Op zaterdagochtend me toch even afgevraagd, waarom ik weer als keynotespreker had toegezegd om het WordPress event Wordcamp Antwerp te openen. 😉
De slides van mijn presentatie rond GDPR en WordPress staan ondertussen op Slideshare, maar dan zonder veel context. Dus daarom 1 van de topics even uitschrijven als eye-opener.
GDPR gaat over de bescherming van persoonlijke data van je klanten, werknemers,… En laat nu WordPress websites 1 van de toegangspoorten zijn van persoonlijke data naar jou.
Gravityforms als formbuilder
Gravityforms is 1 van de meest gebruikte plugins voor het toevoegen van forms aan een WordPress website.
Zo worden deze formulieren gebruikt voor contactformulieren, maar ook bijvoorbeeld sollicitatieformulieren.
En laat daar nu net de problemen beginnen, zonder dat iemand het door heeft… 🙈
Knew it already, but again an eye opener: Gravity Forms upload folder is indexed by default by Google #WCANT pic.twitter.com/A0fE9PS1ii
— That’s Mrs. Mo to you. (@mdubbelm) March 3, 2018
Zoek maar eens in Google op volgende zoekresultaten en sta versteld wat Google allemaal heeft geîndexeerd:
“inurl:uploads/gravity_forms filetype:pdf”
Hoe los ik dit nu ook op?
Heb je net opgemerkt dat je dus een GDPR datalek veroorzaakt met je WordPress website, dan moet je dus dringend aan de slag gaan:
- Ga een noindex op de Gravityforms uploadformulier zetten (via .htaccess)
- Ga via de Google Search Console zo snel mogelijk die geïndexeerde folder uit de Google zoekresultaten halen.
Enja als er dus een mogelijk groot privacyrisico is geweest door de indexatie van gevoelige documenten, zal je in de GDPR wetgeving een zogenaamde datalekmeldingen moeten gaan doen.
Wijze les: controleer geregeld de Google zoekresultaten op je stagingdomeinen, upload-folders,…
Update
Met dank aan deze tweet weet ik nu dat de nieuwe Gravity Forms versie zelf een oplossing heeft door de nodige .htaccess bestanden in de uploadsfolders.
Gravity Forms 2.3 adds a noindex flag to the htaccess files of all your Gravity Forms uploads folders.
The htaccess files are refreshed once a day, so it will be applied to existing uploads folders as well as new ones.
— Travis Lopes (@travislopes) March 3, 2018
This is a bug in the web server configuration. Directory listing should not be enabled in production. The owner of such site should go to their hosting control panel and disable the directory listing. Another way to fix would be to add empty index.php files to all directories, but that involves using FTP.
Zie ook deze blogpost: https://mattrad.uk/wordpress-data-collection/