• Gelöst Carsten Lippert

    (@falconcrest)


    Hallo,

    wieder einmal möchte ich um eventuelle Hilfe oder Tipps bei der Lösung eines Problems im Zusammenhang mit meiner Test-Homepage bitten.

    Es scheint mir ziemlich speziell zu sein, da ich trotz tagelanger Recherche zu einer Lösung gefunden habe. Dazu muss ich auch noch bemerken, dass ich kein Profi bezüglich WordPress bin. Der Website-Zustand folgt am Ende!

    Hier nun meine Fragestellung:

    Ich habe unter https://www.hardenize.com meine oben genannte Homepage getestet. Es sieht wohl ziemlich gut aus, einen Fehler gibt es dennoch. Dieser bezieht sich auf die Subresource integrity. (Feature not applicable, not implemented, or disabled / Your server doesn’t support this feature.)

    Bisher habe ich noch keinen Weg gefunden, um dies zufriedenstellend umzusetzen. Ehrlich gesagt, es fehlt mir auch immer noch das gewisse Verständnis dafür.

    Der Auslöser für diesen Fehler scheint für mich aber zu sein, dass nur 1 von 2 CSS-Files als sicher eingestuft werden. Ich weiß bisher nicht, wo genau die Fonts von bunny.net eingebunden sind. Womöglich liegt es daran, dass ich Google-Fonts verboten habe.

    Zumindest habe ich herausgefunden, dass ich für https://fonts.bunny.net/css einen SRI Hash erzeugen muss, welcher dann, sorry, irgendwo eingefügt werden muss.

    Ich drehe mich momentan im Kreis und finde selber keinen Lösungsansatz. Weitere Informationen liefere ich gerne auf Nachfrage!

    Vielen Dank für jegliche Bemühungen, mir Hilfestellung zukommen zu lassen!

    Hier nun noch der Website-Zustands-Bericht:

    ` wp-core
    
    version: 6.2.2
    site_language: de_DE
    user_language: de_DE
    timezone: Europe/Berlin
    permalink: /%postname%/
    https_status: true
    multisite: false
    user_registration: false
    blog_public: 1
    default_comment_status: open
    environment_type: production
    user_count: 1
    dotorg_communication: true wp-paths-sizes wordpress_path: /homepages/18/d638640389/htdocs/Wordpress
    wordpress_size: 610,34 MB (639982800 bytes)
    uploads_path: /homepages/18/d638640389/htdocs/Wordpress/wp-content/uploads
    uploads_size: 104,11 MB (109169965 bytes)
    themes_path: /homepages/18/d638640389/htdocs/Wordpress/wp-content/themes
    themes_size: 2,51 MB (2630071 bytes)
    plugins_path: /homepages/18/d638640389/htdocs/Wordpress/wp-content/plugins
    plugins_size: 187,13 MB (196221237 bytes)
    database_size: 15,63 MB (16384000 bytes)
    total_size: 919,71 MB (964388073 bytes) wp-dropins (1) advanced-cache.php: true wp-active-theme name: Twenty Twenty-Three (twentytwentythree)
    version: 1.1
    author: Das WordPress-Team
    author_website: https://de.wordpress.org
    parent_theme: none
    theme_features: core-block-patterns, post-thumbnails, responsive-embeds, editor-styles, html5, automatic-feed-links, block-templates, widgets-block-editor, tw-spacing, editor-style
    theme_path: /homepages/18/d638640389/htdocs/Wordpress/wp-content/themes/twentytwentythree
    auto_update: Aktiviert wp-mu-plugins (1) aios-firewall-loader.php: author: (undefined), version: (undefined) wp-plugins-active (23) All-in-One WP Migration: version: 7.76, author: ServMask, Automatische Aktualisierungen aktiviert
    All in One SEO: version: 4.4.2, author: All in One SEO Team, Automatische Aktualisierungen aktiviert
    All In One WP Security: version: 5.2.1, author: All In One WP Security & Firewall Team, Automatische Aktualisierungen aktiviert
    Antispam Bee: version: 2.11.3, author: pluginkollektiv, Automatische Aktualisierungen aktiviert
    Asset CleanUp: Page Speed Booster: version: 1.3.9.2, author: Gabe Livan, Automatische Aktualisierungen aktiviert
    Broken Link Checker: version: 2.2.0, author: WPMU DEV, Automatische Aktualisierungen aktiviert
    Complianz | GDPR/CCPA Cookie Consent: version: 6.5.2, author: Really Simple Plugins, Automatische Aktualisierungen aktiviert
    Elementor: version: 3.14.1, author: Elementor.com, Automatische Aktualisierungen aktiviert
    Favicon Rotator: version: 1.2.10, author: Archetyped, Automatische Aktualisierungen aktiviert
    Independent Analytics: version: 1.26.0, author: Independent Analytics, Automatische Aktualisierungen aktiviert
    Local Google Fonts: version: 0.21.0, author: EverPress, Automatische Aktualisierungen aktiviert
    Maintenance: version: 4.07, author: WebFactory Ltd, Automatische Aktualisierungen aktiviert
    Ocean Extra: version: 2.1.8, author: OceanWP, Automatische Aktualisierungen aktiviert
    Ocean Stick Anything: version: 2.0.6, author: OceanWP, Automatische Aktualisierungen aktiviert
    Otter – Page Builder Blocks & Extensions for Gutenberg: version: 2.3.2, author: ThemeIsle, Automatische Aktualisierungen aktiviert
    Really Simple SSL: version: 7.0.6, author: Really Simple Plugins, Automatische Aktualisierungen aktiviert
    Really Simple SSL Pro: version: 7.0.2, author: Really Simple Plugins, Automatische Aktualisierungen aktiviert
    Redirection: version: 5.3.10, author: John Godley, Automatische Aktualisierungen aktiviert
    Twentig: version: 1.6.1, author: Twentig.com, Automatische Aktualisierungen aktiviert
    UpdraftPlus - Backup/Restore: version: 1.23.7, author: UpdraftPlus.Com, DavidAnderson, Automatische Aktualisierungen aktiviert
    WP-Optimize Premium - Clean, Compress, Cache: version: 3.2.16, author: David Anderson, Ruhani Rabin, Team Updraft, Automatische Aktualisierungen aktiviert
    WP Last Modified Info: version: 1.8.8, author: Sayan Datta, Automatische Aktualisierungen aktiviert
    WPS Hide Login: version: 1.9.8, author: WPServeur, NicolasKulka, wpformation, Automatische Aktualisierungen aktiviert wp-media image_editor: WP_Image_Editor_GD
    imagick_module_version: Nicht verfügbar
    imagemagick_version: Nicht verfügbar
    imagick_version: Nicht verfügbar
    file_uploads: File uploads is turned off
    post_max_size: 64M
    upload_max_filesize: 64M
    max_effective_size: 64 MB
    max_file_uploads: 20
    gd_version: 2.2.5
    gd_formats: GIF, JPEG, PNG, WebP, BMP, XPM
    ghostscript_version: 9.27 wp-server server_architecture: Linux 4.4.302-icpu-092 x86_64
    httpd_software: Apache
    php_version: 8.1.20 64bit
    php_sapi: cgi-fcgi
    max_input_variables: 5000
    time_limit: 50000
    memory_limit: -1
    max_input_time: -1
    upload_max_filesize: 64M
    php_post_max_size: 64M
    curl_version: 7.64.0 OpenSSL/1.1.1n
    suhosin: false
    imagick_availability: false
    pretty_permalinks: true
    htaccess_extra_rules: true wp-database extension: mysqli
    server_version: 5.7.38-log
    client_version: mysqlnd 8.1.20
    max_allowed_packet: 67108864
    max_connections: 3000 wp-constants WP_HOME: undefined
    WP_SITEURL: undefined
    WP_CONTENT_DIR: /homepages/18/d638640389/htdocs/Wordpress/wp-content
    WP_PLUGIN_DIR: /homepages/18/d638640389/htdocs/Wordpress/wp-content/plugins
    WP_MEMORY_LIMIT: 40M
    WP_MAX_MEMORY_LIMIT: -1
    WP_DEBUG: false
    WP_DEBUG_DISPLAY: true
    WP_DEBUG_LOG: false
    SCRIPT_DEBUG: false
    WP_CACHE: true
    CONCATENATE_SCRIPTS: undefined
    COMPRESS_SCRIPTS: undefined
    COMPRESS_CSS: undefined
    WP_ENVIRONMENT_TYPE: Nicht definiert
    DB_CHARSET: utf8mb4
    DB_COLLATE: undefined wp-filesystem wordpress: writable
    wp-content: writable
    uploads: writable
    plugins: writable
    themes: writable
    mu-plugins: writable aioseo (1) noindexed: Autor-Archive, Suchseite
    • Dieses Thema wurde geändert vor 1 Jahr, 2 Monaten von Carsten Lippert.

    Die Seite, für die ich Hilfe brauche: [Anmelden, um den Link zu sehen]

Ansicht von 10 Antworten – 1 bis 10 (von insgesamt 10)
  • Hallo,
    das Problem hängt offensichtlich mit bunny fonts zusammen. Zunächst der Hinweis: Bunyy fonts ist zumindest äußerst bedenklich DSGVO, siehe Podcast bei WP Sofa und dort „Probleme mit Google Fonts“. Einfacher können Google Fonts mit dem Plugin Create Block Theme eingebunden werden. Wie das funktioniert, habe ich in dem folgenden Beitrag beschrieben.

    Eine weitere Möglichkeit besteht darin, wenn du ein Plugin wie z. B. Local Google Fonts verwendest, das du ja bereits aktiviert hast.
    Warum da in deinem Fall noch bunny fonts „mitspielt“ kann ich dir nicht sagen, weil sich deine Website z. Zt. im Wartungsmodus befindet. Wenn du Fragen im Support stellst, ist es sinnvoll, wenn die Website erreichbar ist.

    Wenn man die Umstellung auf SSL korrekt durchführt, kann man auf das Plugin Really Simple SSL verzichten.

    Viele Grüße
    Hans-Gerd

    Mit eingeschaltetem Maintenance-Modus kann ich mir die Website nicht anschauen. Mich hätte interessiert, wieso da überhaupt (rechtlich fragwürdige) Bunny-Fonts eingebunden werden.

    Ansonsten … was Hans-Gerd geschrieben hat.

    Und da wir dem durch den Maintenance-Modus nichts mehr hinzufügen können, als „gelöst“ markiert.

    Thread-Starter Carsten Lippert

    (@falconcrest)

    @pixolin

    Die Website ist nun online. Da es nur eine Testseite ist, ist der Inhalt der Standard einer Ersteinrichtung.

    Ja, warum wurde mit Bunny-Fonts getestet, weil man als Anfänger auch auf diversen Seiten darüber stolpert und es dort z.B. als gute Alternative bezeichnet wird. Wenn ich Deine Meinung hier richtig interpretiere, dann ist dies eben nicht so und es ist viel besser Google Fonts zu benutzen und diese dann, um DSGVO konform zu sein, lokal vorzuhalten. Vielen Dank für diese Information.

    Thread-Starter Carsten Lippert

    (@falconcrest)

    @hage

    Auch Du beschreibst die Bedenklichkeit von Bunny Fonts, womit es schon 2 Aussagen sind, welche die Nutzung hinterfragen.

    Zur Umstellung auf SSL wird das stimmen, was Du sagts, aber als Anfänger legt man trotz Buch und Internet nicht gleich mit dem Editieren der Datei .htaccess los. Ich habe sie mir nach der Nutzung des Plugins Really Simple SSL angesehen, mit Beschreibungen auf diversen Webseiten verglichen und fange langsam an, Stück für Stück Erfahrungen zum Thema zu sammeln.

    Bunny Fonts wurden von mir nicht wirklich bewusst implementiert, denn als Erstes wurde das Plugin Local Google Fonts angewendet. Leider habe ich erst später mit dem Test mittels hardenize angefangen, deshalb kann ich nicht erkennen, wann es zur „Infiltrierung“ mit den Bunny Fonts gekommen ist, zumal der Inhalt der Webseite ja auch gelinde gesagt, überschaubar ist.

    Ich weiß, aus unserem letzten Kontakt, dass Du die Meinung vertrittst, dass viel Plugins nicht gleich viel Sicherheit und Komfort bedeuten, eher noch zu mehr Problemen führen können, nur ich gebe nochmals zu Bedenken, wenn ich es alles vorher wüsste, dann würde ich mich nicht an ein Forum wenden.

    @falconcrest
    Genau das hatte ich dir mitsamt entsprechenden Infos auch schon geschrieben. 🤔

    Sorry, hatte sich wohl mit deiner Antwort überschnitten.

    • Diese Antwort wurde geändert vor 1 Jahr, 2 Monaten von Hans-Gerd Gerhards. Grund: Ergänzung

    @falconcrest

    nur ich gebe nochmals zu Bedenken, wenn ich es alles vorher wüsste, dann würde ich mich nicht an ein Forum wenden.

    das ist mir schon klar, aber auf die Anzahl der Plugins bin ich gar nicht eingegangen.
    Und wir haben alle mal angefangen. 😉

    Letztendlich musst du das entscheiden, was du auf der WordPress-Instanz einsetzen möchtest. Da will ich dir gar nicht reinreden. Wir versuchen nur, aufgrund unserer Erfahrung eine Einschätzung zu geben. Z. B. hast du zwei Sicherheits-Plugins installiert (All In One WP Security und WPS Hide Login).

    Wo bunny fonts steckt, kann ich dir nicht sagen. Das wirst du vermutlich rausbekommen, wenn du alle Plugins deaktivierst und danach Plugin für Plugin aktivierst. Teste danach jeweils, ob das Problem behoben ist. Sobald es dann nach Aktivierung eines Plugins das beschriebene Problem gibt, weißt du, welches Plugin das Problem verursacht.

    Thread-Starter Carsten Lippert

    (@falconcrest)

    @hage

    Hast Du noch ein paar Tipps oder Info`s bezüglich meines ursprünglichen Themas? Ist es wirklich so speziell mit SRI, einmal abgesehen von den Bunny Fonts? Sehr viel ist dazu nicht zu finden…

    • Diese Antwort wurde geändert vor 1 Jahr, 2 Monaten von Carsten Lippert. Grund: Ergänzung

    dann ist dies eben nicht so und es ist viel besser Google Fonts zu benutzen

    Ziel der Datenschutzgrundverordnung ist, die Besucher deiner Website vor einer unnötigen Speicherung persönlicher Daten zu schützen. Bindest du einen Dienst eines Drittanbieters ein – z.B. ein Youtube-Video, eine Google Map, einen Webfont (egal ob der nun von Google, Bunny-Fonts oder wem auch immer kommt) – wird die IP-Adressen des Webseitenbesuchers an diesen Dritten übermittelt. Der könnte nun das Surfverhalten anhand der IP-Adresse tracken und wenn der Webseitenbesucher sich bei einem Anbieter (z.B. Google Suche) auch noch registriert, direkt zuordnen.

    Bunny-Fonts schreibt sinngemäß, dass sie die Guten sind, weil du dich als Webseitenbesucher nicht bei ihnen registrierst und zwar ein Tracking theoretisch möglich wäre, sie das aber nicht machen, weil sie doch die Guten sind. Juristen verziehen dabei nur ungläubig das Gesicht und freuen sich über die Naivität der Nutzer. An der Tatsache, dass die IP-Adresse des Webseitenbesuchers an einen Dritten übermittelt wird, ändert sich dabei gar nichts.

    Bei den Standard-Theme („Twenty …“) wird es inzwischen richtig gemacht: Die Themes enthalten selber die benötigten Fonts und damit werden im Browser des Webseitenbesuchers nur Dateien von dem Webserver übertragen, der sowieso aufgerufen wurde. Ob diese Fonts dann mit einer OpenSource-Lizenz von Google oder wem auch immer zur Verfügung gestellt wurden, ist nachranging.

    Leider machen das nicht alle Themes so. Workaround ist, per Plugin das Laden von Fonts von Drittanbietern zu unterbinden und statt dessen die Fonts auf den Webserver herunterzuladen und dort als eigenen Font anzubieten. Auch hierbei wird der Umstand genutzt, dass Google Webfonts unter der SIL-Open Font License anbietet und die Fonts damit von allen kostenlos genutzt werden können.

    … und ergänzend zu den absolut korrekten Dingen, die dir bereits Bego geschrieben hat: Bei dem von dir verwendeten Theme Twenty Twenty-Three hast du noch weitergehende Möglichkeiten, die du nutzen kannst. Das hatte ich hier auch schon beschrieben.

    Thread-Starter Carsten Lippert

    (@falconcrest)

    @hage, @pixolin

    Vielen Dank!

Ansicht von 10 Antworten – 1 bis 10 (von insgesamt 10)
  • Das Thema „Subresource integrity feature“ ist für neue Antworten geschlossen.