Home Sicherheit WordPress: Trackbacks werden mit https geschickt

wordpress-iconSeitdem ich bei All-Inkl auf das Business Paket umgestiegen bin, habe ich auch ein eigenes SSL-Zertifikat für Bitpage bekommen. Ich nutze es, um den Login und jegliche Kommunikation im Adminbereich verschlüsselt zu übertragen. Das funktioniert mit zwei hinzugefügten Konstaten in der wp-config.php.

define('FORCE_SSL_ADMIN', true);
define('FORCE_SSL_LOGIN', true);

Leider hat es auch einen Nachteil den Adminbereich via https bzw. SSL verschlüsseln zu lassen: Bei Trackbacks kommen die Links für den Pingback ebenfalls mit https an. So verlinkt dann ein anderer Blog unter’m Blogbeitrag mit „https://www.bitpage.de/blogbeitrag-der-trackback-sendet”.

Dies hat den Nachteil, dass zum einen von Antispam Bee dies anscheinend als Spam erkannt wird und der angepingte Blogbetreiber den Trackback manuell freischalten muss.

Zum Anderem zerstört es das Layout für die Besucher, die über diesen Trackback-Link kommen, da standardmässig alle gängigen Browser die ungesicherten Objekte, und dazu gehören die Grafiken und alle anderen eingebundenen Objekte, die nicht mit https auf dem Blog eingebunden sind. Ziemlich doof also. Im deutschen WordPress Forum hatte ich mein Problem ebenfalls geschildert, dort wusste anscheinend aber niemand anderes Rat.

Lösung des Problems

Wenn man die Konstante “FORCE_SSL_ADMIN” auf false stellt, funktionieren die Trackbacks wieder wie gehabt mit http statt https Übermittlung.

define('FORCE_SSL_ADMIN', false);
define('FORCE_SSL_LOGIN', true);

Leider wird jetzt die Kommunikation im Adminbereich nicht mehr verschlüsselt. So könnte jemand sich bspw. dazwischen schalten und Blogbeiträge verändern oder löschen. Im Prinzip könnte derjenige alles, solange meine Sitzung im Adminbereich nicht abgelaufen ist. Da aber der Login-Bereich verschlüsselt wird, bekommt derjenige keinen dauerhaften Zugang zu meinem Blog und mit einem Klick auf “Abmelden” wäre der Angreifer dann auch wieder ausgesperrt.

Vielleicht denkt der ein oder andere, dass das ziemlich paranoid ist, aber wenn man wie ich bspw. von der Bloghütte oder im Presse Zentrum in offenen WLANs unterwegs ist, dann ist die Gefahr schon größer. Und es ist ein leichtes mit Sniffern wie Wireshark unverschlüsselte Zugangsdaten abzufangen. Alternativ kann man selbst den Adminbereich immer mit https aufrufen, sofern man es nicht vergisst.