Wusstet ihr, dass ihr ganz ohne Zugangsdaten (WordPress, FTP und Hoster) mit den Entwicklertools der Browser einiges auf Eurer Website überprüfen könnt? So z. B. wie aktuell Eure Systeme laufen, ob ihr rechtlich so gut wie nichts zu befürchten habt und ob die Suchmaschinen Euch lieben?
In diesem Beitrag möchte ich Euch zeigen, was ich wie nutze und gebe Euch auch einen kleinen Einblick, wie „Fremde“ Eure Website checken können, ohne dass ihr davon was mitbekommt.
Browser Tools – Entwicklerwerkzeug
Dazu geht ihr auf Eure Website und drückt die rechte Mousetaste (Windows).
Sowohl Firefox als auch in Chrome heißt der Punkt „Untersuchen“. Danach öffnet sich in Firefox ein neues Fenster „Entwicklerwerkzeug“ und in Chrome die „DevTools“.
Ich arbeite hauptsächlich mit Firefox, daher werde ich die meisten Checks über die Firefox Entwicklerwerkzeuge machen. Allerdings hat Chrome mit seinem Lighthouse auch ein recht gutes Tool, um das ganze Thema SEO zu durchleuchten. Dazu aber später.
Achtung, an manchen Stellen geht es um das Thema Datenschutz, Cookie, DSGVO usw.
Alles, was ich dazu schreibe, habe ich mir über die letzten Jahre angelesen, erhebt aber keinen Anspruch auf Aktualität und ersetzt auch keine Rechtsberatung (die ich btw. ja auch gar nicht geben darf).
Sprich, ich übernehme für meine Empfehlungen keine Haftung.
Wichtig bei den ganzen Checks ist, dass ihr die Cookie-Banner nicht wegklickt und auch alle Add-ons (wie z. B. Ghostery) deaktiviert, die z. B. Tracker oder Werbung blocken.
Ihr wollt ja ein realistisches Abbild Eurer Website haben, so wie ihn Eure Besucher*innen auch haben, wenn sie auf Eurer Website landen.
WordPress Version
Die meisten werden diese Ausgabe der Versionsnummer im Quelltext nicht blockieren. Ihr könnt in den Firefox Entwicklerwerkzeugen → Inspektor oben im Suchfeld „WordPress“ eingeben.
Wenn die Zeile
<meta name="generator" content="WordPress 6.2.2">gezeigt wird, dann seht ihr, welche WordPress Version aktiv ist und ob die Website up to date ist.
Stand 09.08.2023 ist WordPress 6.3 die zuletzt verfügbare WordPress Version.
Wenn also hier noch nicht geschehen, dann hopp-hopp. Gerade die kleinen Versionssprünge schließen Sicherheitslücken.
(Tipp am Rande zur Update-Reihenfolge: Erst Plugins, dann Themes und dann WordPress.)
Links zu externen Websites
Als Erstes checke ich unter Firefox → Netzwerkanalyse, welche URLs aufgerufen werden.
Es sollten unter der Spalte „Host“ keine externen Links zu sehen sein. Wenn doch, dann sind diese einzeln zu überprüfen.
Hier ein paar Host Beispiele und Erklärungen woher sie kommen und welches Plugin dafür verantwortlich ist:
- c0.wp.com
Gehört zu Jetpack und ist datenschutzrechtlich problematisch, sollte daher nicht eingesetzt werden. Je nachdem, welche Funktionen verwendet werden, gibt es mit Sicherheit eine datenschutzkonforme Alternative. - pixel.wp.com
Gehört ebenfalls zu Jetpack und kümmert sich um die Statistik. Wie oben bereits geschrieben: Datenschutzkonform ist das nicht und für einfache Statistiken, die innerhalb Eurer Website laufen, ohne Daten herauszuschleudern, gibt es einige bessere Alternativen. - fonts.googleapis.com
Ein eindeutiges Zeichen, dass Google Schriften vom Google Server gezogen werden.
Seit dem Urteil im Frühjahr 2022 und den (m. E. haltlosen) Abmahnung zur externen Einbindung von Google Schriften, sollten diese lokal installiert werden. - maps.googleapis.com
Damit wird Google Maps (Karte) in Eurer Seite dargestellt.
Im Grunde nichts Verwerfliches. Allerdings sollte dieser Host erst erscheinen, wenn ich als Besucherin der Website der Anzeige der Google Karte aktiv via Consent Tool (wie z.B. Borlabs Cookie-Banner) zugestimmt habe. - google-analytics.com // googletagmanger.com
Das dürfte fast selbsterklärend sein. Das kommt von Google Analytics oder dem Google Tagmanager und sollte auch erst in der Liste der Hosts erscheinen, wenn die Besucherin/der Besucher diesem aktiv zugestimmt hat.
Hinweis am Rande: Auch Google Analytics lässt sich DSGVO-konform nutzen. Meine Erfahrung ist allerdings, dass die meisten dieses mächtige Statistik-Tool gar nicht voll ausschöpfen und ein einfaches lokal installiertes Statistik Plugin vollkommen ausreichend ist, um zu sehen, welche Seiten wie oft aufgerufen werden und woher die Besucher*innen kommen. - google.com
Hier müsst ihr noch einen Blick in die Adress-Spalte werfen, um genauer zu erfahren, warum dieser Host hier gelistet wird.
Das kann z.B. das ReCaptcha von Google sein, das für Formulare verwendet wird. - gstatic.com
Das hier ist eindeutig das ReCaptcha von Google.
Diese Liste ist auf keinen Fall vollständig. Ich werde aber versuchen, von Zeit zu Zeit, diese zu ergänzen.
Cookies
In Firefox könnt ihr unter Entwicklerwerkzeuge → Web-Speicher und hier unter Cookies sehen, welche Cookies gesetzt werden.
Alles was mit „wordpress“ oder „wp-“ gelistet wird, ist ok (und essenziell). Diese Cookies werden gesetzt, wenn ihr euch ins Backend eurer WordPress Website eingeloggt habt.
Darüber hinaus gibt es noch folgende Beispiele:
- _ga, _gat_gtag, _ga, _gid
Diese Cookies gehören alle zu Google Analytics und dem Google Tagmanager und sollten erst gesetzt werden, wenn Eure Besucher*innen diesem via Consent Tool zugestimmt haben. - tk_lr, tk_or, tk_r3d
Gehören alle zu Jetpack (das eh deinstalliert gehört).
Eine gute Übersicht über alle Cookies, die von Automattic (den WordPress Entwicklern, die auch für das Jetpack Plugin verantwortlich sind) gesetzt werden, findet ihr hier:
https://automattic.com/cookies/#analytics-and-performance - _GRECAPTCHA
Dieses Cookie wird von Google Recaptcha gesetzt.
Eine hilfreiche Website, um zu sehen, welche Cookies auf der Website gesetzt werden und eine entsprechende Erklärung dazu, findet ihr unter: https://cookie-script.com/
Mobile Ansichten
In den Firefox Entwicklerwerkzeugen gibt es rechts oben ein Icon, das zwei überlappende Rechtecke zeigt (sollen ein Smartphone und ein Tablet darstellen).
Wenn ihr das anklickt, könnt ihr sehen, ob sich die Website „responsive“ verhält.
Ob alle Abstände passen, die Schriften gut zu lesen sind. Nichts abgeschnitten wird oder der Cookie-Banner die Verlinkungen zu Impressum & Datenschutz verdeckt.
Ihr könnt in dieser Ansicht auch verschiedene Größen ausprobieren. Diese sind alle bereits hinterlegt.
Impressum & Datenschutz
Hat die Website ein aktuelles und vollständiges Impressum und eine vollständige Datenschutzerklärung? Sind diese einfach zu erreichen und eindeutig? Wenn ja, alles super.
Und, ganz wichtig: Werden diese auch nicht von irgendwelchen Pop-ups überlagert? Das passiert gerne in der Smartphone-Ansicht. Also unbedingt checken.
SEO & Performance
Hier wechsle ich zu Chrome. Chrome ist mit Lighthouse in den DevTools einfach viel umfänglicher, wenn es um SEO und Performance Berichte geht (sowohl für Desktop als auch Mobil).
Für Kolleginnen und Kollegen, die noch tiefer einsteigen möchte, kann ich wärmstens die Software WebSite Auditor empfehlen. Hiermit könnt ihr sehen, welche „verwaisten“ Seiten indexiert werden oder wo z. B. das Alt-Attribut bei den Bildern fehlt.
Fazit
Es ist schon erstaunlich, wie viel man von außen sehen kann, ohne jemals ins Backend der Website zu kommen. Und nichts anderes machen „Fremde“, die sowohl schauen möchten, was bei Euch so läuft, als auch wo eventuell Schwachstellen sind. Von den Suchmaschinen ganz abgesehen.
Diese Checks ersetzen bestimmt keine umfassende Website-Auditierung, gleichzeitig bieten sie aber einen guten Startpunkt für eine erste Überprüfung und Identifikation möglicher Bereiche, die Verbesserungen benötigen könnten.