Schon kurz nach Erscheinen von WordPress 3.8 (und nun haben wir schon 3.8.1!) wollte ich auf diesen Artikel von Wolfgang Wiese verlinken, der auf eine Datenschutzlücke im WordPress 3.8-Core hinweist: Die im Backend verwendete Schrift „Open Sans“ wird direkt von Google-Servern geladen. Und das ist ein Problem, weil Google…
dessen Kerngeschäft der Handel mit Metadaten […] ist, hier eine weitere “Tracking-Station” erhält: Der Zugriff des Users wird getrackt, wobei mindestens die Header-Daten des Connection-Requests übermittelt werden. Dazu gehören dann auch Cookies von der Google-Domain. Google erfährt hier, dass jemand […] eine Beziehung zur Site hat. Das ist das eine.
Google ist aber nicht nur auf dieser Website. Auch andere Websites nutzen Google Webfonts. […] Google [kann dadurch] sehen, wenn sich ein Account […] bei der einen Website anmeldet oder die andere Website schlicht nur aufruft. Ruft der Account letztendlich auch noch eine Website auf, bei der Google dann persönliche Daten mit diesem Account verbinden kann (z.B. Google Plus oder der Login bei YouTube), weiß die Firma auch, wer dann hinter dem Account steht.
Zum Glück ist die Lösung des Problems einfach: Disable Google Fonts installieren und aktivieren; damit wird das Laden der Schrift von Google unterbunden. Wem die nun in einer Fallback-Schriftart erscheinende WordPress-Administrationsoberfläche zu spartanisch ist, kann – danke für den Hinweis an Sergej Müllers WP Letter No. 88 – die Schriftart „Open Sans“ lokal installieren (und damit vom Computer aus laden).