Warum man ungenutzte Plugins und Themes löschen sollte

Warum man ungenutzte Plugins und Themes löschen sollte

Eine sehr häufige Frage die Anzahl installierter Plugins und Themes betreffend ist, ob diese die Geschwindigkeit von WordPress negativ beeinflussen. Zumindest diesbezüglich sind Bedenken jedoch völlig unbegründet. Lediglich das aktive Theme sowie aktive Plugins haben Einfluss auf die Performance. Es gibt aber einen weiteren Aspekt, der leider oft nicht bedacht wird.

Bevor ich darauf eingehe möchte ich noch einmal auf die #performance zurückkommen. Die Anzahl installierter Plugins bzw. Themes wirkt sich genaugenommen nämlich sehr wohl auf die Geschwindigkeit von WordPress aus. Nur sollte man davon eigentlich nichts bemerken.

Selbstverständlich wird der Plugins- sowie der Themes-Bereich im Dashboard langsamer. Ruft man den jeweiligen Bereich auf, dann wird jedes installierte #plugin bzw. jedes installierte #theme angezeigt und nicht nur die aktiven. Es liegt auf der Hand, dass das Laden und Anzeigen umso länger dauert, je mehr Plugins oder Themes vorhanden sind. Das betrifft also nur den Admin-Bereich und nicht die Website selbst.

Darüber hinaus ist auch die Prüfung auf vorhandene Updates betroffen. Diese Prüfung erfolgt auch für nicht aktive Plugins und Themes. Für jedes einzelne Plugin bzw. Theme wird überprüft ob auf wordpress.org – bzw. auf einem Update-Server des jeweiligen Herstellers, wenn es sich um ein Plugin oder Theme handelt, das nicht von wordpress.org stammt und für das automatische Updates angeboten werden – eine neuere Version zur Verfügung steht. Diese Überprüfung findet standardmäßig alle 12 Stunden statt. Wobei das so nicht ganz stimmt.

Wenn jemand eine beliebige Seite Deiner WordPress-Website aufruft, dann wird als erstes geprüft, ob die letzte Update-Überprüfung 12 Stunden oder länger her ist. Ist das der Fall, dann wird die Update-Prüfung ausgeführt. Somit können zwischen zwei Update-Prüfungen durchaus auch mehr als 12 Stunden liegen. Dieser Mechanismus läuft bei jedem Aufruf – also nicht nur im Admin-Bereich. Trotzdem macht sich das bei der Laufzeit nicht bemerkbar, weil diese Prüfung erfolgt, nachdem die Seite vollständig ausgeliefert worden ist. Obwohl die Dauer der Update-Prüfung also sehr wohl von der Anzahl installierter Plugins und Themes abhängig ist, hat dies auf die Geschwindigkeit, mit der Seiten geladen werden, keinen Einfluss.

Installierte inaktive Plugins und Themes haben also keinen Einfluss auf die Geschwindigkeit einer Website – abgesehen vom Admin-Bereich. Es gibt aber dennoch einen Grund, warum man nicht aktive Plugins und Themes unbedingt löschen sollte. Dieser wird leider sehr oft übersehen und so manche WordPress-Installation verkommt im Laufe der Zeit zu einem Sammelsurium von Plugins, die irgendwann einmal genutzt worden sind und nun inaktiv vor sich hindämmern.

Jede Software hat potenzielle Schwachstellen, die von Hackern genutzt werden können um ein System anzugreifen. Plugins und Themes für WordPress sind da keine Ausnahme. Auch wenn ein Plugin oder ein Theme nicht aktiv ist, liegt der Programmcode auf der Festplatte des Servers und bietet ein potenzielles Angriffsziel. Gerade Plugins, die schon lange nicht mehr genutzt werden und die nicht mehr aktiv weiterentwickelt werden, stellen ein Sicherheitsrisiko dar.

Dabei ist WordPress nicht unsicherer als jede andere Software auch. Im Prinzip ist WordPress an sich sogar relativ sicher. Inwieweit das auch für Plugins und Themes gilt, ist ein andere Sache. Bei den vielen tausenden Plugins und Themes von tausenden unterschiedlichen Entwicklern gibt es natürlich Unterschiede die Sicherheit betreffend. Aber selbst bei noch so akribischer Berücksichtigung der Sicherheit können einerseits trotzdem Fehler passieren und andererseits gibt es auch Schwachstellen, die außerhalb der Verantwortung eines Entwicklers liegen, wie beispielsweise eine Sicherheitslücke im Webserver selbst, in der Datenbank oder in der Programmiersprache PHP.

Sicherheitsrisiken können nicht ausgeschlossen werden. Und da WordPress weltweit das mit Abstand am häufigsten eingesetzte Content Management System ist, ist es für Angreifer natürlich höchst interessant. Die Denkweise „meine kleine private Website interessiert doch keinen Hacker“ ist völlig falsch. Solche Angriffe laufen heute in der Regel hoch automatisiert ab und verbreiten sich über Viren. Schon lange stellt sich nicht mehr die Frage, ob eine Website angegriffen wird – die einzige Frage ist nur, wann.

In der Regel wird dem Thema #sicherheit von den meisten Entwicklern große Aufmerksamkeit geschenkt. Sicherheitslücken werden, sobald sie entdeckt werden, oft sehr schnell geschlossen. Verfügbare Updates so schnell wie möglich zu installieren ist damit schon die wichtigste Maßnahme um Angreifern keine Chance zu geben. An zweiter Stelle steht, die Zahl potenzieller Schwachstellen so gering wie möglich zu halten. Je mehr Programmcode am Webserver herumliegt, desto mehr potenzielle Lücken gibt es. Es ist deshalb unbedingt zu empfehlen, nicht mehr benötigte Software vollständig vom Server zu entfernen, um das Risiko zu verringern. Aus diesem Grund sollten sowohl Plugins als auch Themes, die nicht mehr benötigt werden, nicht nur deaktiviert, sondern gelöscht werden.

Du kannst mir gerne eine Nachricht zukommen lassen. Bitte habe etwas Geduld, die Beantwortung kann einige Zeit dauern.