Afgelopen week was ik mijn website aan het testen met de Firefox developer toolbar open om te kijken of er geen problemen zijn. Ik doe dit vooral om te bepalen of mijn security headers nog juist ingesteld zijn.
Met 20 plugins verandert er wekelijks wel iets omdat ik de updates dagelijks installeer. In het verleden heb ik mijn content security headers aan moeten passen zodat blogs van Yoast weer werden ingeladen op de wp-admin dashboard pagina.
Tijdens deze controleronde zag ik dat op de pagina waar ik blogs schrijf geprobeerd werd het bestand “https://fast.wistia.com/assets/external/E-v1.js” in te laden. Door mijn strenge content security policy (CSP) regels werd dit geblokkeerd. Om zeker te zijn dat het geen bestand met kwade bedoelingen is heb ik het verder uitgezocht.
Wat is Wistia.com?
Dit bedrijf heeft video marketing software ontwikkeld zodat je professionele video’s kan maken. Het wordt onder andere gebruikt door Mailchimp, MoZ en Zendsk.
Wie gebruikt Wistia.com binnen WordPress?
Op mijn website wordt dit gebruikt door de plugins WP Smush en WP Rocket. Uit een korte analyse van de PHP code blijkt dat Wistia.com gebruikt wordt voor het vertonen van video tutorials (video handleidingen). Hierin wordt uitgelegd hoe de plugins werken. Deze worden getoond op de dashboard pagina’s van de plugins. Je kan het vergelijken met het inladen van een video van Youtube.
Is het Wistia.com Javascript bestand schadelijk?
Nee, zover mij bekend niet. Maar gebruik je voor jouw eigen website geen Wistia.com dan kan je het ook blokkeren met Content Security Headers. WordPress werkt dan nog steeds.