Wer außerhalb der sicheren Quelle von der WordPress Seite auf der Suche nach einem neuen und geeigneten Theme für sein Blog ist, kann unter Umständen an das falsche Theme geraten. Böse Überraschungen sind dann möglicherweise vorprogrammiert, besonders in den Fällen, wo im Theme der Footer codiert wurde denn da lässt sich somit einiges drin verstecken.
Gründe von codierten Footer
Der ursprüngliche Gedanke, den Footer eines WordPress Theme zu verschlüsseln, hat leider einen begründetes Argument. Viele Theme Designer wollten es einfach nicht mehr hinnehmen, das die Nutzer den Link zu Ihnen einfach entfernt haben. Für mich ist dies sehr verständlich allerdings nicht wirklich eine gute Lösung. Hier wird mit einer recht harten Methode versucht, sein Werk zu Schützen bzw. einer Urheberrechtverletzung entgegen zu wirken. Wer nämlich den Link zum Theme Designer entfernt, verstößt in der Regel nicht nur gegen das Urheberrecht, sondern auch gegen die Nutzungsbedingungen. Bei kostenpflichtigen WordPress Themes, sieht die Sache wieder etwas anders aus. Entweder der Theme Designer verzichtet von vornerein auf den Link da er ja beispielsweise für seine Arbeit bezahlt wurde oder er bietet bzw. überlässt es dem Käufer, ob dieser den Link entfernen möchte.
Gefahren durch verschlüsselte Footer
Eine noch recht relativ wenig Schaden anrichtende Gefahr bei einem codierten Footer, ist der Einsatz von mehreren Links. Meistens findet hier ein regelrechter Linkverkauf statt. Der Theme Designer verdient somit im doppeltem Sinne. Er erhält in jedem Fall einen Backlink zu seiner Seite und hat die Möglichkeit, mit jedem einzelnen Theme, jeweils unterschiedliche Links in den Footer zu integrieren welche vorher von dritten in Auftrag gegeben wurden.
Dies kann unter Umständen ein sehr lukraktives Geschäft für den Theme Designer darstellen. Kreiert der Designer nun beispielsweise ein Theme speziell für den Finanzbereich, so wird er sicherlich keine Probleme haben, zwei Links in diesem Theme zu verkaufen. Themenrelevanz spielt hier ebenfalls eine Rolle beim Linkverkauf. Problematisch: Ist dieses WordPress Theme zudem noch kostenlos, darf man diese Links nicht ohne weiteres entfernen (Nutzungsrechte, siehe oben). Wer viel Pech hat, wird eventuell sogar noch von Google deswegen abgestraft denn Linkverkauf ist bei Google schlicht nicht erlaubt. Wer die Links dennoch entfernt, bringt sich wohlmöglich in echte Schwierigkeiten da der Designer einen bindenden Vertrag beim Linverkauf eingegangen ist. Entstehen ihm Verluste, holt er sich diese möglicherweise bei Euch zurück.
Weitaus größeren Schaden kann ein codierter Footer verursachen, wenn ein schadhafter Code integriert wurde. Es besteht damit die Möglichkeit, einen Virus oder Trojaner in den Blog einzuschleusen oder gar den Besucher damit zu infizieren. Im schlimmsten Falle, gelangen Fremde dadurch Zugang zum Blog und richten noch größeren Schaden an. Solche Fällen sind allerdings eher selten und auch kaum bekannt. Linkverkauf hingegen verbreitet sich zusehends.
Maßnahmen
Natürlich hat man die Möglichkeit, verschlüsselte Footer wieder zu decodieren. Hierzu muss man lediglich wissen, mit welcher Methode der Footer codiert wurde. Oftmals wird dies über PHP und ein Base64 Codierer verwendet, der fast immer und auch auf einem günstigen Hoster funktioniert. Mittlerweile werden die Footer gleich in mehreren Schritten auf diese Weise verschlüsselt, so dass es immer Aufwendiger wird, geeignete Online Tools zu finden, die diese Schritte umwandeln und decodieren können. Die Möglichkeiten zur Decodierung bestehen zwar aber in der Regel lohnt sich bald der Aufwand kaum noch.
Die einfachste und auch sicherste Methode, ist auf Themes mit codierten Footer gänzlich zu verzichten. Die Auswahl an guten sowie kostenlosen Themes für einen Blog, ist schier riesig. Eine 100% sichere Quelle für kostenlose Themes bietet nach wie vor WordPress mit dem Theme Verzeichnis. Die dort angebotenen WordPress Themes, werden nach einem strengen Regelwerk überprüft und lassen keine codierten Dateien jeglicher Art, zu. Bis dato sind mir auch keine kostenpflichtige Themes bekannt, welche verschlüsselte Footer beinhalten, dies wäre auch alles andere als seriös und dürfte auch der Reputation des Designer schaden.
Ich persönlich kenne eigentlich alle Möglichkeiten um einen Footer zu decodieren und habe diese auch im meinen Blog im letzten Jahr vorgestellt. Diese sind allerdings nicht mehr aktuell und funktionieren daher in den seltensten Fällen. Leider musste ich auch die Erfahrung machen, das damit doch wieder nur Unfug gemacht worden ist und wieder einmal lediglich der Link zum Designer und WordPress entfernt werden sollte. Dementsprechend gibt es in diesem Artikel keine Links zu Seiten oder gar Tools, auch "unter der Hand" nicht. Der Verzicht auf Themes mit codierten Dateien, ist eben immer noch der beste Schutz. Für Euch wie für die Besucher.
Autor: Andreas
Das mit den codierten Footern ist ein großes Thema.
Decodieren ist recht einfach. Einfach den Quelltext der Seite aufrufen und den Footer-Teil in die footer.php einfügen und den Base64-Mist vorher löschen. Wenn man nun auch noch Glück hat, kann man dann den Inhalt auch noch ändern und alle Links entfernen.
Richtig fies wird es aber erst dann, wenn man sich nun doch traut den Footer zu decodieren.
Denn das ein oder andere Theme funktioniert dann mit einem decodierten Footer nicht mehr. Auch wenn man alle belässt. Nun kann man entweder auf die Suche gehen, wo der Codierungs-Wahnsinn überall eingepflanzt wurde oder aber man lässt es.
Schwach finde ich es aber, wenn man (mir passiert) den Coder des Themes anschreibt und anbietet für das Theme zu bezahlen wenn er eine uncodierte footer.php liefert, und man bekommt dann nie eine Antwort…
“Im schlimmsten Falle, gelangen Fremde dadurch Zugang zum Blog und richten noch größeren Schaden an. Solche Fällen sind allerdings eher selten und auch kaum bekannt.”
Vielleicht kommt es selten im Footer von WP Themes vor, aber allgemein ist diese Methode sehr weit verbreitet. Der Angreifer hinterlässt irgendwo im Theme (wenn er etwas Ahnung hat bestimmt nicht im Footer) eine kleine Zeile Code und schon kann er System-Befehle ausführen und hat Kontrolle über den Webserver.
Ich würde raten die Templates genauer von jemandem, der Ahnung von PHP hat, überprüfen zu lassen. Dabei sollte man besonders nach Funktionen Ausschau halten, mit denen man System-Befehle ausführen oder PHP Code einschleusen kann. Dabei sollte man die Backticks (`) nicht vergessen – die übersieht man ziemlich schnell.
Ansonsten stimme ich zu – am besten WP Themes aus sicherer Quelle nutzen.
Euer neues Projekt ist übigens sehr gelungen und ich finde es gut, dass hier auch mal das Thema Sicherheit behandelt wird
Das es Leute gibt die solch einen Aufwand treiben um ein paar Euros zu sparen…. *kopfschüttel*
Entweder kostenloses Theme mit Link zum Designer oder bezahlen, bzw. selber basteln.
[...] aller Dümmsten. Schlaue Deppen gehen andere Wege. Andreas hat über codierte Footer im Artikel „Gefahren beim codierten Footer“ [...]
[...] man bei WordPress auf Themes mit codiertem Footer und vermeidet man es zudem, Themes aus unbekannten Quellen herunterzuladen, trägt man einen [...]
Also ich würde auch beachten, das schon das entschlüsseln des Footers strafbar ist in Deutschland, wenn sie denn als Kopierschutz kenntlich gemacht wurde. Das kann richtig teuer werden, auch wenn keiner dagegen vorgeht normalerweise.
Keine Rechtsberatung
Ich nutze die Theme Methode auch oft zum Linkaufbau. Ich habe mal einen Callback in eins meiner Themes eingebaut und nicht verschlüsselt. 80% haben den Link rausgenommen. Da muss man sich dann halt nicht wundern wenn Designer verschlüsseln.
Gruß Yves