Op zaterdagochtend me toch even afgevraagd, waarom ik weer als keynotespreker had toegezegd om het WordPress event Wordcamp Antwerp te openen. 😉

De slides van mijn presentatie rond GDPR en WordPress staan ondertussen op Slideshare, maar dan zonder veel context. Dus daarom 1 van de topics even uitschrijven als eye-opener.

GDPR gaat over de bescherming van persoonlijke data van je klanten, werknemers,… En laat nu WordPress websites 1 van de toegangspoorten zijn van persoonlijke data naar jou.

Gravityforms als formbuilder

Gravityforms is 1 van de meest gebruikte plugins voor het toevoegen van forms aan een WordPress website.
Zo worden deze formulieren gebruikt voor contactformulieren, maar ook bijvoorbeeld sollicitatieformulieren.

En laat daar nu net de problemen beginnen, zonder dat iemand het door heeft… 🙈

Zoek maar eens in Google op volgende zoekresultaten en sta versteld wat Google allemaal heeft geîndexeerd:

“inurl:uploads/gravity_forms filetype:pdf”

Hoe los ik dit nu ook op?

Heb je net opgemerkt dat je dus een GDPR datalek veroorzaakt met je WordPress website, dan moet je dus dringend aan de slag gaan:

  1. Ga een noindex op de Gravityforms uploadformulier zetten (via .htaccess)
  2. Ga via de Google Search Console zo snel mogelijk die geïndexeerde folder uit de Google zoekresultaten halen.

Enja als er dus een mogelijk groot privacyrisico is geweest door de indexatie van gevoelige documenten, zal je in de GDPR wetgeving een zogenaamde datalekmeldingen moeten gaan doen.

Wijze les: controleer geregeld de Google zoekresultaten op je stagingdomeinen, upload-folders,…

Update
Met dank aan deze tweet weet ik nu dat de nieuwe Gravity Forms versie zelf een oplossing heeft door de nodige .htaccess bestanden in de uploadsfolders.

blank

Marketing strateeg en docent (Thomas More/UHasselt). Sinds 2002 reeds techblogger. Marketing strateeg en privacy officer als freelancer en daarnaast ook gewoon papa thuis. Schrijf je in voor de Dailybits nieuwsbrief.

Abonneer
Abonneren op

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

2 Reacties
Oldest
Newest Most Voted
Inline Feedbacks
View all comments
Andrew
6 jaren geleden

This is a bug in the web server configuration. Directory listing should not be enabled in production. The owner of such site should go to their hosting control panel and disable the directory listing. Another way to fix would be to add empty index.php files to all directories, but that involves using FTP.

6 jaren geleden