Wordpress Themes - Updates nötig bzgl. Sicherheit?

[=DarkEagle=]

Moin,
ich betreibe einen Blog mit Wordpress. Für ein Theme, was ich verwende, steht ein Update aus.
Ich habe das Theme manuell auch nachbearbeitet, sodass ich kein Update machen will, da das dann erneut für mich Arbeit bedeutet. Wie sieht das in Bezug auf Sicherheit aus? Können durch Themes auch Sicherheitslücken entstehen, sodass man sein Theme auch immer aktualisieren muss? Oder reicht es auch, immer Wordpress aktuell zu halten?

 

[BlubbsDE]

Ja, Themes können auch Sicherheitslöcher produzieren. Auch die solltest Du aktuell halten. idR ändert man ja nur an wenigen Dateien und an wenigen Stellen etwas an einem fertigen Themes. Schau einfach, vielleicht sind die von Dir veränderten Dateien nicht geupdated worden. Und wenn doch, musst Du halt Deine Änderung wieder in die neue Version einbauen.

 

[Blackii-(AUT)]

Naja was heißt Sicherheitslücken, Datenleck kann entstehen ja. Vorallem weil die Themes ja auch PHP basiert sind.
Nachdem du aber einen Blog schreibst ist es sehr wahrscheinlich das es dir egal ist ob jemand an Daten von der HP selbst ran kommt.

Folge: Updaten ist empfohlen und sinnvoll, dass aber jemand großartigen Zugriff (Posts veröffentlicht o.ä.) bekommt ist unwahrscheinlich.
Ich selbst update wordpress Themes meist nie.

 

[=DarkEagle=]

Datenleck ist mir sozusagen da wirklich egal. Es geht nur darum, dass der Blog nicht "übernommen" wird und für irgendwas missbraucht wird. Datenleck ist zweitrangig, da eh alles an Daten veröffentlich wird.

 

[Daaron]

Naja was heißt Sicherheitslücken, Datenleck kann entstehen ja. Vorallem weil die Themes ja auch PHP basiert sind.
Nachdem du aber einen Blog schreibst ist es sehr wahrscheinlich das es dir egal ist ob jemand an Daten von der HP selbst ran kommt.

Vollkommen falsch.
In dem Moment, wo ein Theme oder Plugin eine Lücke ins System reißt, kann ein versierter Eindringling ALLES mögliche anstellen.
1.) natürlich kann er deine Datenbank klauen und, aufgrund der peinlichen Verschlüsselung von WP, dein Passwort quasi im Klartext lesen
2.) er kann deine Seite als Spamschleuder (mail() lässt grüßen) verwenden
3.) er kann deine Seite mit Malware infizieren
4.) er kann auf deiner Seite illegale Inhalte hosten, von Warez bis Kinderpornos

Während 1. nur dein persönliches Problem ist, haben 2-4 schwere JURISTISCHE Folgen. Das Zauberwort heißt Störerhaftung. Was wird im Fall 2-4 passieren?
- der Hoster wird deine Seite umgehend abschalte, um Negativfolgen für seine Server zu verhindern (z.B. Mail-Blacklisting bei Spam)
- Empfänger von Spam-Mails können (und werden) dich abmahnen
- die Staatsanwaltschaft wird sich die Verbreitung illegaler Inhalte nicht lange tatenlos angucken

 

[Blackii-(AUT)]

^Das ist so ein Blödsinn... ^
Sorry aber dann schau dir mal die Theme Codes an, bezügl. Logins etc. ist da nicht wirklich was möglich.

Ergänzung (16. Mai 2014)

Wordpress selbst ist sehr wichtig zum Updaten den dieses handled die ganze Login Sache etc. aber ein Theme hat nur verweisungen auf die jeweilige Wordpress Funktionen, ein Theme handeld nie selbst den Login o.ä. das macht immer noch Wordpress. Zumal das Theme hauptsächlich aus CSS besteht. Aber andere wissen es ja besser.

 

[WhiteShark]

Ja andere Wissens wirklich besser. Ich muss Daaron da recht geben.
Die meisten Themes bieten Optionen inklusive Datei Upload an.
Ist das schlecht programmiert, so kann man auch ohne Login hochladen. Bspw eine eigene Php Datei welche die Datenbank ausliest.

 

[Daaron]

^Das ist so ein Blödsinn... ^
Sorry aber dann schau dir mal die Theme Codes an, bezügl. Logins etc. ist da nicht wirklich was möglich.

Warum gibt es für Themes dann SICHERHEITS-Updates, wenn die keine Lücken haben können?

Themes sind PHP-Code. Gerade wenn der Ersteller irgendwelche speziellen Spielereien einbauen wollte (Frontend-Galerie-Uploads zum Beispiel), wird hier durchaus kritischer Kram ausgeführt.

Du willst wissen, wie man ganz schnell schwere Sicherheitslücken in ein Template einbaut? Nehmen wir mal das Twentyforteen-Theme als Basis.

function twentyfourteen_the_attached_image() {
...
printf( '<a href="%1$s" rel="attachment">%2$s</a>',
esc_url( $next_attachment_url ),
wp_get_attachment_image( $post->ID, $attachment_size )
);
}

So... schreib mal was analoges, bei dem aber nicht $post->ID verwendet wird, sondern der Vollidiot von Entwickler $_POST['ID'] verwendet hat (also kein Input-Filter). Jetzt lass in wp_get_attachment_image() noch irgendwo eine Deserialisierung stattfinden... BÄM, du hast eine PHP Data Object Injection.

Themes sind PHP-Code, Code kann man verpfuschen.

 

[=DarkEagle=]

Okay. Ich sehe schon. Die Updates bleiben nicht aus. Ich werde mir dann mal meine Änderungen aufschreiben und ggf. ein PHP-Script was nach einem Update eifnach wieder meine Änderungen in das Theme reinschreibt. Sollte klappen.

 

[Daaron]

Du kannst dich auch damit befassen, wie du diff und patch verwendest. Spart auch etwas Ärger....

 

[Colonel Decker]

Ich bastele gerade für das Business meiner Freundin eine Seite mit Wordpress (lokal, XAMPP), und habe in der Dokumentation ihres gekauften Wunsch-Themes etwas von "child theme" gelesen, was anscheinend dafür da sein soll, dass man das Theme updaten kann ohne evtl. Änderungen am Theme zu verlieren.

Bisher habe ich noch nicht viel Ahnung wie das aktualisieren überhaupt abläuft, und ob er automatisch nur den Ordner aktualisiert, den er aktualisieren soll, oder ob ich da werde aufpassen müssen. Aber vielleicht ist es ja eine gute Idee für die Leute in diesem Thema, sich mal zu "child themes" schlau zu machen?

Mich beschäftigen bisher eher so Fragen wie, ob ich den Header irgendwie statisch machen kann, da meine Freundin eigentlich möchte, dass der Header samt primärem Menü beim herunter scrollen oben im Bild bleibt. Falls da einer zufällig einen Tipp hat, immer her damit. Ein eigenes Thema oder eine Anfrage beim Theme-Dev ist es mir derzeit noch nicht wert, da momentan zunächst noch diverse Inhalte auf die Seite müssen.

 

[Daaron]

Im einfachsten Fall (aller möglicher Kram statisch) findest du heraus, welche Höhe der Header hat, stetzt ihn auf position:fixed; und gibst dem Folgeelement n margin-top von der Höhe des Headers.
Wenn die Seite aber auf ein Responsive Design setzt, dann wird das im Zweifel nix. Da muss etwas JavaScript-Logik ran.

 

[Colonel Decker]

@Daaron

Danke, ich gucke da heute Abend mal rein. Bisher habe ich noch nicht viel Ahnung, also wie ich den Header auf "fixed" setze muss ich mir dann raus suchen. Bisher weiss ich nur dass es nen Editor gibt und da auch ne header.php Datei oder so. Vielleicht macht man sowas ja da drin?

Habe gerade aber noch etwas mehr hier im Forum gestöbert, und nun bin ich sowieso verunsichert, ob WP eine gute idee ist für die Seite meiner Freundin. Klingt nämlich so, als sei Joomla doch besser und sicherer... nur fraglich wieviel schwieriger es ist, da ich bisher keine wirkliche Erfahrung mit Web-Entwicklung habe. Sprich, bisher suche ich mir Sachen zusammen, und vom Code habe ich nur soviel Ahnung, dass ich ihn ggf. ein wenig modifizieren kann, aber wenn ich keine Vorlage habe, kann ich in Sachen Code fast gar nichts.

 

[Daaron]

Nimm weder Joomla noch Wordpress. Ich kann dir nur Contao ans Herz legen. Wenn man sich erst einmal in das Bedienkonzept eingelesen hat geht alles locker von der Hand.

Und was die header.php angeht: Finger weg.
Alles, was du ändern musst, ist das Stylesheet, also die passende .css - Datei.