Wie finde ich schädlichen Code in Wordpress Themes und Plugins

Abseits von Wordpress.org in "dunklen gefährlichen" Pfaden des Netzes existieren tausende Seiten, die freie kostenlose Wordpress Themes und Plugins zum download anbieten.

Meistens auch noch teure Premium Themes und Plugins. Leider, und das ist wohl den meisten klar, kann man niemandem trauen, denn was haben dunkle Quellen davon Premium Themes zu verschenken?

Gar nichts! Wie man so schön sagt....wenn etwas zu schön ist um wahr zu sein, ...

Diese Themes und Plugins enthalten schädlichen Code der meistens erst gefunden wird, wenn es zu spät ist und euer Blog im schlimmsten Fall bereits down. 

Wie entferne ich jetzt diesen Code aus den Themes? Bevor ich dazu komme, will ich erklären warum.

Also warum schreiben diese Leute schadhaften Code in Premium Themes?

Die Antwort ist meistens um daraus irgendeinen Profit zu schlagen!

Beispiele:

1. Um von euch Backlinks zu bekommen. (ohne euer wissen)
2. Um Zugang zu Deinem Blog zu bekommen!
3. Um mit deinem Blog ihre links zu spammen.
4. Um ihre Ads und Banner zu verbreiten!
5. oder einfach nur um deine Seite zu zerstören

Durch die hohe CPU Last zb die der schädliche Code erzeugt können sogar große Webhosts in die Knie gezwungen werden. Wenn hunderte oder gar tausende Seiten auf ein Kommando
loslegen ist der Denial of Service (DDoS) Angriff geglückt und der Server geht down. 

Wie komme ich darauf einen solchen Artikel zu schreiben?

Ja, auch ich bin auf ein solches Wordpress Theme reingefallen. Dabei hab ich es noch nicht mal benutzt oder aktiviert. Wie wohl die meisten Leute wollte ich mir nur mal anschauen wie es aussehen würde dieses oder jenes Theme zu besitzen. 

Verständlich ,wie ich finde, da die Unterschiede zu freien Themes teilweise schon enorm sind.

Selbst ohne es zu aktivieren hat das Theme allein durch die Vorschau-Funktion eine Serverlast von über 70% ausgelöst.

 Und dauerhaft gehalten sodass dem Anbieter nichts übrigblieb als meinen Account zu suspendieren. 

Also lange Rede kurzer Sinn: Traue niemals kostenlosen Theme und Plugin Anbietern!

Tolle Geschichte, aber manche von Euch wollen diese Plugins, Themes und Scripte ,warum auch immer, trotzdem nutzen.

Wie bekomme ich schädlichen Code aus den Themen und Scripten?

Für diejenigen jetzt das folgende Tutorial:

1. Wir suchen nach Viren und Trojanern

    geht auf VirusTotal.com und ladet die Zipdatei (die euer Theme oder Plugin enthält)

    hoch um zu sehn ob ein Virus enthalten ist. 

    Bekommt ihr ein rotes Signal ist die Datei infiziert, wenn nicht könnt ihr zum nächsten Schritt.

2. Als nächstes überprüfen wir ob irgendein unerwünschter Code enthalten ist:

    Dazu ladet ihr am besten ein Wordpress Plugin das Exploit Scanner heisst, man kann es sicher und     sauber auf der Wordpress Hauptseite runterladen.

    Nach der Installation des Plugins geht ihr in eurer Wordpress auf   Dashboard >Tools >>Exploit       Scanner und startet den Scan. Es dauert eine Weile bis ihr ein Ergebnis bekommt.

Mit dem Exploit Scanner könnt ihr auch die Themes durchscannen und den Schadcode danach manuell entfernen.

Authentizität überprüfen

In kostenlosen Themes sind Backlinks keine Seltenheit aber ihr könnt schadhafte Themes mit dem Plugin Theme Authenticity Checker ,kurz TAC, finden.

Dieses warnt euch wenn verschlüsselte links im Theme gefunden werden 

Wirklich gehackt zu werden ist relativ selten, häufiger wird gespamt und Werbung aufgeschaltet oder verbreitet.

Dennoch solltet ihr darauf achten eure Seite oder euren Blog zu sichern um euch ein unschönes erwachen zu ersparen!