454460 M

Kurze URLs: Ein gefährlicher Segen?

Das ist ein überarbeiteter Artikel aua dem Jahr 2008.

Einleitung

Im Zuge meiner ersten Erfahrungen mit Twitter habe ich mich 2008 vermehrt mit kurzen URLs und den dahinter stehenden Diensten befasst. Daraus ist einer meiner ersten Blogartikel entstanden, in dem ich mich kritisch mit dieser Technologie auseinandersetze. Die grundsätzlichen Bedenken sind bis heute gültig. Ich habe lediglich einige Aussagen an die heutige Zeit angepasst.

Es gibt verschiedene Anbieter, die die Möglichkeit bieten, normale, lange URLs zu kürzen und durch ein Format zu ersetzen, das ungefähr so aussieht: http://anbieter/code. anbieter ist dabei die Domain des Anbieters des Services, und der code steht für den codierten URL der Website. Diese Daten werden verknüpft mit dem richtigen URL in einer Datenbank gespeichert, so dass beim Aufruf des gekürzten URLs der richtige URL aufgerufen werden kann. Insbesondere bei Microblogsystemen wie Twitter sind kurze URLs sehr verbreitet, da man bei diesen Systemen nur wenige Zeichen zur Verfügung hat. 2008, als dieser Artikel zum ersten Mal erschien, waren es 140 Zeichen. Heute, im Jahr 2020, sind es 280. Im Laufe der Zeit entstanden weitere teils freie und verteilte Microblogsysteme, wie <a href=”https://gnu.io/social/”>GnuSocial</a> und <a href=”https://joinmastodon.org/”>Mastodon</a>, die noch mehr Zeichen pro Beitrag erlauben. Aber mehr als 500 Zeichen sind es selten. Da bietet es sich an, stattdessen auf eine Webseite zu verweisen und dafür eine kurze URL zu verwenden.

Kurze URLs: Wo liegt das Problem?

So weit, so gut. Aber kurze URLs haben auch ihre Schattenseiten. So finden Sie mittlerweile auch rege Verwendung in Diensten, die keine Zeichenbegrenzung haben, oder gar auf normalen Websites. Das bringt große Nachteile mit sich, die ich an dieser Stelle diskutieren möchte.

  • Was passiert, wenn einer der Anbieter seinen Dienst plötzlich dichtmacht? Die Folge wäre, dass mittlerweile sicherlich hunderttausende oder mehr darüber generierte und in Diensten wie Twitter oder gar auf normalen Webseiten verwendete URLs plötzlich ins Nirvana weisen würden. Einen Vorgeschmack auf einen derartigen Super-GAU konnte man bereits Ende 2008 bekommen, als einer der Anbieter offenbar eine Zeit lang keine gültigen URLs produzieren konnte. In diesem Fall waren aber immerhin die bereits generierten URLs noch gültig. Unvorstellbar jedoch, wenn plötzlich alle URLs eines Anbieters ungültig wären. Selbst ein temporärer Ausfall der Datenbank wäre höchst unangenehm, denn damit würden die meisten Informationen, die in Microblogs wie Twitter veröffentlicht wurden, plötzlich komplett wertlos. Schlimmer noch: Alle Websites, die diesen Dienst verwenden, hätten nur noch Links, die ins Leere laufen würden.
  • Für denjenigen, der eine Website über einen kurzen URL besucht, ist aber eine andere Gefahr noch viel größer. Man sieht nämlich nicht, was hinter dem kurzen URL steckt. Der richtige URLs bleibt ihm verborgen, bis er den kurzen URL und somit auch den richtigen URL aufgerufen hat. Woher soll aber eine Besucherin wissen, ob sie dem Poster einer kurzen URL oder der Website, die dahinter steckt, vertrauen kann? Auf der Website könnte sich statt des angekündigten Inhalts Malware oder auch illegaler Content befinden. Ohne Frage, die Nutzungsbedingungen der Anbieter der Kurz-URLs schließen eine derart schädliche Nutzung ihres in der Regel kostenfreien Dienstes natürlich unter Androhung von Sanktionen aus, und sie sind bemüht, schädliche URLs auch wieder aus ihren Datenbanken zu entfernen. Aber es ist davon auszugehen, dass das nicht in allen Fällen und auch nicht immer sofort gelingt. Wenn dann so ein schädlicher URL auch nur wenige Stunden gültig ist und von vielen Menschen aufgerufen wird, kann er erhebliche Schäden anrichten.
  • Last but not least können sich diese kurzen URLs auch negativ auf die Off-Page-Suchmaschinenoptimierung einer Seite auswirken, wenn sie auf normalen Webseiten verwendet werden. Denn wenn eine kurze URL verwendet wird, können Suchmaschinen nicht mehr erkennen, welche Website eigentlich verlinkt wurde. Von solchen Verlinkungen profitiert der Besitzer der verlinkten Website nicht so wie beinen direkten Link auf seine Seite. Zwar erhält auch er einen Link durch den Anbieter, aber der ist nirgends direkt abrufbar, so dass Suchmaschinen ihn nicht finden können. Aber selbst wenn diese Links von Suchmaschinen gefunden würden, würde der ursprüngliche Kontext, in dem sie gesetzt wurden, verloren gehen. Insbesondere der Kontext einer Verlinkung ist jedoch ein Kriterium, das aus der SEO-Perspektive eine große Rolle spielt. Das gilt übrigens auch für Microblogs, die ebenfalls von Suchmaschinen erfaßt werden.

Was folgt daraus?

Angesichts dieser Probleme sollte man mit dem Einsatz von kurzen URLs insbesondere auf Websites, aber auch in Diensten wie Twitter vorsichtig sein und eine kurze URL nur dann wählen, wenn der Platz wirklich nicht ausreicht. User sollten kurze URLs nur anklicken, wenn sie dem Poster einer kurzen URL wirklich vertrauen. Beim Bloggen sollten Sie auf kurze URLs möglichst komplett verzichten. In der Regel ist das problemlos möglich.

WordPress-Sicherheit

Auch beim Bloggen nicht vergessen: Wählen Sie sichere Passwörter!

Es gibt zahlreiche Plugins, die helfen sollen, WordPress sicherer zu machen, und die auch vielfach eingesetzt werden. Auch sichere Passwörter sind dabei ein Thema. Auf der anderen Seite werden aber oft die grundlegendsten Regeln zur Absicherung eines WordPress-Blogs nicht beachtet. Dazu gehört ohne Frage auch die Wahl von sicheren Passwörtern. Stattdessen finden sich auch bei Blogs, die sonst bis auf die Zähne bewaffnet sind, um Angreifer abzuwehren, Admin-Passwörter, die jeder Beschreibung spotten. Ich möchte daher in diesem Beitrag darlegen, wie Sie ein sicheres Passwort für Ihren WordPress-Account finden. Diese Ratschläge sollten Sie aber nicht nur bei selbst gehosteten WordPress-Blogs ernst nehmen, sondern auch bei Blogs, die auf wordpress.com liegen, und bei allen anderen Passwörtern, die Sie im Netz verwenden! Continue reading “Auch beim Bloggen nicht vergessen: Wählen Sie sichere Passwörter!”

WordPress-Sicherheit

Warum WordPress-Sicherheit wichtig ist

Sicherheit und WordPress-Sicherheit im Speziellen wird in der IT oft vernachlässigt. Ausgaben für IT-Sicherheit gelten als nicht rentabel, weil sie nicht sichtbar zum Umsatz und Gewinn eines Unternehmens beisteuern. Erst wenn aufgrund mangelnder Sicherheitsvorkehrungen ein Schaden entstanden ist, der nicht selten wesentlich höher ist als die Ausgaben, die für die Absicherung von Systemen nötig gewesen wären, erfolgt ein Umdenken – insofern es dann nicht schon zu spät ist.

Betreiber von WordPress-Blogs und -Websites bilden da keine Ausnahme. Viele WordPress-Installationen sind nicht auf dem neuesten Stand. Updates von Plugins und Themes werden vernachlässigt. Hinzu kommt nicht selten ein veraltetes oder gar völlig fehlendes Backup. In einigen Fällen findet man auch eine unsichere Konfiguration oder mangelnde Wartung des Servers vor, auf dem das WordPress gehostet wird.

Diese Versäumnisse können natürlich vor allem für Unternehmen, deren Firmenwebsite, -blog oder gar ein Webshop auf WordPress-Basis laufen, desaströse Folgen haben. Neben den Umsatzeinbußen durch den Ausfall der Website drohen im ungünstigsten Fall ein totaler Datenverlust und manchmal sogar rechtliche Konsequenzen für den Fall, dass eine Sicherheitslücke ausgenutzt wird, um Straftaten zu begehen. Aber auch Blogger, die ein nicht-kommerzielles Blog betreiben, droht hier mindestens sehr viel Arbeit oder hohe Ausgaben für die Wiederherstellung ihres Blogs – insofern das überhaupt noch möglich ist.

Wenn Sie jetzt denken “Ach, mein Blog ist doch viel zu klein und unbedeutend, da passiert schon nichts!”, so liegen Sie falsch. Auch Betreiber kleinerer, scheinbar unbedeutender WordPress-Blogs können sich nicht in Sicherheit wiegen. Meiner Erfahrung nach spielt die Bekanntheit eines Blogs keine Rolle für die Wahrscheinlichkeit eines Einbruchsversuchs.

Auf der anderen Seite ist es natürlich verständlich, dass Sie die sichere Wartung Ihres WordPress möglicherweise nicht selbst leisten können, etwa weil Ihnen die Zeit fehlt oder Sie sich nicht so einarbeiten können, wie es für eine sichere Wartung nötig wäre. In so einem Fall sollten Sie die Wartung Ihres WordPress aber nicht einfach vernachlässigen, sondern jemanden damit beauftragen, der sich die Zeit nimmt und das Knowhow mitbringt. Ich unterstütze Sie gern dabei und mache Ihnen ein faires individuelles Angebot. Nehmen Sie mit mir Kontakt auf.