Wie ihr euch sicher erinnern könnt, so hatte ich vor einigen Wochen einen hartnäckigen Befall eines Trojaners. Vorige Woche ist mir dies erneut passiert.
Ausgelöst wurde dies beidemale, indem ich zu Testzwecken freie WordPress Themes installiert hatte. Diese Themes hab ich wohlgemerkt nicht sonst wo runtergeladen sondern unteranderem aus dem offiziellen Themeviewer von WordPress.
Nach meiner Erfahrung testet keiner der Anbieter für WP Themes (ob WP selbst oder andere) wie die Themes laufen, wie kompatibel sie sind oder auch wie “verseucht” sie sind.
Nun fragt ihr euch sicherlich warum ich mir diverse WP Themes installiert habe. Nun Fall ist der: Ich bin einfach kein Supercoder. Und ich bin ein Learning by Doing Mensch. Und somit schaue ich mir viele Themes in Aktion an und betrachte mir deren Code und versuche somit zu lernen wie andere Leute Themes schreiben.
Da ich diese Themes auch gerne miteinander vergleiche habe ich mehrere WP Installationen um mehrere Themes parallel betrachten zu können.
Es sei auch gesagt das ich nach meinem Trojanerbefall wusste das mir dies passieren kann.
Dennoch weiß ich das es viele Blogger dort draußen gibt, die dies nicht wissen. Die sich auf diese Weise schnell mal soetwas einfangen. Auch können, mit einem Theme, erhebliche Sicherheitslücken entstehen.
Um sich ein bisschen vor solchen Dingen zu schützen hat Robert vor ein paar Wochen einen interessanten Beitrag veröffentlicht.
Leider ist es meiner Ansicht nach verdammt schwer, als Laie, herauszufinden was wohin gehört und ob gut oder schlecht. Auch mit den beiden Plugins WP Anti-Wares und WP Security Scan hatte ich so meine Schwierigkeiten. Denn zwar wiesen sie mich beim Aktivieren auf Misstände auf, aber dennoch bin ich noch zu sehr Laie um mit den Meldungen konkret etwas anfangen zu können.
Somit wird mein Weg immer sein (auch wenn es viel Nerven und Schweiß kostet): Ich baue meine Themes selbst. Nach und nach wird man auch fitter und man lernt was wohin gehört und aussehen muss. Wie was zusammen spielt.
Desweiteren lege ich auch jedem nahe nicht mit dem Standard angelegten Adminaccount WP zu nutzen. Sondern diesen zu löschen und durch einen anderen zu ersetzen. Hierzu hat Naddel einen kleinen Leitfaden verfasst.
Weitere Tips zum Theme WordPress Sicherheit findet man auch bei Frank Bueltge.
So…Und wenn Du jetzt noch ein Quasi “Blankes” Themes veröffentlichen würdest, dann könnte ich mir echt überlegen Dich zu heiraten.
Ich hab mir schon so oft überlegt ein neues Theme selbst aufzubauen, aber irgendwie stoße ich dann doch an meine Grenzen.
Du solltest also echt überlegen nicht vielleicht ein Leitfaden zum Theme Bau hier zu veröffentlich.
Die nötige Erfahrung scheinst Du ja inzwischen zu haben…
@Dan: Ha…da gab es vor mir schon klugere Köppe^^…so basiert mein Theme auf dem Blanco Theme von texto (link unter Lieblingsblogs)
Damit hab ich meine ersten Gehversuche gemacht. In Zusammenarbeit mit dem WP Codex und einen guten Buch für das Verständnis von PHP
[...] schon Gedanken gemacht und haben den ein oder anderen guten Tipp. Schließlich kann und will nicht jeder Webmaster jeden Sicherheitstipp bei sich umsetzen. Gerade eingriffe in die Datenbank sollten wohl überlegt [...]