Ein kleiner politischer Skandal brach gestern in Grossbritannien aus, als ein Budgetbericht der britischen Regierung früher als geplant durchsickerte. Die in der regelmässigen Veröffentlichung enthaltenen Details werden üblicherweise im Voraus geheim gehalten, weil sie dramatische Veränderungen auf den nationalen und internationalen Märkten auslösen können.
Das Problem scheint durch ein Missverständnis darüber verursacht worden zu sein, wie sicher die in WordPress gespeicherten Dateien sind. WordPress ist im Kern für einfache inhalts- und artikelgesteuerte Websites konzipiert, aber seine Funktionen können bei Bedarf durch Plugins oder eigene Entwicklungen erweitert werden. Das ist eine der grossen Stärken von WordPress als Content Management System: Website-Experten können die Grundfunktionen praktisch ohne Einschränkungen erweitern.
Wenn du Dateien zu einem bestimmten Zeitpunkt veröffentlichen oder den Zugang zu bestimmten Inhalten einschränken musst, muss die Website technisch erweitert werden, um diese Anforderungen zu erfüllen.
Die Standardzeitplanung, die Autoren und Inhaltsredakteuren für Artikel und Seiten zur Verfügung steht, gilt nicht für Dateien, es sei denn, diese Funktion wurde ausdrücklich implementiert.
In diesem Fall war eine im März 2025 hochgeladene Datei über den Standard-WordPress-Downloadpfad verfügbar – zum Beispiel /wp-content/uploads/Maerz_2025.pdf. So war es leicht, den Namen des aktualisierten Berichts zu erraten und ihn herunterzuladen, indem man den Monat in der URL einfach in «November» änderte… und genau das hat ein Journalist erreicht.
Technische Sicherheitsvorkehrungen sollten sich nie auf das Wissen eines Content Managers verlassen. Von Autoren und Redakteuren darf nicht erwartet werden, dass sie die detaillierte Technik einer Website verstehen. Stattdessen muss ein erfahrener Berater oder eine Webagentur wie Say Hello dafür sorgen, dass geeignete Sicherheitsfunktionen richtig implementiert werden.
Wenn du Inhalte zu einer bestimmten Zeit veröffentlichen oder den Zugang auf bestimmte Nutzer/innen beschränken musst, muss die Website technisch erweitert werden, um diese Anforderungen zu erfüllen.
Ich habe solche Schutzmassnahmen schon oft implementiert, unter anderem für einen lokalen Verlag, dessen technische Artikel und herunterladbare PDFs nur für registrierte Benutzer zugänglich sein dürfen.
Um einen sicheren Zugriff zu gewährleisten, blockiert meine Lösung alle direkten PDF-Anfragen und leitet sie durch ein Skript, das den Login-Status des Nutzers überprüft und gegebenenfalls den Zugriff verweigert. Durch die Entwicklung einer massgeschneiderten (aber eher kostengünstigen) Lösung konnten wir sicherstellen, dass die Inhalte nicht von unbefugten Besuchern abgegriffen werden können.
Wenn du den Zugriff auf Dokumente auf deiner WordPress-Website einschränken musst – einschliesslich PDFs, Bilder oder andere Medien – kannst du dich gerne mit mir in Verbindung setzen, um zu besprechen, wie wir deine Sicherheitsanforderungen erfüllen können.
