Querdenkender Webworker mit WordPress-Affinität

WordPress Themes & Sicherheit

Das Wordcamp in Mailand ist vorbei und ich bin wirklich sehr zufrieden. Ich habe einigen Vorträgen beiwohnen dürfen, die außerordentlich interessant waren. Mein Dank gebührt vor allem Wolly, der das alles ganz großartig organisiert und der mich auch sehr herzlich aufgenommen hat. Mich hat neben der Themenvielfalt und den üblichen “Zeitgeist-Sachen” zudem die familiäre Atmosphäre beeindruckt, in der auch kleinere Projekten vorgestellt und sachlich diskutiert werden konnten. Besondere Aufmerksamkeit wurde übrigens der Sicherheit von WordPress geschenkt. Das ist ja auch in der deutschen Blogosphäre – nach der gerade erst abgeebbten Geschwindigkeitsdebatte – wieder ein Dauerbrenner.

Ich habe jetzt nicht vor, euch mit einer weiteren Liste zu langweilen, die aufzeigt, was man so machen kann (und auch sollte). Da gibt es schon einige empfehlenswerte Artikel, die ich euch gern ans Herz legen möchte: die Initiative: Mehr Sicherheit für WordPress durch den Schutz von WP-Admin von Sergej Müller, den Artikel WordPress – Sicherheit erhöhen bei Blogs optimieren, auch Frank Bültges Statement zum Thema  WordPress sicherer machen oder auch Adrian Kortes kürzlich erschienener Post zum Thema WordPress-Sicherheit. Mir geht es  heute vielmehr um die vermeintlich harmlosen Themes, deren Installation auch das eine oder andere Risiko mit sich bringen kann.

Auch beim Wordcamp wurde mehrfach betont, die Finger von Themes zu lassen, die man in einigen unseriösen Sammlungen findet, die vollmundig mit free wordpress themes oder gratis wordpress themes werben. Es scheint ein nicht unerheblicher Teil von modifizierten WordPress-Themes im Umlauf zu sein, die euch im günstigsten Fall nur einen ungewollten (aber sichtbaren) Link zu einer Seite unterjubelt, die beispielsweise für blaue Pillen wirbt. In anderen Fällen gab es versteckte Links in unsichtbaren Text oder bösartigen Code, der euren Blog schnell in eine Virenschleuder verwandelt. Was die Suchmaschinen in solchen Fällen machen, dürfte den meisten bekannt sein.

Allerdings schadet ihr euch in vielen Fällen nicht nur selber!

Ich sehe, da aber auch eine weitere Entwicklung, welche die Themes betrifft und die mir etwas Unbehagen bereitet. Es gibt eine stattliche Anzahl sogenannter WordPress Premium Themes, die man in ganz unterschiedlichen Preisklassen käuflich erwerben kann. Neben dem oftmals sehr schönen und zeitgemäßen Design, bieten diese häufig Administrationsoberflächen an, mit denen die Ausgabe noch weiter personalisiert werden kann. Ich habe mir bereits einige der Themes ansehen können und auch das Theme, welches hier eingesetzt wird, fällt in diese Gruppe, was mich zu der Überzeugung bringt, dass man auch in diesem Bereich sensibilisieren muss, damit sich der Designer seiner Verantwortung bewusst wird.

Wenn man nicht mit dem Gedanken startet, ein individuelles Framework zu entwickeln, von dem sich weitere Child-Themes ableiten lassen, sehe ich keinen Grund dafür, warum ein Theme nicht auch ohne schwergewichtige functions.php auskommen könnte. Wer sich ein solches Theme installiert, wird auch bereit sein, ein Plugin zu installieren, welches individuelle Einstellungsmöglichkeiten bietet und das man nach getaner Arbeit, wieder deaktivieren kann. Etwas, was gern den Entwicklern von WordPress-Plugins vorgeworfen wird, ist übrigens auch bei vielen Themes gang und gäbe. Da hat man mach dem Ausprobieren verschiedener Designs auf einmal einige hundert Eintrage in der wp_options mehr.

Die Deinstallation war in einigen – mir bekannten – Fällen einfach nicht vorgesehen!

Das könnte Dich auch interessieren:

Kommentare

  1. Über das Thema Themes und Sicherheit habe ich mir bisher ehrlich gesagt keine Gedanken gemacht. Aber so wie es aussieht gibt es sowohl bei kostenlosen als auch bei Premium-Themes “Schwarze Schafe”. Die Frage ist nur, wie man die nun als “Laie” nun wirklich auseinander kennt.

  2. Ich weiß, dass es für einen “Laien” fast unmöglich ist, die Risiken richtig einzuschätzen zu können. Ein Ansatz ist sicher, dass man in diesem Bereich weiter sensibilisiert.

  3. Hmm… sichtbare Links würde ich ja noch erkennen, vielleicht auch Links, die nicht auf den ersten Blick zu sehen wird. Wenn es dann aber ans “Eingemachte” geht – wie zB. in der wp-options oder anderen Dateien – hätte ich keinen blassen Schimmer.

  4. Ja, das geht sicher vielen anderen genauso. Ich denke, dass auf der einen Seite der Anwender über die Risiken aufgeklärt werden muss. Andererseits muss auch der Theme-Designer daran erinnert werden, dass er hier automatisch eine Verantwortung übernimmt.

  5. Wenn jemand allerdings wissentlich Links und andere Informationen versteckt, dann denke ich, dass der Appell an die Verantwortung bei solchen Designern nicht fruchten wird.

  6. Ja, das ist wohl anzunehmen. Hier funktioniert dann aber hoffentlich der “Buschfunk” und das Theme ist dann ganz schnell wieder vom Markt weg.

  7. Na hoffen wir mal 🙂 Du hast mit der internen Information ja schon mal brav begonnen 🙂

  8. Sehr interessantes Thema, ich hatte mir eigentlich nie Gedanken darüber gemacht das Themes auch mit „bösen“ absichten verbreitet werden kann, aber klar! es ist natürlich ein super Lösung um links zu blaue Pillen Seiten zu verbreiten):

    Ich nutzte ab und zu das Programm Xenu um ausgehenden Links zu Überprüfen, damit sollte man ja eigentlich auf der sicher Seite sein oder?

Deine Meinung ist uns wichtig

*