Hacker lieben das Security Risiko bei WordPress Themes von Envanto „Themeforest“

3738

Köln – Sie sind günstig und super gemacht, die Worpress Themes bei Themforest. Doch Achtung! Hinter dem Einsatz dieser Templates verbirgt sich ein enormes Gefahrenrisiko für die Sicherheit der Internetseiten und WordPress Blogs. “ In  den letzten 6 Monaten verzeichneten wir auf unseren Servern allein 12 Einbrüche in die Pluggins und Themes,“ sagte uns ein Kölner Internetprovider.

Hacker benutzen z.B den beliebten „Revolution Slider“ und den „Visual Composer“ von WPBakery, ein  Drag und Drop Sitebuilder für WordPress Blog’s , zum Einbruch. Es werden feindliche PHP Scripte hochgeladen, die dann massenweise Spam Mails versenden. Unter Umständen wird die Seite vom Provider abgeschaltet, oder von Google kenntlich gemacht, das die Seite schädliche Inhalte wie Viren und Trojaner beinhaltet.

In Einzelfällen wurde die WordPress Datenbank gehackt und mit bis zu 6000 Casino Online Beiträgen gefüllt, ohne das der Webseitenbesitzer die geringste Ahnung hatte. Das kann in der  Folge für  Unternehmen oder Vereine, böse Folgen haben.

Wie ist das überhaupt möglich?  Nun in den vergangenen Jahren setzen viele Webdesign Agenturen auf preiswerte Webseiten mit CMS für ihre Kunden. WordPress Software ist kostenlos und hat sich zu einem Datenbank gestützten Allround CMS entwickelt. Die Themeforest.net Templates ( das Theme Template ist das Designgerüst einer Homepage und getrennt von der Systemsoftware WordPress ) aus den USA, liegen bei cirka  45 $ US und schon entsteht eine schicke Webseite. Was ja auch vollkommen OK ist.

WordPress sorgt seit der Version 4  für regelmäßige Security updates seiner Software. Das kann ein Webseitenbesitzer inzwischen automatisieren. Worpdpress ist aber nicht für die Envanto Design Templates zuständig.

Dabei muss man sehen, das alle Theme Developer keine Mitarbeiter des Vertreibers sind, sondern weltweit freie Entwickler und Designer. Die Firma Envanto, der Betreiber des Community Portals sagt das auch deutlich. Doch wer liest schon die AGB und die vollständige Lizenz.

Am Ende ist ein Designer für die ganze jeweilige Art Work und Webdesign verantwortlich. Da ist es vollkommen logisch, das hundert oder mehr in PHP programmierte Anwendungssoftware Seiten Fehler haben können. Und im Theme verwendete Pluggins erst recht. Denn das muss man wissen: Innerhalb des Design werden für Widgets, Menüs und Slider   Pluggins eingesetzt, die wiederum von wieder anderen  Developern geschrieben wurden.  Und Hacker können das Theme kaufen –  lesen und Fehler in PHP Scripts analysieren – um diese dann für ihren Job zu benutzen.

Verschaffen sie sich unbedingt einen Überblick über die Sicherheit ihrer Homepage

Manche Unternehmen haben keinen Webmaster, der sich regelmäßig an der Seite anmeldet und die Sicherheitswarnungen, btw Update Meldungen in seiner Installation überwacht. Die sind auch der Meinung, wenn sie 1200 Euro bezahlt haben, sei die Welt in Ordnung.

Es kommt oft vor das im Unternehmen gar keine Nachrichten über Themeforest Theme updates eingehen. Vielen Envanto Theme Käufern ist unbekannt, das manche Themes von Envanto gar nicht mehr vertrieben werden, weil der Entwickler ausgeschieden ist, oder sein Theme gar nicht mehr betreut.

Jeder Käufer eines Template kann in seinem Account Benachrichtigungen über updates aktivieren. Wenn er einen Account hat. Ist das Theme von einer webdesign Firma gekauft und eingesetzt, erhält er diese Warnung nicht!

Hier folgt jetzt unsere Warnung:

  • Prüfen sie regelmäßig ihr WordPress Blog auf erforderliche Pluggin updates
  • Lassen sie sich beraten und schalten sie Pluggins die sie nicht brauchen ab
  • Entfernen sie unnötige pluggins  aus ihrer Webseite
  • Lassen sie sich von ihrer Webdesign Firma die Lizenz und Zugangsdaten zu Envanto übermitteln
  • Richten sie eine Benachrichtigung für Theme updates ein

Wenn das nicht der Fall ist, oder unmöglich sein sollte, wechseln sie ihr WordPress Theme umgehend aus. Die Hacks sind inzwischen harter  Alltag bei vielen Providern. Sie gefährden sich und andere.

Als Webseitenbesitzer sollten sie sich darüber im klaren sein, das wenn ihre Kunden und Freunde tausende Spam Mails über ihre Webseite erhalten, diese auch ganz schön sauer auf ihre Firma werden können!

Die feindliche Übernahme einer Datenbank oder Webspace, kann im weitesten Sinne auch dazu führen, das der Email account übernommen wird. Kein wirklich schönes Szenario!

Auch wenn man kein Experte ist, empfiehlt es sich sein WordPress sicher zu machen. Hier etwas Lesestoff dazu. Das würde auch keiner schreiben wenn es nicht erforderlich wäre: WordPress sicherer machen

In English secure your WordPress : WordPress 4.0 Security and  Optimizing

Ganz wichtig erscheint uns:

Benutzen sie nur SFTP für ihr Worpdpress
Benutzen Sie für das SFTP ein Passwort mit mindestens 13 Zeichen z.B:   §#K33Tz11Tr7S9oP
Das gleiche gilt für Ihr  WordPress Login!
Verwenden sie das WordPress Pluggin Stealth Login um einen Hack ihrer Seite schwerer zu machen.
Verwenden sie nicht den Benutzernamen „Admin“ für WordPress
Prüfen sie Ihr WordPress regelmäßig auf neue Benutzer, die sie nicht kennen

Vorheriger ArtikelCassandra Wilson Jazzikone gibt sich minimalistisch – leider auch dumpf und glanzlos
Nächster ArtikelSkoday Rallye Talent Fabian Kreim überzeugt in Österreich
Jazzie ist mein Nickname als Jazzmusiker. COLOZINE Magazin ist mein Blog. Beruflich bin ich Inhaber einer Internetagentur in Köln und Ostfriesland. Hier fröne ich meinen Hobbys. Ich liebe Smooth Jazz und die USA Jazz Musik Szene. Als Jazz Fan sehe ich Harmonie, nicht nur in der Musik, als unser allerhöchstes Gut an. Jazz-, Pop-, Hardrock- und Bluesmusik hat die Welt verändert und ist für mich unverzichtbar. Grund genug, durch die Welt zu surfen und Ausschau nach guten Music Acts und Musikern zu halten. Ich bin Fan des 1. FC Köln. Weitere Faibles gelten dem Motorsport, Tennis und Motorrad fahren. Ich bin ein Honda Freak und lasse mir gerne den Wind um die Nase wehen. Inzwischen habe ich meinen Lebensort an die Nordsee in Ostfriesland verlagert, weil ich mein Herz an ein Denkmal von Anno 1746 verloren habe. Bei Fragen oder Fehlangaben auf den Colozine Köln News Seiten hier die Kontaktmöglichkeit Jazzie (Reinhold Packeisen) oder Mail an info@koeln-news.com :-) Tel.+49 170 90 08 08 74