So erkennen auch Laien unsichere WordPress Themes

Themes und Plugins spielen bei der Sicherheit von WordPress eine zentrale Rolle. Denn die WordPress Erweiterungen bringen nicht nur nützliche Funktionen mit, sondern bieten auch Angriffsfläche für Hacker und Einfallstore für Schadcode. Torben Simon Meier, Webdesigner und Gründer des WordPress Hosting Spezialisten RAIDBOXES, klärt, wie man auch als Laie schnell und zuverlässig die Sicherheit eines Themes einschätzen kann.

WordPress ist ein tolles CMS. So toll, dass mittlerweile mehr als ein Viertel aller Websites mit ihm betrieben werden. Leider zeigt sich daher ein Effekt, den einer unserer Kollegen einmal als Windowseffekt bezeichnet hat: Je größer die Verbreitung einer Software, desto mehr ist sie Angriffen ausgesetzt und desto mehr Schadcode existiert für diese. Mit ein paar einfachen Maßnahmen kann man sich aber gut gegen Sicherheitslücken absichern. Dazu gehört, neben der Wahl eines guten Passworts, Benutzernamens, eines Anti-Spam Plugins und einem Schutz gegen Brute-Force-Attacken, auch die Wahl der Plugins und des Themes.

Denn wenn das WordPress Theme nicht aktuell gehalten wird und Sicherheitslücken nicht behoben werden, kann dies die gesamte Website und all ihre Daten gefährden. Unter Umständen ist dann das gesamte Geschäftsmodell korrumpiert. Und es kann noch schlimmer kommen: Das Theme selbst kann Schadcode beinhalten und somit zum Sicherheitsrisiko werden. Daher stellt Torben heute ein paar Eigenschaften vor, anhand derer man, auch als Laie, ein sicheres Theme erkennt.

Premium ≠ Qualität

Zunächst muss dazu der Unterschied zwischen kostenlosen und kostenpflichtigen Themes, auch Premium Themes genannt, beleuchtet werden. Der Begriff Premium bezieht sich nicht zwangsläufig auf die Qualität der Themes, sondern kennzeichnet, dass es sich um eine kostenpflichtige Erweiterung handelt. Es existiert auch eine ganze Reihe kostenloser Themes, sowohl im offiziellen WordPress Themekatalog, als auch auf digitalen Marktplätzen, wie Templatemonster, die hervorragende Funktionen mitbringen und dabei absolut sicher sind. Die Themes im WordPressTheme Directory durchlaufen einen offiziellen Reviewprozess des Entwicklungsteams und auch die kostenlosen Themes der Shops müssen entsprechende Qualitätskriterien erfüllen.

Eine Faustregel im Stil “kostenlos = unsicher” aufzustellen, macht daher keinen Sinn. Es kann jedoch festgehalten werden, dass Premium Themes häufiger über einen eigenen, erweiterten Support verfügen – auch wenn dieser nicht zwangsläufig gut sein muss.

Nicht der Preis, die Quelle ist entscheidend

Wichtiger als die Frage nach dem Preis ist in diesem Zusammenhang die Frage nach der Quelle. Verwendet man WordPress Themes aus dem offiziellen WordPress-Verzeichnis  oder von großen Themeplattformen ist man bezüglich der Sicherheit tendenziell auf der sicheren Seite. Denn die WordPress Erweiterungen durchlaufen hier einen Reviewprozess, in dem sie mit Blick auf bestimmte Kriterien getestet werden.

Unbedingt meiden sollte man dubiose Verzeichnisse und sogenannte Nulled-Börsen. In diesen werden häufig gecrackte Versionen von Premium Themes kostenlos angeboten. Diese Angebote sind nicht nur illegal, sondern können auch mit gefährlichem Schadcode belastet sein. Mein eindringlicher Rat daher: Finger weg!

Für eine erste Bewertung reicht der gesunde Menschenverstand

Um eine echte Einschätzung der Sicherheit eines Themes abgeben zu können, muss man sich dessen Code anschauen, sprich über eine gewisse Expertise verfügen. Für den Normalnutzer reicht jedoch der gesunde Menschenverstand aus, um viele Hygienefaktoren der Themesicherheit zuverlässig bewerten zu können.

Hierzu gehören die folgenden vier Punkte:

• Anzahl der aktiven Downloads
• Bewertungen anderer Nutzer
• Updateverhalten des Anbieters
• Supportverhalten und -qualität

An dieser Stelle muss erwähnt werden, dass diese Indikatoren keine direkten Schlüsse auf die Sicherheit eines WordPressThemes zulassen. Vielmehr dienen sie der Bewertung der Vertrauenswürdigkeit des Anbieters.

Je mehr aktive Downloads und positive Bewertungen desto besser

Der erste wichtige Hinweis bezüglich der Professionalität eines Themes sind dessen Nutzerzahl und Bewertungen. Die Faustregel hier: je mehr aktive Downloads und je positiver die Bewertungen, desto professioneller das Theme. Dabei gilt es zwei Dinge zu beachten: zum einen kann man nicht per se sagen wie viele aktive Downloads eines Themes “viele” sind. Denn manche Themes sind Nischenanwendungen. Zum anderen sollte man sich immer auch die negativen Bewertungen durchlesen und sich nicht nur auf die Fünf-Sterne-Bewertungen verlassen.

Detailansicht des WordPress-eigenen Themes TwentySixteen. Die Bewertungen können hier direkt über die rechte Seitenleiste aufgerufen werden.

 Templatemonster-Theme mit Bewertungen

Auch Marktplätze für kostenpflichtige Themes gehen ähnlich vor: Der User erhält eine Gesamtübersicht über die Themebewertung und kann sich die Einzelbewertungen samt Detailbegründung ansehen.

  Je aktueller, desto besser

Ein zuverlässiger Indikator der Themesicherheit – und wahrscheinlich auch der wichtigste Faktor für die erste Inaugenscheinnahme – ist die Updatehistorie des Themes. Grundsätzlich gilt: Je aktueller einWordPressTheme ist, desto sicherer ist es. Das Updateverhalten lässt Rückschlüsse auf die Betreuung des Themes und auf die Reaktion des Themeherstellers auf bekannte Sicherheitslücken zu.

Auch hier muss man aber relativieren: Viele Updates könnten auch ein Hinweis auf viel Bugs sein. Man sollte daher nie nur einen der hier vorgestellten Faktoren betrachten, sondern sich immer ein Gesamtbild machen.

Support? Und wenn ja, wie?

Zu guter Letzt ist auch der Support ein wichtiger Indikator für die Qualität und damit die Sicherheit eines Themes. Vor allem kostenpflichtige Premium Themes bieten ein solches Angebot an. Kostenlose Themes verfügen meist “nur” über ein Supportforum, in dem sich die Community über mögliche Probleme austauscht. Der erweiterte Support, der im Rahmen von Premium Themes angeboten wird kann bspw. in Form eines Support-Forums, in Form eines eigenen Ticketsystems oder Supportchats des Anbieters, oder auch in Form eines FAQ-Bereichs umgesetzt sein. Es existiert auch eine weitere Variante: So bieten Themebörsen und Marktplätze teils ebenfalls Support an. Wohlgemerkt kommt dieser Support dann nicht vom Hersteller des Themes, sondern vom Händler. Dieses System macht jedoch durchaus Sinn, denn große Plattformen haben tendenziell mehr Ressourcen, als einzelne Themeentwickler.

Auch hier bietet es sich an, Informationen über die Qualität des Supports zu sammeln. So kann man einschätzen wie gut der Support einem im Ernstfall weiterhelfen kann.

Fazit: Professionelle Anbieter liefern sichere Produkte

Alles in allem kommt es bei der Bewertung der Sicherheit eines Themes durch einen Laien vor allem auf die Bewertung der Vertrauenswürdigkeit des Themeherstellers an. Wurde die Erweiterung von vielen Nutzern heruntergeladen und positiv bewertet, bietet der Hersteller einen erweiterten Support und zusätzliche Informationen zu seinem Produkt an und wird das Theme regelmäßig , kann man relativ bedenkenlos zuschlagen.

Zur Professionalität eines Anbieter gehört letztlich auch die Erfahrung und der Ruf des Entwicklers. Auf WordPress.org lässt sich die bisherige Arbeit des Themeautors sehr einfach einsehen indem man auf den Namen des Entwicklers klickt und sich dessen Profil ansieht. Zwar kann diese zusätzliche Recherche Mehraufwand bedeuten, die jedoch auch einen direkten Mehrwert für das eigene Projekt bieten kann.

Das Profil des WordPress Mitbegründers Matt Mullenweg. Hier kann man nähere Informationen zum Autor, dessen Plugins und Themes und seine WordPressAchievements (rechts oben) einsehen.

Wichtig dabei: Premium Themes sind nicht zwangsläufig die bessere Lösung, vor allem, wenn man auf der Suche nach einer Nischenlösung ist. Premium Hersteller bietet jedoch häufig einen größeren Funktionsumfang. Ob man diesen jedoch braucht, muss jeder Nutzer fallspezifisch entscheiden.