Was ist die Subresource Integrity (SRI)?
Die Subresource-Integrität (SRI) schützt Ihre Website vor externen JavaScript-Bibliotheken – z.B. Jquery.com -, die in Content Delivery Networks (CDNs) wie Cloudflare gehostet werden, wenn sie zu bösartigen Zwecken verändert werden. Um dies zu erreichen, fügt SRI neben der src-URL (Quell-URL) eine sha384-Integritätsprüfsumme oder eine höhere Prüfsumme zum Vergleich ein.
Viele Webentwickler können einige Zeilen in ihrer .htaccess-Datei bearbeiten, um dies zu erreichen. Leider funktioniert dies bei WordPress-Websites aufgrund der Art und Weise, wie die Kernskripte kodiert sind, nicht. Es gibt derzeit ein Trac-Ticket bezüglich einer möglichen Implementierung.
Der einfachste Weg, SRI in WordPress zu implementieren, ist die Verwendung des Plugins Subresource Integrity (SRI) Manager.
Installieren des Subresource Integrity (SRI) Manager
Subresource Integrity (SRI) Manager ist ein Plugin, das sofort einsatzbereit ist. Sie können das Plugin manuell oder über WP-CLI (Plugin-Name wp-sri) installieren.
Scannen Sie Ihre Website unter observatory.mozilla.org. Bei Erfolg sehen Sie in den Testergebnissen Folgendes:
Bei Misserfolg wird diese Nachricht angezeigt:
Subresource Integrity (SRI) not implemented, but all external scripts are loaded over HTTPS
Ressourcen ausschließen
Wenn Ihre Website über Plugins oder Themes verfügt, die die WordPress-API verwenden, können Sie diese Ressourcen bei Bedarf ausschließen.
Wenn das von SRI Manager verursachte Problem dadurch nicht behoben wird, müssen Sie sich an den/die Entwickler des defekten Plugins oder Themes wenden, um weitere Unterstützung zu erhalten. Die Kontaktinformationen der Entwickler finden Sie auf der jeweiligen WordPress.org/plugins-Seite, indem Sie auf den Namen unter dem Plugin-Namen klicken.