Súlyos biztonsági rést fedeztek fel a szakértők az Elegant Themes népszerű sablonjain: a Divi sablonon, és az Extra magazin-sablonon, illetve a Divi Builder oldalépítő bővítményen.
A hibát a WordFence biztonsági bővítmény kutatói találták meg. A WordFence ingyenes és fizetős biztonsági szolgáltatást kínál a WordPress honlapok tulajdonosainak, így folyamatosan monitorozzák a sablonokat és bővítményeket, sérülékenység után kutatva.
A Divi sérülékenységről részletesebben – Hol a hiba?
Az alapvető probléma ott jelentkezett, hogy a Divi sablonban a Szerkesztői és Szerzői jogosultsággal rendelkező felhasználók is feltölthettek fájlokat, amelyek kártékony kóddal lehettek ellátva.
Elsőként tehát a hacker-nek egy gyenge jelszóval rendelkező, meglévő (szerkesztő, vagy szerző jogosultságú) felhasználód adatait kellett feltörnie, majd az ő profiljával belépve képes lehetett olyan fájl-t feltölteni, amivel akár az egész weboldalt irányítása alá vonhatta.
A vírusos fájlt a Divi „hordozhatóság” lehetőségén keresztül lehetett képes így feltölteni – Ez egyébként egy remek, kényelmi funkció, amellyel teljes oldal-elrendezéseket tudsz importálni, vagy exportálni a honlapodon.
Igen, kicsit körülményesnek tűnik – feltehetőleg ez az oka annak, hogy a másfél millió Divi honlap közül kifejezetten kevés lehetett érintett valódi támadásban. :)
Érintett verziók:
- Divi sablon: 3.0 – 4.5.2
- Extra sablon: 2.0 – 4.5.2
- Divi Builder plugin: 2.0 – 4.5.2
A fejlesztők – Az Elegant Themes válasza
Az Elegant Themes fejlesztői azonnal reagáltak a termékükkel kapcsolatos problémára.
Néhány napon belül kiadták a javított verziót, ami a Divi sablon esetén a 4.5.3-tól kezdődik.
Tehát ha te is DIVI-t használsz, ne ijedj meg! Egyszerűen lépj be a honlapod admin felületére, és frissítsd a sablonod!
A biztonsági rés javítását 2020.Augusztus 3-án tesztelték, és ezzel megszületett a végleges verzió.
A problémát az Extra sablon és a Divi Builder esetén is megoldották, így ha ezeket használod, frissítsd gyorsan!
Extra sablon frissítése
Az Elegant Themes fejlesztői biztosítottak minket arról, hogy számukra extrém fontos a biztonság.
Arra is gondoltak, aki valamilyen egyéb okból nem tudja frissíteni a sablont.
Ha valamiért nem frissítheted éppen a sablonod, de van érvényes licence-ed, akkor töltsd le az Elegant Themes fiókodból a kifejezetten erre a célra készült „security patcher” plugin-t, és telepítsd a honlapodra!
Ez befoltozza a biztonsági rést mindaddig, amíg a legfrissebb verzióra tudsz frissíteni.
Ezután természetesen távolítsd el a bővítményt!
Security patcher plugin letöltése
Tanulság
Hogy miért írok a Divi sablon sérülékenységéről elkötelezett Divi-használóként?
Mert nem az a tanulság, hogy a sablon rossz.
A biztonsági rések felfedezése mindennapos – akár a sablonok, akár a bővítmények esetében.
2020 Augusztus első felében az iThemes Security blogon például a következő bővítményeken is sérülékenységet fedeztek fel:
1. TC Custom JavaScript
2. Social Rocket
3. wpDiscuz
4. Quiz And Survey Master
5. Gallery PhotoBlocks
6. Product Input Fields for WooCommerce
7. Newsletter
8. CMP – Coming Soon & Maintenance Plugin
Hogyan előzheted meg a problémákat?
- Mindig legyen biztonsági mentésed!
- Frissíts rendszeresen!
- És még néhány jó tanács a honlap-biztonságról
