WordPress Plugins und Themes löschen statt deaktivieren
Die Funktionen und das Aussehen eures WordPress-Blogs könnt ihr nach Belieben mit Plugins und Themes an eure Vorstellungen anpassen. Da es viele kostenlose Erweiterungen gibt, sammeln sich jedoch schnell mal ein paar Plugins oder Themes an, die ihr nicht (mehr) nutzt, die aber trotzdem noch auf eurem Server liegen. Löscht diese inaktiven Erweiterungen, für mehr Sicherheit!
Automatisierte Suche nach Sicherheitslücken
Die Ausgangssituation: Für unsere Plugin- und Theme-Tests nutzen wir eine WordPress-Installation, die über eine URL ohne Backlinks erreichbar ist. In den WordPress-Einstellungen ist das Häkchen bei „noindex“ gesetzt, sodass die Seite nicht in den Suchergebnissen erscheint. Wie ihr in diesem Beitrag sehen könnt, verzeichnet der Test-Blog dennoch Seitenaufrufe. Aber spannender als die gemessenen Seitenaufrufe sind jene Aufrufe, die nicht auf eine Seite geführt haben, sondern einen 404-Fehler hervorriefen.
Diese Seiten werden aufgerufen
Gut drei Wochen haben wir nun mit dem Plugin 404-Error-Logger die Aufrufe der nicht vorhandenen Seiten protokolliert. Insgesamt wurden in diesem Zeitraum 457 Seiten aufgerufen, die WordPress nicht gefunden hat.
Hier ein kleiner Auszug der direkt aufgerufenen Seiten:
- /404javascript.js
- /wp-content/themes/mTheme-Unus/css/css.php?files=../../../../wp-config.php
- /wp-content/plugins/cip4-folder-download-widget/cip4-download.php?target=wp-config.php&info=wp-config.php
- /wp-content/plugins/contus-video-gallery/hdflvplayer/download.php?f=../../../../wp-config.php
- /0&%C3%98%01?o=3&g=&s=&z=%FE%FF%FF%FF%FF%FF%FF%FF%9F%D3%F1%A1%F7%7F
- /wp-content/plugins/wpshop/includes/ajax.php?elementCode=ajaxUpload
- /wp-config.php.bak
Die Muster hinter den Aufrufen
Die Mehrzahl der Aufrufe bezieht sich auf einzelne CSS- oder PHP-Dateien von Plugins und Themes. Aber bei ca. 9 Prozent der fehlerhaften Seitenaufrufe wurde über die eine oder andere Art versucht die wp-config.php aufzurufen. In dieser Datei sind unter anderem die Zugangsdaten zur Datenbank gespeichert. Dabei ist insbesondere diese Vorgehensweisen populär: Über ein anfälliges Theme (5%) oder Plugin (2%) aus dem jeweiligen Unterordner mit dem Befehl „?files=../../../../wp-config.php“ zurück in das WordPress-Hauptverzeichnis zu navigieren und dort die wp-config.php aufzurufen oder herunterzuladen.
Nur weil ein Dateiaufruf für ein Plugin in den Logdateien erscheint, heißt das nicht, dass darüber auch tatsächlich sensible Daten einsehbar waren – die entsprechende Erweiterung auf dem Server vorausgesetzt. Denn die Mehrheit dieser Aufrufe testet alte, längst bekannte und in vielen Fällen durch Updates bereits geschlossene Sicherheitslücken. Daher hier nochmals der Aufruf: Haltet euer aktives Theme und eure aktiven Plugins stets aktuell.
Nicht verwendete Erweiterungen löschen
Statt ungenutzte Erweiterungen weiter auf eurem Server zu lassen, solltet ihr sie löschen. Das reduziert die Angriffsfläche eures WordPress-Blogs und die übrigen, aktiven Plugins und Themes solltet ihr immer aktuell halten. Denn viele Aktualisierungen schließen Sicherheitslücken.
Inaktive Themes löschen
Themes löscht ihr einfach über das WordPress-Backend. Ruft dazu unter Design > Themes die installierten Themes auf. Per Mouse-Over wird der Link zu den „Theme Details“ eingeblendet. In der dahinterliegenden Ansicht steht euch im unteren rechten Eck die Funktion zum Löschen zur Verfügung.
Inaktive Plugins löschen
Im WordPress-Backend ruft ihr über den Eintrag Plugins die Übersicht der installierten Plugins (aktive und inaktive) auf; es können aber nur inaktive Plugins gelöscht werden. Wenn ihr also schon beim Ausmisten seid, prüft bei der Gelegenheit, ob vielleicht auch ein aktives, aber nicht genutztes Plugin besser ins Daten-Nirwana gehört.
Unter dem Schriftzug „Plugins“ filtert ihr gezielt nach inaktiven Plugins. In der darauffolgenden Ansicht setzt ihr den Haken vor jedem Plugin und wählt im Dropdown die Option „Löschen“.
Fazit: WordPress ist nicht der Ort, an dem ihr eurem Sammlertrieb nachgehen solltet. Ein kurzer Blick in die 404-Logdateien genügt: Schlanke WordPress-Installationen, ohne unnötige Plugins und Themes, sind sicherer. Und meist auch noch schneller.
Hi,
genau aus diesem Grund update ich auch immer alles was deaktiviert ist. Wenn ich absehen kann, dass ich mal ein Plugin doch nicht mehr brauche, wird es auch immer gleich gelöscht.
Themes braucht man eigentlich auch nur in der „Gestaltungsphase“ – hinterher kann man alle bis auf ein Standard-Theme und das aktuelle löschen.
Die Performance wird es einem übrigens auch danken!
VG
Hallo Hans,
plugins und themes auf dem von dir beschriebenen Weg zu löschen ist einfach. Wenn dieser Weg aber nichts bringt, was dann?
Seit geraumer Zeit schlage ich mich damit herum, wordpress, plugins und themes upzudaten bzw. zu löschen. Das wordpress-update hat inzwischen geklappt, aber die überflüssigen plugins und themes werde ich nicht los! Was ist zu tun? Bin für jeden guten Rat dankbar!
Dank im Voraus
Gruß Uwe
Wie kann ich ein aktiviertes WordPress Theme löschen?
Ich habe nach der WordPressinstalltion ein Theme gekauft und dieses (blöderweise) hochgeladen. Als Laie sollte man dies offensichtlich nicht tun. Und nun möchte ich das Theme erst einmal wieder löschen, um es dann neu installieren zu lassen.
Vielen Dank für Deine Hilfe!
Hallo Susanne,
du musst das Theme zunächst deaktivieren, dann kannst du es wie in diesem Beitrag beschrieben löschen.
Viele Grüße,
Katharina
Hallo Katharina,
Danke für Deinen schnellen Hinweis.
Ich schreibe Dir jetzt erst nach einer kleinen Auszeit: Wie ich es sehe, kann manThemes nur dann aktivieren, wenn sie noch nicht installiert sind. Meines habe ich installiert und somit gibt es keinen Deaktivierungs-Button, um es dann zu löschen.
Viele Grüße
Susanne
Hallo Susanne,
um ein Theme zu deaktivieren, musst du ein anderes aktivieren. Du könntest also beispielsweise einfach das aktuelle WordPress Standardtheme Twenty Sixteen (https://wordpress.org/themes/twentysixteen/) aktivieren, dann kannst du dein Theme löschen.
Viele Grüße,
Katharina
Lieben Dank! Hat super funktioniert.
hallo, ich habe folgendes problem. ich habe mir ein theme gekauft und bekam nach einiger zeit eine email, das ein update verfügbar ist. also hab ich es runtergeladen, entpackt und wollte es installieren. dann kam immer die fehlermeldung, dass das theme nicht installiert wurden konnte, da der ordner bereits exestiert. dann hab ich versucht das theme zu löschen um es neu zu installieren, dann kommt immer die fehlermeldung, dass das theme nicht exestiert.
ich hoffe mir kann jemand bei dem problem helfen.
grüße, marc
Hallo Marc,
wende dich mit deinem Problem am besten direkt an den Support deines Themes, die können dir bestimmt weiterhelfen.
Viele Grüße,
Katharina
Hallo,
wir schlagen uns gerade mit den verbliebenen Resten der Deinstallation von sharethis herum, aufgrund diverser Third-Party Resourcen stecken leider noch zig Trackingpixel etc. in unserem Code? Gibt es für so etwas eventuell eine übergreifende Löschlösung oder jedes Fragment von Hand rauszulöschen?
Viele Grüße
Oliver