13. Mai 2015

Für mehr Sicherheit WordPress Plugins und Themes löschen statt deaktivieren

   9 Kommentare

Ein Beitrag von Hans Jung

Share on Facebook0Tweet about this on Twitter9Share on Google+0Share on LinkedIn0Email this to someone

Die Funktionen und das Aussehen eures WordPress-Blogs könnt ihr nach Belieben mit Plugins und Themes an eure Vorstellungen anpassen. Da es viele kostenlose Erweiterungen gibt, sammeln sich jedoch schnell mal ein paar Plugins oder Themes an, die ihr nicht (mehr) nutzt, die aber trotzdem noch auf eurem Server liegen. Löscht diese inaktiven Erweiterungen, für mehr Sicherheit!

404 Error Log

Die Logdatei von 404 Error Logger.

Automatisierte Suche nach Sicherheitslücken

Die Ausgangssituation: Für unsere Plugin- und Theme-Tests nutzen wir eine WordPress-Installation, die über eine URL ohne Backlinks erreichbar ist. In den WordPress-Einstellungen ist das Häkchen bei „noindex“ gesetzt, sodass die Seite nicht in den Suchergebnissen erscheint. Wie ihr in diesem Beitrag sehen könnt, verzeichnet der Test-Blog dennoch Seitenaufrufe. Aber spannender als die gemessenen Seitenaufrufe sind jene Aufrufe, die nicht auf eine Seite geführt haben, sondern einen 404-Fehler hervorriefen.

Diese Seiten werden aufgerufen

Gut drei Wochen haben wir nun mit dem Plugin 404-Error-Logger die Aufrufe der nicht vorhandenen Seiten protokolliert. Insgesamt wurden in diesem Zeitraum 457 Seiten aufgerufen, die WordPress nicht gefunden hat.

Hier ein kleiner Auszug der direkt aufgerufenen Seiten:

  • /404javascript.js
  • /wp-content/themes/mTheme-Unus/css/css.php?files=../../../../wp-config.php
  • /wp-content/plugins/cip4-folder-download-widget/cip4-download.php?target=wp-config.php&info=wp-config.php
  • /wp-content/plugins/contus-video-gallery/hdflvplayer/download.php?f=../../../../wp-config.php
  • /0&%C3%98%01?o=3&g=&s=&z=%FE%FF%FF%FF%FF%FF%FF%FF%9F%D3%F1%A1%F7%7F
  • /wp-content/plugins/wpshop/includes/ajax.php?elementCode=ajaxUpload
  • /wp-config.php.bak

Die Muster hinter den Aufrufen

Die Mehrzahl der Aufrufe bezieht sich auf einzelne CSS- oder PHP-Dateien von Plugins und Themes. Aber bei ca. 9 Prozent der fehlerhaften Seitenaufrufe wurde über die eine oder andere Art versucht die wp-config.php aufzurufen. In dieser Datei sind unter anderem die Zugangsdaten zur Datenbank gespeichert. Dabei ist insbesondere diese Vorgehensweisen populär: Über ein anfälliges Theme (5%) oder Plugin (2%) aus dem jeweiligen Unterordner mit dem Befehl „?files=../../../../wp-config.php“ zurück in das WordPress-Hauptverzeichnis zu navigieren und dort die wp-config.php aufzurufen oder herunterzuladen.

Nur weil ein Dateiaufruf für ein Plugin in den Logdateien erscheint, heißt das nicht, dass darüber auch tatsächlich sensible Daten einsehbar waren – die entsprechende Erweiterung auf dem Server vorausgesetzt. Denn die Mehrheit dieser Aufrufe testet alte, längst bekannte und in vielen Fällen durch Updates bereits geschlossene Sicherheitslücken. Daher hier nochmals der Aufruf: Haltet euer aktives Theme und eure aktiven Plugins stets aktuell.

Nicht verwendete Erweiterungen löschen

Statt ungenutzte Erweiterungen weiter auf eurem Server zu lassen, solltet ihr sie löschen. Das reduziert die Angriffsfläche eures WordPress-Blogs und die übrigen, aktiven Plugins und Themes solltet ihr immer aktuell halten. Denn viele Aktualisierungen schließen Sicherheitslücken.

Inaktive Themes löschen

Themes löscht ihr einfach über das WordPress-Backend. Ruft dazu unter Design > Themes die installierten Themes auf. Per Mouse-Over wird der Link zu den „Theme Details“ eingeblendet. In der dahinterliegenden Ansicht steht euch im unteren rechten Eck die Funktion zum Löschen zur Verfügung.

theme löschen

theme löschen 2

Inaktive Plugins löschen

Im WordPress-Backend ruft ihr über den Eintrag Plugins die Übersicht der installierten Plugins (aktive und inaktive) auf; es können aber nur inaktive Plugins gelöscht werden. Wenn ihr also schon beim Ausmisten seid, prüft bei der Gelegenheit, ob vielleicht auch ein aktives, aber nicht genutztes Plugin besser ins Daten-Nirwana gehört.

Unter dem Schriftzug „Plugins“ filtert ihr gezielt nach inaktiven Plugins. In der darauffolgenden Ansicht setzt ihr den Haken vor jedem Plugin und wählt im Dropdown die Option „Löschen“.

plugins löschen

Fazit: WordPress ist nicht der Ort, an dem ihr eurem Sammlertrieb nachgehen solltet. Ein kurzer Blick in die 404-Logdateien genügt: Schlanke WordPress-Installationen, ohne unnötige Plugins und Themes, sind sicherer. Und meist auch noch schneller.

Share on Facebook0Tweet about this on Twitter9Share on Google+0Share on LinkedIn0Email this to someone
Hans Jung

Hans Jung

Hans ist Datenschutzbeauftragter und bekennender WordPress-Fan – und versucht beides unter einen Hut zu bekommen.
Hans Jung

Du willst up-to-date bleiben?

Trage dich jetzt in unseren kostenlosen Newsletter ein, um stets die aktuellsten Neuigkeiten rund um Wordpress zu erhalten.

Wir geben deine Daten nicht weiter! Wir hassen Spam genauso wie du!

9 Kommentare

Reaktionen auf diesen Beitrag

    • Hi,

      genau aus diesem Grund update ich auch immer alles was deaktiviert ist. Wenn ich absehen kann, dass ich mal ein Plugin doch nicht mehr brauche, wird es auch immer gleich gelöscht.
      Themes braucht man eigentlich auch nur in der „Gestaltungsphase“ – hinterher kann man alle bis auf ein Standard-Theme und das aktuelle löschen.
      Die Performance wird es einem übrigens auch danken!

      VG

    • Hallo Hans,
      plugins und themes auf dem von dir beschriebenen Weg zu löschen ist einfach. Wenn dieser Weg aber nichts bringt, was dann?

      Seit geraumer Zeit schlage ich mich damit herum, wordpress, plugins und themes upzudaten bzw. zu löschen. Das wordpress-update hat inzwischen geklappt, aber die überflüssigen plugins und themes werde ich nicht los! Was ist zu tun? Bin für jeden guten Rat dankbar!

      Dank im Voraus
      Gruß Uwe

    • Susanne Richter

      Wie kann ich ein aktiviertes WordPress Theme löschen?
      Ich habe nach der WordPressinstalltion ein Theme gekauft und dieses (blöderweise) hochgeladen. Als Laie sollte man dies offensichtlich nicht tun. Und nun möchte ich das Theme erst einmal wieder löschen, um es dann neu installieren zu lassen.
      Vielen Dank für Deine Hilfe!

      • Katharina

        Hallo Susanne,

        du musst das Theme zunächst deaktivieren, dann kannst du es wie in diesem Beitrag beschrieben löschen.

        Viele Grüße,
        Katharina

        • Susanne Richter

          Hallo Katharina,
          Danke für Deinen schnellen Hinweis.
          Ich schreibe Dir jetzt erst nach einer kleinen Auszeit: Wie ich es sehe, kann manThemes nur dann aktivieren, wenn sie noch nicht installiert sind. Meines habe ich installiert und somit gibt es keinen Deaktivierungs-Button, um es dann zu löschen.

          Viele Grüße
          Susanne

    • Marc

      hallo, ich habe folgendes problem. ich habe mir ein theme gekauft und bekam nach einiger zeit eine email, das ein update verfügbar ist. also hab ich es runtergeladen, entpackt und wollte es installieren. dann kam immer die fehlermeldung, dass das theme nicht installiert wurden konnte, da der ordner bereits exestiert. dann hab ich versucht das theme zu löschen um es neu zu installieren, dann kommt immer die fehlermeldung, dass das theme nicht exestiert.
      ich hoffe mir kann jemand bei dem problem helfen.

      grüße, marc

      • Katharina

        Hallo Marc,

        wende dich mit deinem Problem am besten direkt an den Support deines Themes, die können dir bestimmt weiterhelfen.

        Viele Grüße,
        Katharina

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.