FastWP

WordPress. Performance.

Wie ihr den SVG Upload in WordPress aktiviert und warum WordPress selbigen derzeit verbietet.


Auf Facebook teilen
Wordpress SVG Upload aktivieren

Es ist gar nicht so schwer, den SVG Upload in WordPress via Snippet zu aktivieren, aber ist es auch wirklich so clever dies zu tun?

SVG Upload in WordPress

Letzte Woche habe ich euch in einem Artikel gezeigt, wie ihr SVG-Dateien optimieren und perfektionieren könnt, um den unnötigen Ballast des Formats loszuwerden. Zur Erinnerung: Eine SVG ist eine skalierbare Datei, die auf XML basiert. Der Vorteil ist, dass SVG-Dateien in jeder Größe ihre Qualität behalten, also wirklich skalieren. Doch WordPress erlaubt keine SVG Uploads innerhalb des Mediathek und das hat einen guten Grund. Auf diesen komme ich aber später noch einmal zurück, denn zunächst möchte ich nun den Weg zeigen, wie der SVG Upload in WordPress aktiviert werden kann. Anschließend sprechen ich dann noch einmal über Sicherheitsrisiken, Probleme und warum das vielleicht doch keine so gute Idee ist bzw. warum WordPress den SVG Upload immer noch nicht erlaubt.

WordPress SVG Uploads per Snippet

Vorab sei schon einmal gesagt, dass viele Wege existieren, den SVG Upload in WordPress zu aktivieren. Es sei aber auch gesagt, dass fast jeder dieser Wege schon einmal versagte, beispielsweise bei einem Update von WordPress. Auch das letzte Update von WordPress hat bisherige Snippets zunichte gemacht. Was sagt uns das nun? Entweder ein Plugin nutzen, welches solche Probleme schnell erkennt und automatisch fixt, oder selbst aufpassen, um nicht plötzlich vor Fehlermeldungen zu stehen. Im Grunde braucht es aber nur wenige Zeilen Code, um den SVG Upload in WordPress zu aktivieren. Genau genommen sind es folgende Zeilen.

function add_svg_to_upload_mimes($upload_mimes)
	{
	$upload_mimes['svg'] = 'image/svg+xml';
	$upload_mimes['svgz'] = 'image/svg+xml';
	return $upload_mimes;
	}
add_filter('upload_mimes', 'add_svg_to_upload_mimes');

Seit dem letzten Update versagt dieser weg nun aber, weshalb er nur noch mit ungefilterten Uploads funktioniert. Das wiederum setzt voraus, dass ihr keine Probleme mit selbigen habt und keine Nutzer, denen ihr nicht voll und ganz beim Thema SVG Upload vertraut. Ob ihr selbigen wirklich aktivieren wollt, bleibt euch überlassen, denn selbstverständlich besteht so auch ein potenzielles Sicherheitsrisiko. So oder so, braucht es derzeit noch die folgende Zeile.

define('ALLOW_UNFILTERED_UPLOADS', true);

Nun gibt es neben der schnellen Lösung oben, noch mehrere Tickets und Workarounds bezüglich SVG Uploads in WordPress, denn natürlich war der Aufschrei nach dem letzten Update groß, als bei vielen die SVG-Dateien auf einmal nicht mehr funktionierten. Das mag berechtigt sein oder nicht, jedenfalls wird SVG in WordPress noch nicht offiziell unterstützt und dementsprechend ist es immer heikel es einfach auf eigenes Risiko zu erlauben. Das liegt daran, dass SVG ein XML-Dateiformat ist und dementsprechend unfassbar viel Potenzial für mögliche Sicherheitslücken besitzt. Nahezu unendlich, möchte ich sagen, um euch das wirklich deutlich zu machen. Eine SVG-Datei kann ausführbare Scripte und vieles mehr enthalten, also all den Kram, den ihr von eurem Blog lieber fernhalten solltet. Überlegt deshalb lieber dreimal, ob ihr den SVG Upload in WordPress aktivieren wollt.

SVG-Dateien sind extrem unsicher

Weil SVG nun also extrem unsicher ist, fehlt es bislang auch noch an einem offiziellen Support in WordPress. In den verschiedenen Bereichen der Entwicklung wurde natürlich schon vor sehr langer Zeit darüber gesprochen und diskutiert, jedoch müssten verschiedene Sicherheitschecks implementiert werden, um SVG-Dateien in einem Mainstream CMS wie WordPress zu erlauben. Schließlich versteht nicht jeder die Hintergründe und WordPress ist unter anderem deshalb so beliebt, weil es einfach anwendbar und extrem leicht zu bedienen ist. Wären nun SVG Uploads in WordPress erlaubt, würde es keine Woche dauern, ehe unendlich verseuchte SVG-Dateien in den Umlauf kommen. Dementsprechend muss, wenn der SVG Upload in WordPress erlaubt wird, entsprechend umfangreich darüber nachgedacht werden, das ganze so sicher wie möglich zu gestalten. Sie werden kommen, irgendwann einmal, nur eben nicht einfach so.

WordPress und SVG Uploads

Wer SVG Uploads in WordPress unbedingt verwenden möchte, sollte sie trotzdem nicht mit einem Snippet freischalten. Es existiert derzeit ein relativ gutes, aber auch kein perfektes, SVG Plugin für WordPress, welches die entsprechenden Dateien zumindest durch den SVG Sanitizer leitet. Doch auch das wird nicht als Lösung gesehen, sondern lediglich als ein mögliches Konzept wie in der Plugin-Beschreibung auch deutlich angegeben wird. SVG-Dateien in WordPress zu nutzen mag also verlockend sein, sollte zum jetzigen Zeitpunkt aber vermieden werden. Selbst wenn ihr euch auskennt, gibt es unzählige Risikofaktoren bezüglich SVG Uploads.


Auf Facebook teilen

Kommentare

  1. Detlef sagt:

    Ich fand es auch nicht angenehm, daß ich die SVG’s nicht mehr laden konnte, aber wenn schon Bedenken wegen der Sicherheit existieren sollte man nicht versuchen dies zu umgehen.
    Ich lade meine (geprüften) SVG’s die ich benötige direkt in den Uploads-Ordner. Die Medienübersicht zeigt sie mir dann nicht an, aber dies ist mir egal.
    Gruß

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Um offensichtlichen Spam zuverlässig herauszufiltern, werden die Kommentare händisch moderiert, erscheinen also erst nach manueller Freischaltung und einer kurzen Wartezeit.