Wklejasz link YouTube do wpisu WordPress i jakby za dotknięciem czarodziejskiej różdżki zamienia się on w osadzony odtwarzacz wideo. Bez iframe do skopiowania, bez HTML do edycji — po prostu URL staje się bogatym multimediami. Ta magia nazywa się oEmbed, otwarty protokół wbudowany w WordPress od wersji 2.9 (2009). Jest wygodny, niemal niewidoczny i — w zależności od Twojej perspektywy — albo użyteczną funkcją, albo problemem prywatności i bezpieczeństwa, którego należy być świadomym.
Jak protokół działa pod maską
Gdy wklejasz URL w edytorze blokowym WordPress, nie owija go po prostu w iframe i nie liczy na najlepsze. Proces ma trzy odrębne etapy:
- Wyszukiwanie dostawcy — WordPress dopasowuje URL do stałej listy zaufanych dostawców oEmbed (YouTube, Vimeo, Twitter, Spotify itp.). Jeśli URL pasuje do znanego dostawcy, WordPress wie, gdzie zażądać kodu osadzenia.
- Żądanie API — WordPress wysyła żądanie HTTP do endpointu oEmbed dostawcy, przekazując URL i pożądane wymiary osadzenia. Dla filmu YouTube na przykład odpytuje coś w stylu
https://www.youtube.com/oembed?url=...&format=json. - Renderowanie osadzenia — Dostawca odpowiada JSON-em zawierającym HTML osadzenia (zwykle iframe), tytuł, URL miniatury i metadane takie jak nazwa autora. WordPress zapisuje tę odpowiedź w cache i renderuje osadzenie w Twoim wpisie.
Jeśli URL nie pasuje do znanego dostawcy, WordPress może też spróbować oEmbed discovery — pobiera docelowy URL i szuka tagu <link type="application/json+oembed"> w HTML, który wskazuje na endpoint oEmbed. Pozwala to mniej znanym usługom oferować osadzenia bez bycia na liście dozwolonych WordPress.
Które usługi są obsługiwane?
WordPress jest dostarczany z wbudowaną obsługą długiej listy dostawców. Najczęściej używane to:
- Wideo: YouTube, Vimeo, Dailymotion, VideoPress, TikTok
- Audio: Spotify, SoundCloud, Mixcloud
- Społecznościowe: Twitter/X, Instagram, Reddit, Tumblr, Bluesky
- Obrazy: Flickr, Imgur, SmugMug
- Inne: wpisy WordPress.com, Speaker Deck, Crowdsignal, Pocket Casts
Wtyczki mogą dodawać kolejnych dostawców, a WordPress pozwala również rejestrować niestandardowych dostawców oEmbed za pomocą funkcji wp_oembed_add_provider().
WordPress jako dostawca oEmbed
Oto część, którą wiele osób przeocza: WordPress nie tylko konsumuje oEmbed — sam też pełni rolę dostawcy. Domyślnie każda witryna WordPress udostępnia endpoint oEmbed pod /wp-json/oembed/1.0/embed i dodaje link discovery do każdej strony:
<link rel="alternate" type="application/json+oembed"
href="https://example.com/wp-json/oembed/1.0/embed?url=..." />Oznacza to, że inne witryny WordPress (lub każda aplikacja świadoma oEmbed) mogą osadzać Twoje wpisy, po prostu wklejając URL. Osadzona zapowiedź zawiera tytuł wpisu, fragment, nazwę witryny i autora — co prowadzi nas do strony bezpieczeństwa i prywatności.
Konsekwencje bezpieczeństwa i prywatności
Funkcjonalność dostawcy oEmbed ma kilka aspektów wartych rozważenia:
- Ujawnienie informacji — Endpoint oEmbed zwraca tytuły wpisów, fragmenty, wyświetlane nazwy autorów i metadane witryny każdemu, kto go odpyta. Nie musisz być zalogowany. Może to być problemem, jeśli publikujesz treści, w których tożsamość autora nie powinna być publiczna, lub jeśli chcesz zminimalizować informacje ujawniane przez Twoją witrynę.
- Potencjał SSRF — Gdy WordPress pobiera dane oEmbed dla URL-i wklejonych w edytorze, wykonuje wychodzące żądania HTTP. Teoretycznie spreparowany URL mógłby próbować to wykorzystać do Server-Side Request Forgery, gdzie WordPress odpytuje wewnętrzne zasoby. WordPress ma zabezpieczenia przeciwko temu, ale powierzchnia ataku istnieje.
- Ładowanie zasobów firm trzecich — Każda osadzona usługa ładuje własne skrypty, arkusze stylów i mechanizmy śledzenia z zewnętrznych serwerów. Osadzenie YouTube ładuje skrypty śledzące Google. Osadzenie Twittera ładuje skrypty X. Każde z nich tworzy żądania firm trzecich istotne dla zgodności z GDPR i może wpływać na wydajność strony.
- Powierzchnia REST API — Endpoint oEmbed jest częścią REST API WordPress. Jeśli próbujesz zminimalizować liczbę publicznie dostępnych endpointów API na swojej witrynie (typowy środek bezpieczeństwa), discovery oEmbed dokłada się do tej powierzchni.
Wyłączanie funkcjonalności dostawcy oEmbed
Jeśli nie chcesz, aby inne witryny osadzały Twoje treści, lub chcesz zmniejszyć ujawnianie informacji przez Twoją witrynę, możesz wyłączyć stronę dostawcy bez utraty możliwości osadzania treści zewnętrznych we własnych wpisach:
// Usuń linki discovery oEmbed z head HTML
remove_action('wp_head', 'wp_oembed_add_discovery_links');
// Usuń JavaScript specyficzny dla oEmbed z frontendu
remove_action('wp_head', 'wp_oembed_add_host_js');
// Wyłącz trasę REST API oEmbed
add_filter('embed_oembed_discover', '__return_false');Jeśli chcesz również uniemożliwić WordPressowi pobieranie danych oEmbed dla wklejanych URL-i (np. aby całkowicie uniknąć wychodzących żądań), możesz usunąć filtr oEmbed z treści:
remove_filter('pre_oembed_result', 'wp_filter_pre_oembed_result');Aspekt GDPR
Z perspektywy ochrony danych osadzenia oEmbed są w zasadzie ładowaniem treści firm trzecich. Gdy odwiedzający ogląda stronę z osadzeniem YouTube, jego przeglądarka wykonuje żądania do serwerów Google — przekazując adres IP, cookies i dane przeglądarki. Zgodnie z GDPR może to wymagać uprzedniej zgody.
Kilka wtyczek WordPress rozwiązuje ten problem przez leniwe ładowanie osadzeń za kliknięciem zgody (odwiedzający widzi placeholder i musi kliknąć, aby załadować rzeczywiste osadzenie). To powszechne podejście na rynku niemieckojęzycznym, gdzie egzekwowanie GDPR jest szczególnie rygorystyczne.
Jak InspectWP pomaga
InspectWP sprawdza, czy Twoja witryna WordPress ma włączone oEmbed discovery, szukając tagu link oEmbed w HTML Twojej strony. Jeśli jest obecny, a nie zamierzałeś udostępniać swojej treści do osadzania na innych witrynach, raport informuje Cię o tym, abyś mógł zdecydować, czy chcesz to wyłączyć.