Ghost Code auf Shopify: Der unsichtbare Speed-Killer (und wie du ihn entfernst)

TL;DR

• Ghost Code sind Reste von deinstallierten Apps, die in deinem Shopify-Theme zurückbleiben: Script-Tags in theme.liquid, App-Blocks in settings_data.json, JavaScript-Bundles in /assets, verwaiste Liquid-Snippets.
• Shopify entfernt bei App-Deinstallation nur den API-Zugriff — nicht den Code, den die App ins Theme geschrieben hat.
• Folge: 2-5 Sekunden längere Ladezeiten, schlechtere Core Web Vitals, Supply-Chain-Risiko durch alte CDN-Scripts, gebrochene Theme-Migrationen.
• Manuelle Bereinigung: 3-5 Stunden pro Shop. Automatisiert: unter 3 Minuten.

Was ist Ghost Code?

Ghost Code beschreibt den Code-Müll, den deinstallierte Shopify-Apps in deinem Theme hinterlassen. Der Begriff ist in der Shopify-Community seit 2024 etabliert — in englischsprachigen Foren oft auch "leftover app code", "orphan scripts" oder "dead scripts".

Die Formen, in denen Ghost Code auftritt:

• Script-Tags in Liquid-Files: <script src="//cdn.judge.me/widget.js"> in theme.liquid, layout/theme.liquid oder Section-Files.
• JSON App-Blocks in settings_data.json: Shopify Online Store 2.0 Themes speichern App-Blocks strukturiert in JSON. Wird eine App deinstalliert, bleiben die Einträge oft bestehen — und brechen manchmal den Theme-Editor.
• Liquid-Snippets in /snippets: Dateien wie klaviyo-subscribe.liquid, die nirgendwo mehr per {% render %} eingebunden werden.
• Section-Files in /sections: Veraltete pagefly-landing.liquid oder shogun-hero.liquid, die nicht mehr referenziert werden.
• Assets in /assets: JavaScript-Bundles (oft 20-80 KB), Icon-Fonts, CSS-Dateien.
• Locale-Keys in de.json, en.json: Übersetzungen für UI-Strings, die es nicht mehr gibt.

Warum bleibt der Code nach Deinstallation?

Shopifys App-Installationsmodell ist bewusst so gebaut: Bei der Installation schreibt die App ihre benötigten Assets via API ins Theme (dafür gibt's offiziell den write_themes Scope — den Shopify seit April 2023 nur noch restriktiv vergibt). Beim Deinstallieren entzieht Shopify der App den API-Zugriff, aber löscht nicht aktiv Theme-Dateien. Das ist Design-Entscheidung, nicht Bug: Shopify will verhindern, dass eine App im Deinstall-Prozess etwas beschädigt, was der Händler selbst angepasst hat.

Die Folge: Jede deinstallierte App hinterlässt Spuren. Laut StoreCensus Shopify App Statistics 2026 passieren monatlich über 455.000 Install/Uninstall-Events im Shopify-Ökosystem. Der durchschnittliche Shop hat 6,4 aktive Apps installiert — über die Zeit also dutzende deinstallierter Apps, deren Reste noch rumliegen.

Die Performance-Kosten

Ghost Code ist kein theoretisches Problem. Die messbaren Kosten:

• Durchschnittliche Mobile-Page: 251 KB ungenutztes JavaScript (Web Almanac 2025, HTTP Archive)
• Nur 48 % der Shopify-Shops bestehen Google's Mobile Core Web Vitals (pagespeedmatters.com 2026)
• Third-Party-Scripts können >50 % der Ladezeit ausmachen (DebugBear)
• Jede 100ms mobile Ladezeit kostet bis zu 7 % deiner Conversion Rate (Akamai 2017, 10 Mrd. User-Visits)
• Amazon: 100ms Delay = 1 % Umsatzverlust (Greg Linden, 2006 — auf heutige Skala hochgerechnet ~3,8 Mrd. $/Jahr)
• Deloitte/Google 2020 "Milliseconds Make Millions": 0,1 Sekunden schneller = +8,4 % Conversions im Retail, +9,2 % AOV

Ein konkretes Szenario für einen DACH-Shopify-Shop mit €500.000 Jahresumsatz: Ghost Code von 300-800 KB verschlechtert LCP typischerweise um 0,5-1,5 Sekunden. Erwarteter Conversion-Lift nach Cleanup: 2-6 % = €10.000-€30.000 zusätzlicher Umsatz/Jahr.

Das Sicherheitsproblem

Ghost Code ist nicht nur ein Performance-Problem — es ist auch ein Supply-Chain-Risiko.

Beispiel: Die Polyfill.io Supply-Chain-Attacke im Juni 2024 kompromittierte 384.773 Hosts — primär in Deutschland. Betroffen waren Hulu, Mercedes-Benz, Warner Bros und tausende E-Commerce-Shops, die noch Script-Tags von Polyfill.io in ihren Themes hatten — obwohl viele die ursprüngliche App längst deinstalliert hatten.

Magecart-Attacken (Formjacking) ereignen sich laut RiskIQ alle 16 Minuten. Über 74 % aller webbasierten Datenlecks sind Formjacking. Ein alter Script-Tag von einer längst toten App ist das perfekte Einfallstor.

Shopify macht ab 2025 Ernst

Mit dem Release 1. Februar 2025 hat Shopify die Erstellung neuer ScriptTags deprecated. Legacy-ScriptTags laufen allerdings weiter: bis 28. August 2025 auf Shopify Plus, bis 26. August 2026 auf Non-Plus-Shops. Nach diesen Deadlines werden alle verbliebenen ScriptTags blockiert — das kann bei Shops mit Ghost Code zu Fehler-Kaskaden führen, wenn alte Script-Loader plötzlich 404s werfen.

Das gibt dir ein enges Zeitfenster, deinen Shop zu bereinigen, bevor Shopify selbst zuschlägt.

Wie findest du Ghost Code?

Die schmerzhafte manuelle Methode:

1. Theme duplizieren (Backup).
2. Alle App-Namen, die du je installiert hattest, auflisten (oft nicht mehr verfügbar — Shopify zeigt dir nur aktive Apps).
3. Pro App nach Patterns suchen: judge.me, klaviyo, bold, loox, yotpo...
4. Script-Tags im <head>-Bereich in theme.liquid checken.
5. settings_data.json auf App-Block-Einträge prüfen (gefährlich — hier kann ein Syntaxfehler den Theme-Editor brechen).
6. Snippets-Ordner auf verwaiste Dateien durchgehen.
7. Assets-Ordner aufräumen.
8. Testen, ob nichts Produktives kaputt gegangen ist.
9. Repeat für jeden Shop.

Realistischer Aufwand: 3-5 Stunden pro Shop — und das nur, wenn du sauber dokumentiert hast, welche Apps du je hattest.

Die automatisierte Alternative: GhostCode

Genau für dieses Problem haben wir GhostCode gebaut. Die App:

• scannt dein komplettes Theme in unter 30 Sekunden
• erkennt 200+ App-Patterns (Judge.me, Loox, Klaviyo, Bold, Yotpo, PageFly, GemPages, Shogun, ReCharge und viele mehr)
• erkennt 50+ CDN-Signaturen (Third-Party-Script-Loader)
• zeigt jedes Finding mit File-Path, Zeile, Severity und Code-Diff
• bereinigt per Klick — einzeln oder bulk
• erstellt vor jeder Änderung ein Backup, das 90 Tage aufbewahrt wird
• bietet 1-Klick-Restore falls etwas kaputt geht
• zeigt einen Health Score 0-100, der live aktualisiert wird

GhostCode hat seit März 2026 eine offizielle Asset-API-Freigabe von Shopify. Das ist keine Marketing-Claim, sondern eine Voraussetzung: Ohne diese Freigabe darf eine Public App nicht ins Theme schreiben — und kann Ghost Code höchstens anzeigen, aber nicht entfernen. Die meisten "Theme Cleanup Scanner" im App Store sind deshalb read-only.

FAQ

Wird der Code automatisch entfernt, wenn ich eine Shopify-App deinstalliere? Nein. Shopify entfernt nur den API-Zugriff der App. Der Code, den die App ins Theme geschrieben hat, bleibt.

Kann ich Ghost Code selbst finden? Ja, aber es dauert Stunden und birgt Risiken bei settings_data.json. Ein automatisierter Scan ist um Größenordnungen schneller und sicherer.

Was ist mit settings_data.json? Dort speichern Online-Store-2.0-Themes App-Blocks strukturiert. Manuelles Bearbeiten ist riskant — ein Syntaxfehler bricht den Theme-Editor. Automatisierte Tools wie GhostCode nutzen sicheres JSON-Parsing mit String-Fallback.

Machen Speed-Apps wie Hyperspeed oder TinyIMG das nicht auch? Nein. Speed-Apps optimieren das Loading (defer, minify, lazy-load) — sie verstecken Ghost Code hinter Defer, aber entfernen ihn nicht. Die Ursache bleibt.

Bis wann muss ich aufräumen? Technisch jederzeit. Praktisch: vor dem nächsten Traffic-Peak (BFCM, Sommer-Sale, Black Friday). Und spätestens vor der Shopify-ScriptTag-Deaktivierung im August 2026.

Nächster Schritt

Teste GhostCode kostenlos im Shopify App Store. Ein Scan dauert 30 Sekunden. Ergebnis: eine klare Liste, wie viel Ballast dein Theme mit sich schleppt — und ein Ein-Klick-Weg, es loszuwerden.

Quellen: StoreCensus Shopify App Statistics 2026, Web Almanac 2025 (HTTP Archive), Deloitte/Google "Milliseconds Make Millions" 2020, Akamai State of Online Retail Performance Report 2017, pagespeedmatters.com E-Commerce Platforms Speed Ranking 2026, Censys Polyfill.io Analyse, Shopify Dev Docs ScriptTag Deprecation.