Risiken von Premium Themes und Plugins

Das Thema Sicherheit kocht regelmäßig hoch. Wird eine Sicherheitslücke in einem Plugin, Theme oder WordPress selbst gefunden, geht der Update Marathon los. Zeitnah Plugins einzuspielen, reicht leider nicht bei manchen Premium Themes. Die Sicherheit von verschiedenen WordPress Premium Themes ist daher äußerst bedenklich.

Sicherheitsprobleme bei WordPress Themes

Die Themes werden immer größer und umfangreicher; ein Trend, den ich als bedenklich ansehe. Oft werden Funktionen selbst programmiert und in das Theme eingebettet. Ich selbst bin kein Freund davon! Ein Theme sollte in meinen Augen Layout und Design liefern, Funktionen über Plugins. Damit wird Code auch wieder verwendbar.

Kostenlose Premium Plugins in Themes

Einige Themes folgen diesem Ansatz und setzen für Standardlösungen wie Slider ein Plugin ein. Diese können bei der Installation des Themes heruntergeladen werden. Oft legt der Theme Entwickler eine Premium Version dem Theme bei. Damit entstehen keine weiteren Koste, aber die angesprochenen Probleme.

Wo stecken nun die Sicherheitsbedenken?

Die Premium Plugins liegen hinter einer Paywall und können nicht direkt upgedatet werden. Neue Versionen des Plugins werden damit nicht mehr im WordPress Backend unter Plugins als Update gemeldet. Wir updaten regelmäßig unsere Plugins, aber sind trotzdem einem Risiko ausgesetzt, denn wir erhalten keine Nachricht, ob es neue Versionen gibt.

Erst wenn wir über die neuste Version Bescheid wissen, können wir die neuste Version herunterladen. Der Theme Entwickler hat die Lizenz und damit den Zugang zum Plugin. Es hilft, mit dem Entwickler Kontakt aufzunehmen und Ihn darüber zu informieren. Leider ist dieser Weg zeitaufwändig.

1. Lösung: Aktive Theme Weiterentwicklung

Wird ein Theme aktiv weiterentwickelt, kann der Entwickler auch neue Versionen ausliefern. Tut er dies nicht, können bereits geschlossene Sicherheitslücken über Jahre hinweg offen bleiben, da keine Update Benachrichtigung verbreitet werden.

2. Lösung: Plugins mit eigener Update Routine

In meinen Augen sollte dem Käufer des Themes auch eine Lizenz für die Plugins übergeben werden und das Update direkt über das Premium Theme geschehen. Eine eigene Update Routine, wie bei WordPress, sollte entweder vom Entwickler oder von der Kaufplattform zur Verfügung gestellt werden.

Themes mit Sicherheitslücken durch Revolution Slider

Ich möchte nicht jedes einzelne Theme aufzählen, da diese Themes genügend Fingerabdrücken haben,um diese per Google zu finden und die Schwachstellen auszunutzen.

Ältere Versionen des Revolutions Slider haben eine Schwachstelle mit der jede beliebige Datei auf dem Webspace herunter geladen werden kann. Ein Angreifer erhält mit einem einzige Aufruf die Möglichkeit, eure Datenbank Passwörter, etc. zu stehlen. Momentan ist die Version: 4.5.95 aktuell und sollte unbedingt aktualisiert werden.

Habe ich eine Sicherheitslücke durch Revolution Slider?

Ob Ihr eine Sicherheitslücke habt, erfahrt Ihr ganz einfach im WordPress Backend eurer Seite.
Ruft dazu die Seite Plugins auf und schaut euch die Version des installierten Revolution Slider an. Sollte die angegebene Version weiter unter der aktuellen 4.5.95 liegen: Sofort updaten.

Themes von Themesforest stark gefährdet

Ich habe nach dem Artikel einige Themes geprüft. Gerade ältere Versionen von Themes haben im Lieferumfang veraltete Versionen von Plugins. Daher ist es sinnvoll, nach dem Kauf eines Themes die Plugins auf Aktualität zu prüfen. Oft werden Themes geupdatet, aber die mitgelieferten Plugins vergessen. Ich habe bereits Theme Entwickler auf die veralteten Versionen des Revolution Sliders hingewiesen. In den nächsten Tagen werden die Themes geupdatet.

Autor: Marcus

Ich bin einer von zwei Geschäftsführern der Conversion Junkies. Zu meinen Themenschwerpunkten gehört das technische SEO, Entwicklungen im E-Commerce und Programmierung von Shopware und WordPress Plugins. Dieses Wissen gebe ich in Schulungen und Consultings gern weiter. Nutzen Sie die Kommentarfunktion für Ihre Fragen. Ich antworte darauf gern. Oder schreiben Sie mir eine E-Mail an marcus@conversion-junkies.de

4 Gedanken zu „Risiken von Premium Themes und Plugins“

  1. Super Tipp. Gleich unseren Facebook Fans gepostet, denn sehr wichtig. Interessant wäre für Anfänger wie man updatet.
    1. Man geht im Plugin auf die Seite des Erstellers von Revolution Slider und kommt dann zu Envato.
    2. Hier kann man das Plugin für 20 Dollar kaufen und runterladen
    3. Anschließend in WordPress auf den Reiter Revolution Slider klicken und schon steht rechts aktualisieren.
    4. Zip Datei auswählen, hochladen und fertig.

  2. Hallo!
    Ich habe beobachtet, dass gute Entwickler eine eigene Update-Routine mit einbauen. Bei ElegantThemes (kostenpflichtig) gibt es ein eigenes Updater-Plugin, das es möglich macht, Themes direkt über die WP-Dialoge zu aktualisieren – das finde ich in der Tat “elegant” 🙂 Sowas sollten sich möglichst viele Premium-Developer mal zum Vorbild nehmen! Updates per FTP sind sowas von 2000 😉

  3. Hallo,

    automatische Updates sind wirklich eine praktische Lösung.

    Die Kunden selbst updaten zu lassen, finde ich schwierig. Die machen schnell was falsch und dann muss man Feuerwehr spielen.

    Dennoch sind die Updates wichtig, das sehe ich auch so.

    Viele Grüße, Jens

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Mit dem Absenden Ihrer Anfrage erklären Sie sich mit der Verarbeitung Ihrer angegebenen Daten zum Zweck der Bearbeitung Ihrer Anfrage einverstanden (Datenschutzbedingungen)