Plug-InsSicherheitThemesWordpress

Wordpress-Themes und -Plug-Ins einfach erkennen

Wordpress erkennen

Zunächst einmal müssen Sie in Erfahrung bringen, ob die Website überhaupt unter Wordpress läuft. Das können Sie relativ leicht online herausbekommen, beispielsweise bequem online auf „builtwith.com“. Geben Sie einfach den Namen der Website ein und Buildwith erstellt Ihnen sehr schnell ein recht umfangreiches technisches Profil dieser Website.

Im Absatz „Content Management System“ finden Sie das von der Website genutzte CMS. Wenn hier „Wordpress“ steht, dann sind Sie zumindest schon einmal auf dem richtigen Weg. Im Falle dieser Website wurde folgendes angezeigt:

Screenshot von buildwith.com vom 20. September 2019

Verlassen Sie sich übrigens nicht zu sehr auf die restlichen Angaben. Bei von Beschleunigungs-Plug-Ins hochoptimierten Seiten versagen die meisten Erkennungssysteme für Themes und Plug-Ins gerne einmal. In den meisten dieser Fälle sind die Angaben zum Theme falsch und die Angaben zu den Plug-Ins zumindest unvollständig.

Das verwendete Theme feststellen

Das verwendete Theme lässt sich ebenfalls recht leicht herausfinden. Es gibt viele Tools, eine Google-Suche wird Ihnen einige anzeigen. Aber auch diese Tools versagen gerne auf optimierten Seiten (versuchen Sie beispielsweise einmal, das verwendete Theme dieser Website über „wpdetector.com“ herauszufinden, das Resultat sieht so aus).

Screenshot von wpthemedetector.com vom 20. September 2019

Nachtrag vom 26. September 2019 : Seit dem letzten Update des Themes auf dieser Website (auf Version 4.0) erkennt auch „wpdetector.com“ das Theme korrekerweise als „Jannah“. Nichtsdestotrotz liefert der unten erwähnte Detektor von „Satori-Studio“ bei vielen Websites immer noch die zuverlässigeren Ergebnisse-

Mehr Erfolg hat der Detektor von Satori-Studio, den ich gerne zu diesem Zweck nutze. Dieser Detektor erkennt richtigerweise, dass diese Website das Theme „Jannah“ nutzt. Und er liegt auch in den allermeisten anderen Fällen richtig.

Screenshot von satoristudio.net vom 20. September 2019

Falls Sie auch mit dem Detektor von Satori Studio nicht weiterkommen, bedeutet das normalerweise, dass die angegebene Website entweder ein erheblich modifiziertes oder ein komplett eigenentwickeltes Theme benutzt.

Die verwendeten Plug-Ins herausbekommen

So, bis jetzt war das alles sehr einfach. Wenn wir aber herausbekommen wollen, welche Plug-Ins eine bestimmte Seite benutzt, dann wird’s deutlich schwieriger. Und das liegt daran, dass die meisten guten Websites aus Performance-Gründen sehr stark optimiert werden (das erledigen Beschleunigungs-Plug-Ins wie das auf dieser Website verwendete „LiteSpeed“) .

Eine Webseite wird für optimale Perfomance nämlich so umorganisiert, dass viele Anhaltspunkte für Plug-Ins, die normalerweise im Quelltext der Seite vorhanden sind, auf solchen optimierten Seiten fehlen. Mehr dazu finden Sie etwas weiter unten.

Sie können es mit Tools wie „whatwpthemeisthat.com“ oder „wpthemedetector.com“ versuchen, aber bei ordentlich optimierten Seiten ist der Erfolg sehr überschaubar. Versuchen Sie’s einfach einmal und scannen Sie diese Website mit beiden Tools, sie werden keinen großen Erfolg haben. Bei wpthemdetector.com sah das Resultat wie folgt aus:

Screenshot von wpthemedetector.com vom 20. September 2019

Und damit bleibt Ihnen bei gut optimierten Websites eigentlich nur ein Weg. Suchen Sie sich die Adresse des Webmasters der Seite heraus und fragen Sie. Viele Webmaster sind allerdings sehr überlastet und geben solche Informationen auch nur sehr ungerne heraus, deswegen stehen Ihre Chancen auf eine ausführliche Antwort eher schlecht.

Wenn Sie übrigens wissen möchten, welche Plug-Ins auf dieser Website genutzt werden, so ist das wiederum sehr leicht. Sie werden nämlich mithilfe des kostenlosen Plug-Ins „Plugins List“ auf der Seite „Auf dieser Website installierte Plug-Ins“ fein säuberlich aufgelistet.

Warum Detektoren bei gut optimierten Seiten gerne versagen

Dazu müssen wir uns zunächst einmal eine normale von Wordpress erstellte Website ansehen.

Normalerweise bindet jedes Plug-In seine eigenen Formatierungsanweisungen in Form einer CSS-Datei in das Wordpress-System ein. Das geschieht über sogenannte Link-Anweisungen, die so ähnlich wie die folgende aussehen.

<link rel=’stylesheet‘ id=’xyz‘ href=’https://xyz.com/wp-includes/css/xyz.css‘ />

Wenn Sie sich also den Quelltext einer solchen Standardseite ansehen, dann finden Sie in diesen Link-Anweisungen sowohl den Namen (im Feld „id“) als auch den Speicherpfad (im Feld „href“) des Plug-Ins. Außerdem fügen viele Plug-Ins auch Kommentare in die Seiten ein, aus denen Dinge wie der Name des Plug-Ins, der Autor oder die Version hervorgehen. Alleine aus der Lektüre des Quellcodes der Seite bekommen Sie so Informationen zu vielen der verwendeten Plug-Ins. Und das ganz ohne Online-Tools.

Das muss übrigens nicht zwangsläufig für alle installierten Plug-Ins gelten, und zwar aus zwei Gründen. Zum einen gibt es einige Plug-Ins, bei denen die CSS-Datei nur auf den Seiten geladen werden, auf denen auch tatsächlich Ausgaben des Plug-Ins zu finden sind (so sollte es übrigens eigentlich immer sein) und nicht auf jeder Seite. Und zum zweiten gibt es einige Plug-Ins, die keine Ausgaben auf der Website selbst machen und daher auch keine CSS-Dateien benötigen (meistens handelt es sich hierbei um Verwaltungswerkzeuge, die nur im Verwaltungsbereich der Website sichtbar sind). Auch diese Methode hat also ihre Grenzen.

Allerdings hat dieser Seitenaufbau ein paar gehörige Nachteile. Zum einen macht er die Website langsamer, weil ein Webbrowser für jede einzelne dieser Dateien eine Anfrage beim Server starten muss, um die Datei zu laden. Das sind zwar jedes Mal nur ein paar Millisekunden, summiert sich bei vielen Plug-Ins aber ziemlich schnell. Und zum zweiten könnte es ein ziemliches Sicherheitsproblem werden.

Nehmen wir einmal an, das ein Plug-In einen Fehler hat und beispielsweise den Zugriff auf Benutzerdaten zulässt. Für einen Hacker wäre es ein Leichtes, sich mithilfe eines „Web-Crawlers“ alleine aus diesen Link-Anweisungen eine Liste von Websites erstellen zu lassen, die genau dieses Plug-In nutzt. Und diese Websites dann nacheinander zu infiltrieren. Und auch das ließe sich recht einfach automatisieren, weil das Vorgehen auf jeder dieser Websites das gleiche ist.

Ein gutes Optimierungssystem sorgt dafür, dass diese Problematik nicht erhalten bleibt. Es fasst nämlich alle diese CSS-Dateien zu einer einzigen zusammen oder schreibt die Formatierungsanweisungen einfach direkt in die HTML-Datei (das sogenannte Inline-CSS). Und das sorgt für zwei Dinge. Zum einen lädt die Website deutlich schneller, weil der Webbrowser nicht nach hunderten von Dateien suchen muss (was ja auch der eigentliche Sinn der Maßnahme ist). Aber zum zweiten ist ganz automatisch auch ein mögliches Sicherheitsrisiko verschwunden, weil jetzt aus dem Quellcode keine Rückschlüsse mehr auf die verwendeten Plug-Ins gezogen werden kann.

Mehr über die Optimierungsmethoden von Websites und die Funktionen der verschiedenen Optimierungsprogramme erfahren Sie übrigens in meinem Artikel „Wordpress richtig optimieren“.

Fazit

Sie wissen jetzt, wie Sie ziemlich einfach an ein paar Informationen über eine Wordpress-Website herankommen. Zumindest den Namen des verwendeten Themes sollten Sie bei den meisten Wordpress-Websites in Erfahrung bringen können, bei (leider) sehr vielen auch die verwendeten Plug-Ins.

Aber vor allem wissen Sie jetzt auch, dass es eigentlich kein besonders gutes Zeichen für eine Website ist, wenn Sie an Daten über Plug-Ins so einfach herankommen.

Ich wünsche Ihnen jedenfalls viel Spaß beim Ausprobieren des neu erworbenen Wissens.

Claus Nehring

Der Autor ist freiberuflichler Web-Entwickler mit Sitz in Luxemburg. Er entwickelt seit mehr als 25 Jahren Websites für seine Kunden und hat sich in den letzten 12 Jahen auf Websites auf Basis von Wordpress spezialisiert. Er publiziert ständig Artikel zu Themen rund ums Internet in verschiedenen Foren.

Related Articles

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.


Durch das Abschicken des Kommentars werden die eingegebenen Daten in der Datenbank dieser Website gespeichert. Ausserdem speichern wir aus Sicherheitsgründen Ihre IP-Adresse für einen Zeitraum von 60 Tagen. Weitere Informationen zur Datenverarbeitung finden Sie in der Datenschutz-Erklärung.

Back to top button
Close