seite ruft das Context-Menü auf.
Seit der im Dezember 2013 veröffentlichten Version 3.8 wird nun jedesmal beim Aufruf des Dashboards von WordPress eine Verbindung zum Google-Server aufgebaut, um den Web-Font Open Sans zu laden. Welche Informationen hierbei übertragen werden und welche Tracking-Möglichkeiten dadurch denkbar sind, erläutert Wolfgang Wiese in seinem Blogbeitrag: "Spion inside – Tracking dank Google...".

Der Link zu den Google-Font-Servern findet sich im Quelltext der HTML-Seiten eines WordPress-Blogs. Auch die Standard-Themes Twenty Twelve (bereits seit Ende 2012), Twenty Thirteen und Twenty Fourteen binden Google-Fonts ein (und unzählige weitere WP-Themes tun das). Als eingeloggter Admin finden sich daher ggf. zwei der folgenden Google-Links im oberen Bereich des Quelltextes:

<link rel='stylesheet' id='open-sans-css' href='//fonts.googleapis.com/css?family=Open+Sans[...]' type='text/css' media='all' />

<link rel='stylesheet' id='twentytwelve-fonts-css' href='http://fonts.googleapis.com/css?family=Open+Sans[...]' type='text/css' media='all' />

<link rel='stylesheet' id='twentythirteen-fonts-css' href='//fonts.googleapis.com/css?family=Source+Sans+Pro[...]' type='text/css' media='all' />

<link rel='stylesheet' id='twentyfourteen-lato-css' href='//fonts.googleapis.com/css?family=Lato[...]' type='text/css' media='all' />

Google Web-Fonts deaktivieren

Die Kontaktaufnahme des WordPress-Backends mit Google und auch die Fremd-Verlinkung der Standard-Themes lassen sich mit dem kleinen Plugin Disable Google Fonts unterbinden. Es ist auch möglich, mittels einer functions.php die Verlinkung zu Google zu verhindern (siehe netzklad.de). Um beispielsweise nur die Administrationsoberfläche vom Google-Ballast zu befreien, weil die mitgelieferten WP-Standard-Themes nicht genutzt werden, reichen folgende Zeilen in der Datei functions.php, die innerhalb eines eigenen Child-Themes angelegt wird:

function google_fonts_load_disable( $styles ) {
    $styles->add( 'open-sans', '' ); 
}
add_action( 'wp_default_styles', 'google_fonts_load_disable', 5 );

Schwieriger wird es bei den zahlreichen kostenlosen Themes und Premium-Themes, die sich der Font-Dienste von Google oder von anderen Anbietern bedienen. Die Web-Fonts können auf unterschiedliche Weise eingebunden werden, so dass hier individuelle Lösungen nötig werden. Beim im Mai 2014 auf wordpress.org promoteten Theme Sparkling zum Beispiel lässt sich die Google-Font-Einbindung mit folgenden Zeilen in der functions.php unterdrücken:

function re_deregister_styles() {
    wp_deregister_style( 'sparkling-fonts' );
}
add_action( 'wp_print_styles', 're_deregister_styles', 100 ); 

Verlinkung mit Mullenwegs Gravatar-Servern

Gravatar-Einstellungen
Im WordPress-Dashboard finden sich die Konfigurationsmöglichkeiten zur Anzeige von Avataren bzw. Gravataren.
Auch der kostenlose Gravatar-Service von Matt Mullenwegs Automattic Inc. empfängt Daten von WordPress-Installationen, bei denen die Avatar-Funktion nicht abgeschaltet wird. Im Auslieferungszustand von WordPress ist diese 'globaly recognized' Funktion aktiviert. Sie sorgt dafür, dass bei jedem Aufruf einer WordPress-Seite mit Kommentaren sogenannte HTTP-Requests an gravatar.com gesendet werden. Hierbei wird in kodierter Form (MD5-Hash) die vom Kommentierenden eingegebene eMail-Adresse übertragen - auch von denjenigen, die sich beim Profiler-Dienst gar nicht angemeldet haben. Die Standardavatare, die den nicht bei gravatar.com registrierten eMail-Adressen zugeordnet werden, werden ebenfalls vom Gravatar-Server bezogen (übrigens ist eine Anmeldung beim kostenlosen Blogger-Service wordpress.com gleichbedeutend mit einer Registrierung bei gravatar.com - und umgekehrt).

Pikant hieran: Der gebräuchliche und in WordPress voreingestellte Hinweis bei der Kommentareingabe, "Deine E-Mail-Adresse wird nicht veröffentlicht", suggeriert eine Art von Sicherheit bzw. Geheimhaltung, die so nicht haltbar ist. Zum einen werden über den Umweg der kodierten eMail-Adresse Beziehungen hergestellt zu der ggf. bei Automattic im Klartext hinterlegten eMail und ggf. weiterer dort gespeicherter persönlicher Daten (was alles zu dieser Firma gehört, ist auf automattic.com aufgelistet - zuzüglich des Dienstes intensedebate.com, der eine Ausbaustufe der Gravatar-Idee zur Datensammlung darstellt).

Zum zweiten werden mittels der HTTP-Requests auch für nicht angemeldete eMail-Adressen Footprints erstellt. Diese Netz-Fußspuren in Form der hash-kodierten eMail-Adressen sind bei aktivierter Avatar-Funktion in jeder von WordPress generierten Kommentar-Seite im Quelltext sichtbar. Sie sind somit für jedermann zugänglich und verfolgbar, beispielsweise auch für Suchmaschinen-Crawler von Google und Co. Der Gravatar-Service stellt somit den Beginn eines getarntes Tracking-Verfahren dar, dass spätestens in Kooperation mit anderen Diensten oder Dienstanbietern seine kommerzielle Wirkung entfalten kann (die Privacy Policy von Automattic räumt ein, dass u. a. verbundene Unternehmen ("affiliated organizations") personenbezogene Daten erhalten können, wenn sie im Auftrag oder zugunsten von Automattic agieren ("on Automattic’s behalf"), solange sie die Daten ihrerseits nicht weitergeben. Automattic kooperiert z. B. mit kissmetrics.com und inspectlet.com).

Automattics Kooperationspartner
Die Kooperationspartner von Automattic sorgen für die Zusammenführung von Daten über Firmengrenzen hinweg (Screenshots von den Startseiten von kissmetrics.com und inspectlet.com, Juni 2014).

Gravatar im WP-Backend
Avatar-Bilder von gravatar.com im WordPress-Dashboard
Auch über die im Backend registrierten Benutzer erhält Automattic Informationen. Die Hash-Versionen der eMail-Adressen von Administratoren, Redakteuren, Autoren etc. werden jedesmal an gravatar.com gesendet, wenn im WordPress-Backend der Menüpunkt 'Benutzer' bzw. 'User' aufgerufen wird. Die dort angezeigten Avatar-Bilder stammen von den Automattic-Servern, die zugehörigen eMail-Adressen werden dem Feld 'E-Mail (erforderlich)' der jeweiligen Benutzerprofile entnommen. Bereits beim Einloggen ins Backend erhält gravatar.com die kodierte eMail des sich einloggenden, solange die Avatar-Anzeige aktiviert ist - ein Klick bei "Zeige Avatare" unter Einstellungen -> Diskussion reicht allerdings aus, um die Verbindungen zum Gravatar-Server sowohl vom Frontend als auch vom Backend aus zu kappen.

Schlussbetrachtung: Auswirkungen auf den Datenschutzhinweis?

Für meinen Geschmack, ich bin kein Jurist, sollten Besucherinnen und Besucher einer Webseite über die mögliche Datensammelei informiert werden, bevor Verbindungen zur dunklen Seite der Macht aufgebaut werden. Was nützt die Bereitstellung eines Datenschutzhinweises, wenn allein durchs Lesen/Aufrufen solch einer Information bereits Daten an fremde Server verschickt werden? Ähnlich wie bei der (in Deutschland bisher nicht umgesetzten) europäischen Cookie-Richtlinie, die im Zusammenhang mit Tracking-Cookies, Zählpixeln und vergleichbaren Techniken eine ausdrückliche Einwilligung der Seitenbesucher verlangt, sollte auch bei den oben beschriebenen Datensammelaktionen eine Opt-In-Zustimmung Pflicht sein. Vielleicht sogar gerade bei diesen verborgenen Verfahren: Während sich das Cookie-Tracking im Browser einfach deaktivieren lässt, lassen sich die versteckten Server-Interaktionen nicht abschalten - jedenfalls nicht vom meist ahnungslosen Besucher DEINER Website.

11 Gedanken zu „Spionageprogramme in WordPress deaktivieren

  1. Hallo,

    das ist alles sehr richtig.

    Aktiv kann sich ein Benutzer selbst z.B. mit der Browser-Extension Adblock Plus schützen. Die Extension kann de facto und domainbasiert alles blocken, was ich nicht aufrufen will, natürlich auch alle Arten von Trackern der von mir besuchten Webseiten - wenn man mit wenig Aufwand einige Block-Regeln hinzufügt. Von Google Analytics über Clicky bis hin zu Gravatar werden dann unerwünschte Requests geblockt und mindern die Opferrolle des Surfers im gläsernen Netz signifikant.

    Beste Grüße,
    Frank

  2. So sehr ich die Argumentation gegen Google Fonts und Gravatar nachvollziehen kann, finde ich es doch etwas irritierend, dass hier gleichzeitig das Tracking-System von VG Wort zur Reichweitenmessung eingesetzt wird.

    Man darf also durchaus Nutzerverhalten analysieren, solange es die richtigen Institutionen sind, die im Zweifelsfall dabei helfen, Geld für Werbung zu bekommen?

    Und dann die nicht gerade kleine Aufklärung zum Datenschutz auf https://journalismus-plus.de/datenschutz/, wo u.A. auch Google AdSense genannt wird. Ach - Google ist also doch nicht so böse, wenn man damit Geld verdienen kann? Wie denn jetzt? Und auch sonst fast nichts ausgelassen wird (Twitter, Facebook, Google+, Pinterest, LinkedIn, Xing, Amazon Partnerprogramm).

    Der Glaubwürdigkeit ist das nicht gerade förderlich, wenn man auf der eigenen Website "aufklärt", gleichzeitig aber selber Tracking aller Art nutzt oder sich vorbehält.

    1. Ich gebe zu, die Hinweise in der Datenschutzerklärung, die vom Generator von Rechtsanwalt Thomas Schwenke vollautomatisch erzeugt wurden, wirken befremdlich. Allerdings:

      1. Für die Einbindung der Social-Sharing-Buttons nutze ich das sehr empfehlenswerte WP-Plugin Shariff. Dieses baut, entgegen der Formulierungen im Datenschutzhinweis, keine direkten Verbindungen zu Facebook, Twitter etc. auf. Ein fremder Server wird erst kontaktiert, wenn jemand darauf klickt - und dann wird derjenige auch wissen, was er tut (nehme ich an). Die vorgegebenen Datenschutzformulierungen möchte ich allerdings nicht entsprechend anpassen, schlicht weil ich kein Rechtsanwalt bin.

      2. Die Hinweise zu Adsense und zum Amazon-Partnerprogramm habe ich damals aufgenommen, weil ich Tests zu den Möglichkeiten der Monetarisierung u. a. hier auf Journalismus plus durchgeführt habe (siehe hier; den Bericht hab ich dummerweise noch nicht schreiben können). Hierfür waren die Datenschutzhinweise selbstredend nötig. Sobald ich mir sicher bin, alle damaligen Anzeigenblöcke inzwischen wieder entfernt zu haben, nehm ich die entsprechenden Passagen gern wieder aus der Datenschutzerklärung heraus. (Nachtrag 4.2016: Ich will nun doch nochmals AdSense-Werbung hier auf der Website ausprobieren - ich bitte um Verständnis. Einen entsprechenden Cookie-Hinweis habe ich eingebaut.)

      3. Tatsächlich hängt die Beurteilung eines Tracking-Verfahrens auch mit der zugehörigen Institution bzw. Unternehmung zusammen, denke ich. Im Fall der VG Wort kann ich keinerlei Interesse erkennen, personenbezogene Daten auszuwerten bzw. User-Profile zu erstellen. Es geht einzig und allein darum, die Zugriffe von deutschen IPs zu zählen, weil die Regularien zur Tantiemen-Ausschüttung das so vorsehen. Dieses Tracking-Verfahren ist alternativlos. Es ist das einzige, was auf Journalismus plus aktiv eingesetzt wird (hoffe ich).

  3. Übrigens: Das seit einigen Wochen verfügbare Update auf WordPress 4.2 habe ich hier auf Journalismus plus noch nicht installiert, weil dort ein weiteres Tracking-Verfahren implantiert wurde: Emojis. Auch dies ist in meinen Augen eine überflüssige Aufhübschung, die nichts im WordPress-Core zu suchen hat, mit der sich aber vermutlich ebenfalls Benutzerdaten sammeln lassen.

  4. Vielen Dank für den aufschlussreichen Artikel und die Kommentare!

    Ich habe noch eine Ergänzung zu Browser-Plugins:
    Die Electronic Frontier Foundation hat ein neues Browser-Plugin entwickelt, mit dem zumindest die Verbindungen die der eigene Web-Browser zu Trackern aufbaut blockiert werden. Alles sehr einfach aufgebaut. Das Teil kann nach Installation komplett igroriert werden. Mit einem Blick auf das Plugin-Icon ist sofort ersichtlich, wie viele Verbindungen zu Drittanbietern die besuchte Webseite aufbauen möchte und mit einem Klick auf das Plugin-Icon wird angezeigt, welche Drittanbieter das sind und wie mit denen gerade umgegangen wird (kein Zugriff / keine Cookies / alles erlaubt). Ebenso einfach lässt sich dort einstellen, welcher Umgang mit dem jeweiligen Drittanbieter gewünscht ist....
    Außerdem werden diverse like-Buttons automatisch durch nicht-trackende Varianten ersetzt.
    Super Sache: https://www.eff.org/privacybadger
    Durch das Plugin bin ich erst auf die Wordpress-Problematik und damit auf den Artikel aufmerksam geworden.

  5. Nach dem ich Wordpress installiert habe ist mir auch ein Script aufgefallen, dass nach cloudflare.com verlinkt.

    Ich glaube so langsam wäre es wohl fast einfacher einen Wordpress Fork zu erstellen, der keine Spionage Tools enthält, als das jeder seine Änderung selber macht.

    1. Das ist mir (bisher) unbekannt. Vermutlich stammt das von einem nachträglich installiertem Theme? Eine einfache Verlinkung wäre übrigens kein Datenschutz-Problem.

  6. Warum kann man bei allen diesen sogenannten "Lösungen" eigentlich immer nur auf "Einverstanden" oder "OK" klicken?
    Und niemals auf "Ablehnen"? Eine wirkliche Wahlmöglichkeit besteht so nicht.
    Und das dürfte sicher nicht im Sinne der Cookie-Richtlinie sein.
    Da mit der gegenwärtig praktizierten Form die Benutzer lediglich für dumm verkauft und belästigt werden, kann ich nicht erkennen, wie so etwas zum Schutz der Seitenbetreiber vor Abmahnungen beitragen kann.

Kommentare sind geschlossen.