Für mehr Sicherheit

WordPress Plugins und Themes löschen statt deaktivieren

Veröffentlicht am 13. Mai 2015Wordpress Sicherheit10 Kommentare

Die Funktionen und das Aussehen eures WordPress-Blogs könnt ihr nach Belieben mit Plugins und Themes an eure Vorstellungen anpassen. Da es viele kostenlose Erweiterungen gibt, sammeln sich jedoch schnell mal ein paar Plugins oder Themes an, die ihr nicht (mehr) nutzt, die aber trotzdem noch auf eurem Server liegen. Löscht diese inaktiven Erweiterungen, für mehr Sicherheit!

404 Error Log

Die Logdatei von 404 Error Logger.

Automatisierte Suche nach Sicherheitslücken

Die Ausgangssituation: Für unsere Plugin- und Theme-Tests nutzen wir eine WordPress-Installation, die über eine URL ohne Backlinks erreichbar ist. In den WordPress-Einstellungen ist das Häkchen bei „noindex“ gesetzt, sodass die Seite nicht in den Suchergebnissen erscheint. Wie ihr in diesem Beitrag sehen könnt, verzeichnet der Test-Blog dennoch Seitenaufrufe. Aber spannender als die gemessenen Seitenaufrufe sind jene Aufrufe, die nicht auf eine Seite geführt haben, sondern einen 404-Fehler hervorriefen.

Diese Seiten werden aufgerufen

Gut drei Wochen haben wir nun mit dem Plugin 404-Error-Logger die Aufrufe der nicht vorhandenen Seiten protokolliert. Insgesamt wurden in diesem Zeitraum 457 Seiten aufgerufen, die WordPress nicht gefunden hat.

Hier ein kleiner Auszug der direkt aufgerufenen Seiten:

  • /404javascript.js
  • /wp-content/themes/mTheme-Unus/css/css.php?files=../../../../wp-config.php
  • /wp-content/plugins/cip4-folder-download-widget/cip4-download.php?target=wp-config.php&info=wp-config.php
  • /wp-content/plugins/contus-video-gallery/hdflvplayer/download.php?f=../../../../wp-config.php
  • /0&%C3%98%01?o=3&g=&s=&z=%FE%FF%FF%FF%FF%FF%FF%FF%9F%D3%F1%A1%F7%7F
  • /wp-content/plugins/wpshop/includes/ajax.php?elementCode=ajaxUpload
  • /wp-config.php.bak

Die Muster hinter den Aufrufen

Die Mehrzahl der Aufrufe bezieht sich auf einzelne CSS- oder PHP-Dateien von Plugins und Themes. Aber bei ca. 9 Prozent der fehlerhaften Seitenaufrufe wurde über die eine oder andere Art versucht die wp-config.php aufzurufen. In dieser Datei sind unter anderem die Zugangsdaten zur Datenbank gespeichert. Dabei ist insbesondere diese Vorgehensweisen populär: Über ein anfälliges Theme (5%) oder Plugin (2%) aus dem jeweiligen Unterordner mit dem Befehl „?files=../../../../wp-config.php“ zurück in das WordPress-Hauptverzeichnis zu navigieren und dort die wp-config.php aufzurufen oder herunterzuladen.

Nur weil ein Dateiaufruf für ein Plugin in den Logdateien erscheint, heißt das nicht, dass darüber auch tatsächlich sensible Daten einsehbar waren – die entsprechende Erweiterung auf dem Server vorausgesetzt. Denn die Mehrheit dieser Aufrufe testet alte, längst bekannte und in vielen Fällen durch Updates bereits geschlossene Sicherheitslücken. Daher hier nochmals der Aufruf: Haltet euer aktives Theme und eure aktiven Plugins stets aktuell.

Nicht verwendete Erweiterungen löschen

Statt ungenutzte Erweiterungen weiter auf eurem Server zu lassen, solltet ihr sie löschen. Das reduziert die Angriffsfläche eures WordPress-Blogs und die übrigen, aktiven Plugins und Themes solltet ihr immer aktuell halten. Denn viele Aktualisierungen schließen Sicherheitslücken.

Inaktive Themes löschen

Themes löscht ihr einfach über das WordPress-Backend. Ruft dazu unter Design > Themes die installierten Themes auf. Per Mouse-Over wird der Link zu den „Theme Details“ eingeblendet. In der dahinterliegenden Ansicht steht euch im unteren rechten Eck die Funktion zum Löschen zur Verfügung.

theme löschen

theme löschen 2

Inaktive Plugins löschen

Im WordPress-Backend ruft ihr über den Eintrag Plugins die Übersicht der installierten Plugins (aktive und inaktive) auf; es können aber nur inaktive Plugins gelöscht werden. Wenn ihr also schon beim Ausmisten seid, prüft bei der Gelegenheit, ob vielleicht auch ein aktives, aber nicht genutztes Plugin besser ins Daten-Nirwana gehört.

Unter dem Schriftzug „Plugins“ filtert ihr gezielt nach inaktiven Plugins. In der darauffolgenden Ansicht setzt ihr den Haken vor jedem Plugin und wählt im Dropdown die Option „Löschen“.

plugins löschen

Fazit: WordPress ist nicht der Ort, an dem ihr eurem Sammlertrieb nachgehen solltet. Ein kurzer Blick in die 404-Logdateien genügt: Schlanke WordPress-Installationen, ohne unnötige Plugins und Themes, sind sicherer. Und meist auch noch schneller.

Kommentare zu "WordPress Plugins und Themes löschen statt deaktivieren"
  1. Vanderelbe schrieb am 19. Mai 2015, um 10:09 Uhr:

    Hi,

    genau aus diesem Grund update ich auch immer alles was deaktiviert ist. Wenn ich absehen kann, dass ich mal ein Plugin doch nicht mehr brauche, wird es auch immer gleich gelöscht.
    Themes braucht man eigentlich auch nur in der „Gestaltungsphase“ – hinterher kann man alle bis auf ein Standard-Theme und das aktuelle löschen.
    Die Performance wird es einem übrigens auch danken!

    VG

  2. Uwe Terwesten schrieb am 22. Mai 2015, um 11:45 Uhr:

    Hallo Hans,
    plugins und themes auf dem von dir beschriebenen Weg zu löschen ist einfach. Wenn dieser Weg aber nichts bringt, was dann?

    Seit geraumer Zeit schlage ich mich damit herum, wordpress, plugins und themes upzudaten bzw. zu löschen. Das wordpress-update hat inzwischen geklappt, aber die überflüssigen plugins und themes werde ich nicht los! Was ist zu tun? Bin für jeden guten Rat dankbar!

    Dank im Voraus
    Gruß Uwe

  3. Susanne Richter schrieb am 9. August 2016, um 20:14 Uhr:

    Wie kann ich ein aktiviertes WordPress Theme löschen?
    Ich habe nach der WordPressinstalltion ein Theme gekauft und dieses (blöderweise) hochgeladen. Als Laie sollte man dies offensichtlich nicht tun. Und nun möchte ich das Theme erst einmal wieder löschen, um es dann neu installieren zu lassen.
    Vielen Dank für Deine Hilfe!

    1. Katharina schrieb am 11. August 2016, um 10:24 Uhr:

      Hallo Susanne,

      du musst das Theme zunächst deaktivieren, dann kannst du es wie in diesem Beitrag beschrieben löschen.

      Viele Grüße,
      Katharina

      1. Susanne Richter schrieb am 15. August 2016, um 16:08 Uhr:

        Hallo Katharina,
        Danke für Deinen schnellen Hinweis.
        Ich schreibe Dir jetzt erst nach einer kleinen Auszeit: Wie ich es sehe, kann manThemes nur dann aktivieren, wenn sie noch nicht installiert sind. Meines habe ich installiert und somit gibt es keinen Deaktivierungs-Button, um es dann zu löschen.

        Viele Grüße
        Susanne

        1. Katharina schrieb am 16. August 2016, um 09:45 Uhr:

          Hallo Susanne,

          um ein Theme zu deaktivieren, musst du ein anderes aktivieren. Du könntest also beispielsweise einfach das aktuelle WordPress Standardtheme Twenty Sixteen (https://wordpress.org/themes/twentysixteen/) aktivieren, dann kannst du dein Theme löschen.

          Viele Grüße,
          Katharina

          1. Susanne Richter schrieb am 16. August 2016, um 10:05 Uhr:

            Lieben Dank! Hat super funktioniert.

  4. Marc schrieb am 27. September 2016, um 20:47 Uhr:

    hallo, ich habe folgendes problem. ich habe mir ein theme gekauft und bekam nach einiger zeit eine email, das ein update verfügbar ist. also hab ich es runtergeladen, entpackt und wollte es installieren. dann kam immer die fehlermeldung, dass das theme nicht installiert wurden konnte, da der ordner bereits exestiert. dann hab ich versucht das theme zu löschen um es neu zu installieren, dann kommt immer die fehlermeldung, dass das theme nicht exestiert.
    ich hoffe mir kann jemand bei dem problem helfen.

    grüße, marc

    1. Katharina schrieb am 4. Oktober 2016, um 10:10 Uhr:

      Hallo Marc,

      wende dich mit deinem Problem am besten direkt an den Support deines Themes, die können dir bestimmt weiterhelfen.

      Viele Grüße,
      Katharina

  5. Oliver Kurtz schrieb am 25. März 2017, um 12:12 Uhr:

    Hallo,
    wir schlagen uns gerade mit den verbliebenen Resten der Deinstallation von sharethis herum, aufgrund diverser Third-Party Resourcen stecken leider noch zig Trackingpixel etc. in unserem Code? Gibt es für so etwas eventuell eine übergreifende Löschlösung oder jedes Fragment von Hand rauszulöschen?
    Viele Grüße
    Oliver

Schreibe einen Kommentar

Pressengers lebt von der Wordpress Community, beteilige dich mit einem Kommentar!
Deine E-Mail Adresse wird nicht veröffentlicht.
Kommentare die Werbung oder eine reine Linkplatzierung darstellen, werden gelöscht oder von den Links befreit ;) Wenn du etwas wertvolles und relevantes beitragen kannst, ist dein Link willkommen.