Wie man herausfindet, welches WordPress-Theme eine Website verwendet

Die Identifizierung des WordPress-Themes, das auf einer Website läuft, basiert auf einem zentralen Prinzip: WordPress speichert alle Theme-Assets unter einem vorhersehbaren Verzeichnispfad — /wp-content/themes/[theme-slug]/ — und dieser Pfad erscheint im gerenderten HTML, in CSS-Referenzen und in HTTP-Antworten an mehreren Stellen. Wenn man weiß, wo man suchen muss, dauert die Erkennung unter zwei Minuten ohne spezielle Tools.

Dieser Leitfaden behandelt alle zuverlässigen Erkennungsmethoden, von automatisierten Online-Detektoren bis zur Inspektion von HTTP-Rohdaten, einschließlich der Sonderfälle, in denen Themes absichtlich verschleiert werden, und was in diesen Szenarien noch extrahiert werden kann.

Warum die Identifizierung eines WordPress-Themes wichtig ist

Über bloße Neugier hinaus dient die Theme-Identifizierung mehreren legitimen professionellen Zwecken:

• Design-Recherche: Ein Layout oder UI-Muster replizieren, indem man das genaue Theme findet, anstatt es von Grund auf neu zu erstellen.
• Wettbewerbsanalyse: Den Technologie-Stack von Mitbewerbern in der eigenen Nische verstehen.
• Sicherheitsaudits: Überprüfen, ob eine verwaltete oder zu prüfende Website eine veraltete oder anfällige Theme-Version verwendet.
• Client-Onboarding: Bei der Übernahme einer WordPress-Website ohne Dokumentation ist die Theme-Erkennung oft der schnellste Weg, den Stack zu rekonstruieren.
• Plugin-Kompatibilitätsprüfungen: Viele Premium-Themes bündeln spezifische Plugins; die Kenntnis des Themes hilft, den vollständigen Abhängigkeitsbaum vorherzusagen.

Wenn Sie eine WordPress-Website aufbauen oder migrieren — ob auf Shared Web Hosting oder einer vollständig verwalteten VPS Hosting-Umgebung — ist die Kenntnis des genauen Theme-Slugs unerlässlich, bevor Sie ein Design replizieren oder eine übernommene Installation prüfen können.

Methode 1: Automatisierte Online-Theme-Detektoren

Automatisierte Tools sind der schnellste Ausgangspunkt. Sie analysieren den Seitenquelltext, lösen CSS- und JavaScript-Asset-URLs auf und gleichen sie mit bekannten Theme-Datenbanken ab, um in Sekunden strukturierte Ergebnisse zu liefern.

What WordPress Theme Is That (whatwpthemeisthat.com)

Dies ist der am häufigsten zitierte Detektor. Er gibt den Theme-Namen, die Version, den Autor, die Theme-URI und eine Liste aktiver Plugins zurück, die aus eingebundenen Skripten und Stylesheets erkannt wurden.

Verwendung:

1. Navigieren Sie zu whatwpthemeisthat.com.
2. Fügen Sie die vollständige URL der Zielseite in das Eingabefeld ein.
3. Klicken Sie auf Search.
4. Überprüfen Sie die zurückgegebene Theme-Karte — sie enthält einen direkten Link zum Repository oder zur Kaufseite des Themes.

Einschränkung: Wenn die Website ein stark angepasstes Child-Theme verwendet oder das Theme-Verzeichnis umbenannt wurde, gibt das Tool möglicherweise den Namen des übergeordneten Themes zurück oder schlägt vollständig fehl.

WPThemeDetector (wpthemedetector.com)

WPThemeDetector geht einen Schritt weiter und katalogisiert auch aktive Plugins neben dem Theme. Es ist besonders nützlich, wenn Sie das gesamte Plugin-Ökosystem verstehen möchten, nicht nur das Theme.

Verwendung:

1. Gehen Sie zu wpthemedetector.com.
2. Geben Sie die URL der Zielseite ein.
3. Klicken Sie auf Experience the magic of WPTD.
4. Die Ergebnisseite listet das aktive Theme und bis zu 20 erkannte Plugins mit Links zu ihren WordPress.org-Einträgen auf.

Einschränkung: Die kostenlose Version begrenzt die Anfragen. Für Massenanalysen ist die manuelle Inspektion praktischer.

IsItWP (isitwp.com)

IsItWP kombiniert Theme-Erkennung mit einem umfassenderen Technologie-Fingerprinting-Scan. Es bestätigt, ob die Website überhaupt WordPress verwendet, bevor es versucht, das Theme zu identifizieren — nützlich, wenn Sie nicht sicher sind, ob es sich bei der Zielseite überhaupt um eine WordPress-Installation handelt.

Methode 2: Direktes Inspizieren des Seitenquelltexts

Wenn automatisierte Tools fehlschlagen oder mehrdeutige Ergebnisse liefern, ist der Seitenquelltext die Grundwahrheit. WordPress fügt das Stylesheet des aktiven Themes standardmäßig als <link>-Tag im <head>-Abschnitt jeder Seite ein.

Anzeigen des rohen Seitenquelltexts

1. Öffnen Sie die Zielseite in einem beliebigen Browser.
2. Drücken Sie Ctrl+U unter Windows/Linux oder Cmd+U unter macOS, um den rohen Quelltext in einem neuen Tab zu öffnen.
3. Drücken Sie Ctrl+F (Windows/Linux) oder Cmd+F (macOS), um die Suchleiste zu öffnen.
4. Suchen Sie nach der Zeichenfolge wp-content/themes/.

Sie suchen nach einer Zeile mit folgender Struktur:

<link rel='stylesheet' id='theme-name-css'
      href='https://example.com/wp-content/themes/theme-slug/style.css?ver=3.2.1'
      type='text/css' media='all' />

Das Segment zwischen /wp-content/themes/ und dem nächsten / ist der Theme-Verzeichnisname (auch Theme-Slug genannt). Dies ist der kanonische Bezeichner, der im WordPress-Theme-Repository und von Theme-Entwicklern verwendet wird.

Profi-Tipp: Der ?ver=-Abfrageparameter gibt oft die Theme-Versionsnummer preis, was für Sicherheitsaudits entscheidend ist. Vergleichen Sie diese Version mit dem Changelog des Themes, um festzustellen, ob sie aktuell ist.

Was der style.css-Header verrät

Sobald Sie den Theme-Slug haben, können Sie direkt auf sein Stylesheet zugreifen, indem Sie die URL manuell erstellen:

https://example.com/wp-content/themes/theme-slug/style.css

Der Anfang eines korrekt aufgebauten WordPress-Theme-Stylesheets enthält einen strukturierten Kommentarblock, der als Metadaten-Manifest des Themes fungiert:

/*
Theme Name:  Astra
Theme URI:   https://wpastra.com/
Author:      Brainstorm Force
Author URI:  https://www.brainstormforce.com/
Description: Astra is fast, fully customizable & beautiful WordPress theme...
Version:     4.6.11
License:     GNU General Public License v2 or later
License URI: http://www.gnu.org/licenses/gpl-2.0.html
Text Domain: astra
Tags:        custom-background, custom-logo, custom-menu, ...
*/

Dieser Block liefert Ihnen den genauen Theme-Namen, die Version, den Autor und die Lizenz — alles, was Sie benötigen, um die offizielle Quelle des Themes zu finden.

Sicherheitshinweis: Einige gehärtete WordPress-Konfigurationen blockieren den direkten Zugriff auf Theme-Dateien über .htaccess-Regeln oder NGINX-Location-Blöcke. Wenn Sie eine 403 Forbidden-Antwort erhalten, hat der Website-Administrator den Verzeichniszugriff explizit eingeschränkt — eine gute Sicherheitspraxis.

Methode 3: Browser-Entwicklertools für tiefgehende Inspektion

Browser-DevTools bieten mehr Kontrolle als die reine Quelltextansicht, besonders wenn eine Seite dynamisch zusammengestellt wird oder Assets asynchron geladen werden.

Verwendung des Elements-Panels

1. Klicken Sie mit der rechten Maustaste auf eine beliebige Stelle der Zielseite und wählen Sie Untersuchen (Chrome, Firefox, Edge).
2. Drücken Sie im Tab Elements Ctrl+F, um im DOM zu suchen.
3. Suchen Sie nach wp-content/themes, um alle übereinstimmenden Knoten hervorzuheben.
4. Untersuchen Sie die href-Attribute von <link>-Tags und src-Attribute von <script>-Tags — beide enthalten den Theme-Slug.

Verwendung des Netzwerk-Panels

Das Netzwerk-Panel ist die zuverlässigste Methode, wenn eine Website JavaScript-gerenderte Inhalte verwendet oder das Laden von Stylesheets verzögert:

1. Öffnen Sie die DevTools und wechseln Sie zum Tab Netzwerk.
2. Filtern Sie nach CSS oder Alle.
3. Laden Sie die Seite mit Ctrl+Shift+R (Windows/Linux) oder Cmd+Shift+R (macOS) hart neu.
4. Suchen Sie nach Anfragen, deren URL-Pfad /wp-content/themes/ enthält.
5. Klicken Sie auf die Anfrage, um die Antwort-Header zu untersuchen — der Last-Modified-Header kann auch Hinweise auf den Update-Verlauf des Themes geben.

Lesen von HTTP-Antwort-Headern

Einige WordPress-Konfigurationen geben den X-Powered-By oder benutzerdefinierte Header preis, die auf das Theme oder Framework verweisen. Klicken Sie im Netzwerk-Panel auf eine beliebige Seitenanfrage und untersuchen Sie den Abschnitt Antwort-Header. Obwohl dies selten allein schlüssig ist, kann es Erkenntnisse aus anderen Methoden bestätigen.

Methode 4: Überprüfung des Footers auf Theme-Credits

Viele kostenlose und Freemium-WordPress-Themes enthalten als Bedingung ihrer kostenlosen Lizenz einen „Powered by”-Attributionslink im Footer. Dies ist die aufwandsärmste Erkennungsmethode, wenn sie anwendbar ist.

Scrollen Sie ganz nach unten auf der Zielseite und suchen Sie nach Textmustern wie:

• Powered by [Theme Name]
• WordPress Theme by [Developer Name]
• [Theme Name] by [Author]

Diese Credits verlinken in der Regel direkt auf die offizielle Seite des Themes. Premium-Themes und Websites, bei denen der Eigentümer die Footer-Credits entfernt hat — was unter GPL und den meisten kommerziellen Lizenzen erlaubt ist — zeigen dies jedoch nicht an.

Sonderfall: Einige Theme-Entwickler verlangen die Beibehaltung des Footer-Credits als Bedingung der kostenlosen Lizenz. Das Entfernen ohne Kauf einer Premium-Lizenz verstößt technisch gesehen gegen die Lizenzbedingungen. Wenn kein Footer-Credit zu sehen ist, verwendet die Website entweder ein Premium-Theme oder der Eigentümer hat für die Entfernung der Attribution bezahlt.

Methode 5: Erkennung von Child-Themes und Parent-Theme-Beziehungen

Eine wichtige Nuance, die die meisten Erkennungsleitfäden auslassen: Child-Themes sind in produktiven WordPress-Websites äußerst verbreitet und verändern grundlegend, was Sie im Quelltext finden.

Wenn eine Website ein Child-Theme verwendet:

• Das aktive Stylesheet href verweist auf das Child-Theme-Verzeichnis (z. B. /wp-content/themes/astra-child/style.css).
• Der style.css-Header des Child-Themes enthält ein Template:-Feld, das das Parent-Theme identifiziert.
• Beide Verzeichnisse existieren gleichzeitig auf dem Server.

Beispiel eines Child-Theme-Headers:

/*
Theme Name:  Astra Child
Template:    astra
Version:     1.0.0
*/

Die Template: astra-Zeile ist der eindeutige Indikator. Das Parent-Theme — in diesem Fall astra — enthält die Kernfunktionalität und das Design-System. Das Child-Theme überschreibt nur bestimmte Templates oder Stile.

Was das für Sie bedeutet: Wenn Sie das Design replizieren möchten, benötigen Sie das Parent-Theme, nicht das Child-Theme. Wenn Sie die Anpassungen verstehen möchten, benötigen Sie beide.

Methode 6: Verwendung von WP-CLI auf zugänglichen Servern

Wenn Sie SSH-Zugang zur WordPress-Installation haben — zum Beispiel auf Ihrer eigenen VPS Hosting-Umgebung oder einem Dedicated Server — bietet WP-CLI die maßgeblichsten verfügbaren Theme-Informationen:

wp theme list --path=/var/www/html/wordpress

Beispielausgabe:

+------------------+----------+-----------+---------+
| name             | status   | update    | version |
+------------------+----------+-----------+---------+
| astra            | active   | none      | 4.6.11  |
| astra-child      | active   | none      | 1.0.0   |
| twentytwentyfour | inactive | available | 1.1     |
+------------------+----------+-----------+---------+

Für eine Website, die Sie remote ohne SSH-Zugang prüfen, ist diese Methode nicht verfügbar — aber für Ihre eigenen Installationen ist sie die definitive Informationsquelle und zeigt auch inaktive Themes, die eine Angriffsfläche darstellen können, wenn sie ungepatcht bleiben.

Methode 7: Abfrage der WordPress REST API

WordPress stellt standardmäßig eine REST API bereit. Bei vielen unveränderten Installationen gibt der folgende Endpunkt Theme-bezogene Daten zurück, die in den allgemeinen Informationen der Website eingebettet sind:

https://example.com/wp-json/wp/v2/themes

Wichtiger Vorbehalt: Seit WordPress 5.7 erfordert dieser Endpunkt eine Authentifizierung — nicht authentifizierte Anfragen erhalten eine 401 Unauthorized-Antwort. Der allgemeine Website-Info-Endpunkt gibt jedoch manchmal Theme-Daten preis:

https://example.com/wp-json/

Suchen Sie nach gmt_offset, timezone_string und gelegentlich Theme-bezogenen Metadaten in der JSON-Antwort. Dies ist eine inkonsistente Methode, aber es lohnt sich, sie bei älteren oder falsch konfigurierten Installationen zu prüfen.

Umgang mit verschleierten oder gehärteten Websites

Einige WordPress-Installationen sind absichtlich so konfiguriert, dass die Theme-Identität verschleiert wird. Hier ist, wie jede Gegenmaßnahme aussieht und was dennoch ermittelt werden kann:

Keine einzelne Gegenmaßnahme blockiert gleichzeitig alle Erkennungsvektoren. Eine Website müsste alle oben genannten Maßnahmen implementieren, um effektiv undurchsichtig zu sein — was betrieblich unpraktisch wäre und legitime Funktionen beeinträchtigen würde.

Vergleich: Theme-Erkennungsmethoden auf einen Blick

Praktische Überlegungen bei der Verwendung eines erkannten Themes

Sobald Sie das Theme identifiziert haben, folgen mehrere nachgelagerte Entscheidungen:

Lizenzierung: Die meisten WordPress-Themes sind GPL-lizenziert, was eine freie Weitergabe erlaubt. Premium-Themes, die über Marktplätze wie ThemeForest verkauft werden, verwenden jedoch eine geteilte Lizenzierung — der PHP-Code ist GPL, aber gebündelte Assets (Bilder, Schriften, JavaScript-Bibliotheken) können kommerzielle Lizenzen tragen. Der Kauf einer legitimen Lizenz ist der richtige Weg.

Versionsabgleich: Wenn Sie ein Design replizieren, stimmen Sie die genaue erkannte Version ab. Neuere Versionen können deutlich unterschiedliche Layouts oder entfernte Funktionen aufweisen.

Plugin-Abhängigkeiten: Themes wie Divi, Avada und Elementor-basierte Themes sind stark auf Begleit-Plugins angewiesen. Das Theme allein wird das Design ohne den entsprechenden Page-Builder und seine gespeicherten Templates nicht reproduzieren.

Performance-Auswirkungen: Wenn Sie das identifizierte Theme auf Ihrer eigenen Infrastruktur einsetzen — ob auf einem VPS mit cPanel oder einer reinen VPS Hosting-Instanz — benchmarken Sie das Asset-Gewicht des Themes, bevor Sie sich festlegen. Einige beliebte Themes laden standardmäßig 500 KB+ an unoptimiertem CSS und JavaScript.

SSL und Mixed Content: Wenn Sie ein erkanntes Theme auf eine neue Domain verschieben, stellen Sie sicher, dass Ihre neue Umgebung ein gültiges SSL-Zertifikat konfiguriert hat. Themes, die http://-Asset-Pfade fest kodieren, lösen Mixed-Content-Warnungen auf HTTPS-Websites aus.

Entscheidungsmatrix: Welche Methode verwenden

Verwenden Sie diese Matrix, um die geeignete Erkennungsmethode basierend auf Ihrer Situation auszuwählen:

• Sie benötigen eine schnelle Antwort ohne technisches Setup: Verwenden Sie einen Online-Detektor (whatwpthemeisthat.com oder wpthemedetector.com).
• Das Online-Tool liefert kein Ergebnis oder ein falsches Ergebnis: Greifen Sie auf die Seitenquelltext-Inspektion zurück und suchen Sie nach wp-content/themes/.
• Der Seitenquelltext zeigt ein Child-Theme, aber Sie benötigen das Parent-Theme: Greifen Sie direkt auf die style.css des Child-Themes zu und lesen Sie das Template:-Feld.
• Sie benötigen die genaue Version für ein Sicherheitsaudit: Kombinieren Sie den ?ver=-Parameter aus der eingebundenen Stylesheet-URL mit der direkten style.css-Header-Inspektion.
• Sie haben SSH-Zugang zum Server: Führen Sie wp theme list über WP-CLI aus, um maßgebliche, vollständige Ergebnisse einschließlich inaktiver Themes zu erhalten.
• Alle CSS-Pfade sind verschleiert oder blockiert: Überprüfen Sie das Netzwerk-Panel auf Asset-URLs, die einen erkennbaren Theme-Slug enthalten, und verifizieren Sie dann über die REST API, falls der Endpunkt offen ist.
• Sie prüfen Ihre eigene WordPress-Installation: Verwenden Sie WP-CLI in Ihrer VPS Control Panel-Umgebung für das vollständigste Bild, einschließlich des Update-Verfügbarkeitsstatus.

Wichtige technische Erkenntnisse

• Das kanonische Erkennungssignal ist der /wp-content/themes/[slug]/style.css-Pfad, der in <link>-Tags des Seitenquelltexts eingebettet ist.
• Child-Themes werden durch ein Template:-Feld in ihrem style.css-Header identifiziert, das auf den Parent-Theme-Slug verweist.
• Der ?ver=-Abfrageparameter bei eingebundenen Stylesheets gibt häufig die Theme-Versionsnummer preis.
• WP-CLIs wp theme list-Befehl ist die einzige Methode, die inaktive (und potenziell anfällige) installierte Themes aufdeckt.
• Das Umbenennen des Theme-Verzeichnisses bricht automatisierte Tools, aber nicht die manuelle Quelltext-Inspektion, wenn die CSS-Datei zugänglich bleibt.
• Keine einzelne Verschleierungstechnik verhindert alle Erkennungsvektoren; ein entschlossener Analyst mit Browser-DevTools wird den Theme-Slug in den meisten Fällen finden.
• Überprüfen Sie immer die Lizenzierung, bevor Sie ein erkanntes Theme auf einer Produktionswebsite einsetzen — die GPL-Code-Freiheit erstreckt sich nicht auf alle gebündelten kommerziellen Assets.

Häufig gestellte Fragen

Kann eine WordPress-Website ihr Theme vollständig vor der Erkennung verbergen?

Nicht praktikabel. Selbst mit Verzeichnisumbenennung, blockiertem Dateizugriff und CDN-Proxying erscheint der Theme-Slug typischerweise in mindestens einer eingebundenen Asset-URL im Seitenquelltext. Eine vollständige Verschleierung würde erfordern, alle CSS inline bereitzustellen und alle Dateipfad-Referenzen zu entfernen — was die Standard-WordPress-Theme-Architektur bricht.

Was ist der Unterschied zwischen einem Theme-Slug und einem Theme-Namen?

Der Theme-Name ist das menschenlesbare Label, das im style.css-Header definiert ist (z. B. „Astra”). Der Theme-Slug ist der Verzeichnisname auf dem Server (z. B. astra). Diese sind in der Regel ähnlich, aber nicht immer identisch — Premium-Themes verwenden manchmal Slugs, die von ihren Anzeigenamen abweichen. Der Slug ist das, was für WP-CLI-Befehle und den direkten Dateizugriff wichtig ist.

Warum geben Online-Theme-Detektoren manchmal das falsche Theme zurück?

Die meisten Detektoren analysieren die erste /wp-content/themes/-Referenz im Seitenquelltext. Wenn ein Child-Theme aktiv ist, geben sie den Child-Theme-Namen statt des Parent-Themes zurück. Wenn eine Website außerdem ein CDN verwendet, das Asset-URLs umschreibt, kann der Detektor möglicherweise keinen WordPress-spezifischen Pfad finden.

Funktioniert die Theme-Erkennung bei Headless-WordPress-Setups?

Nein. Bei einer Headless-WordPress-Architektur ist das Frontend von WordPress entkoppelt — es handelt sich typischerweise um eine React-, Next.js- oder Vue-Anwendung, die von einem separaten Ursprung bereitgestellt wird. Das WordPress-Theme wird nur im Admin-Backend verwendet und wird nicht im öffentlich zugänglichen HTML gerendert. Die Theme-Erkennung über Seitenquelltext-Inspektion findet das Frontend-Framework, nicht das WordPress-Theme.

Ist es legal, ein auf einer anderen Website erkanntes Theme zu verwenden?

Das hängt von der Lizenz ab. Kostenlose Themes auf WordPress.org sind GPL-lizenziert und können frei verwendet werden. Premium-Themes erfordern eine gültige Kauflizenz gemäß den Bedingungen des Entwicklers. Die Verwendung eines Premium-Themes ohne Lizenz — auch wenn Sie die Dateien auf anderem Wege erhalten haben — verstößt gegen die Nutzungsbedingungen des Entwicklers und in einigen Ländern gegen das Urheberrecht, das für nicht-PHP-Assets gilt, die mit dem Theme gebündelt sind.