Súlyos biztonsági rést fedeztek fel a szakértők az Elegant Themes népszerű sablonjain: a Divi sablonon, és az Extra magazin-sablonon, illetve a Divi Builder oldalépítő bővítményen.

A hibát a WordFence biztonsági bővítmény kutatói találták meg. A WordFence ingyenes és fizetős biztonsági szolgáltatást kínál a WordPress honlapok tulajdonosainak, így folyamatosan monitorozzák a sablonokat és bővítményeket, sérülékenység után kutatva.

 

A Divi sérülékenységről részletesebben – Hol a hiba?

Az alapvető probléma ott jelentkezett, hogy a Divi sablonban a Szerkesztői és Szerzői jogosultsággal rendelkező felhasználók is feltölthettek fájlokat, amelyek kártékony kóddal lehettek ellátva.

Elsőként tehát a hacker-nek egy gyenge jelszóval rendelkező, meglévő (szerkesztő, vagy szerző jogosultságú) felhasználód adatait kellett feltörnie, majd az ő profiljával belépve képes lehetett olyan fájl-t feltölteni, amivel akár az egész weboldalt irányítása alá vonhatta.

A vírusos fájlt a Divi “hordozhatóság” lehetőségén keresztül lehetett képes így feltölteni – Ez egyébként egy remek, kényelmi funkció, amellyel teljes oldal-elrendezéseket tudsz importálni, vagy exportálni a honlapodon.

Igen, kicsit körülményesnek tűnik – feltehetőleg ez az oka annak, hogy a másfél millió Divi honlap közül kifejezetten kevés lehetett érintett valódi támadásban. :)

Érintett verziók:

  • Divi sablon: 3.0 – 4.5.2
  • Extra sablon: 2.0 – 4.5.2
  • Divi Builder plugin: 2.0 – 4.5.2

 

A fejlesztők – Az Elegant Themes válasza

Az Elegant Themes fejlesztői azonnal reagáltak a termékükkel kapcsolatos problémára.

Néhány napon belül kiadták a javított verziót, ami a Divi sablon esetén a 4.5.3-tól kezdődik.

 

Tehát ha te is DIVI-t használsz, ne ijedj meg! Egyszerűen lépj be a honlapod admin felületére, és frissítsd a sablonod!

 

A biztonsági rés javítását 2020.Augusztus 3-án tesztelték, és ezzel megszületett a végleges verzió.

A problémát az Extra sablon és a Divi Builder esetén is megoldották, így ha ezeket használod, frissítsd gyorsan!

Extra sablon frissítése

Extra sablon frissítése

 

Az Elegant Themes fejlesztői biztosítottak minket arról, hogy számukra extrém fontos a biztonság.

 

Éppen ezért nem csak az aktív előfizetőknek biztosítanak frissítési lehetőséget – Ha már nincs érvényes licence-ed, akkor is frissítheted a Divi sablonod a legújabb verzióra!

 

Arra is gondoltak, aki valamilyen egyéb okból nem tudja frissíteni a sablont.

Ha valamiért nem frissítheted éppen a sablonod, de van érvényes licence-ed, akkor töltsd le az Elegant Themes fiókodból a kifejezetten erre a célra készült “security patcher” plugin-t, és telepítsd a honlapodra!
Ez befoltozza a biztonsági rést mindaddig, amíg a legfrissebb verzióra tudsz frissíteni.
Ezután természetesen távolítsd el a bővítményt!

Security patcher plugin letöltése

 

Tanulság

Hogy miért írok a Divi sablon sérülékenységéről elkötelezett Divi-használóként?

Mert nem az a tanulság, hogy a sablon rossz.

A biztonsági rések felfedezése mindennapos – akár a sablonok, akár a bővítmények esetében.

2020 Augusztus első felében az iThemes Security blogon például a következő bővítményeken is sérülékenységet fedeztek fel:

1. TC Custom JavaScript
2. Social Rocket
3. wpDiscuz
4. Quiz And Survey Master
5. Gallery PhotoBlocks
6. Product Input Fields for WooCommerce
7. Newsletter
8. CMP – Coming Soon & Maintenance Plugin

 

A tanulság az, hogy az Elegant Themes fejlesztői gyorsan reagáltak, és napokon belül kiadták az új, biztonságos verziót mindhárom érintett termékük esetében!

 

Hogyan előzheted meg a problémákat?

 

 

Oszd meg, ha tetszett!
INSTAGRAM
Twitter
Visit Us
Follow Me
LINKEDIN
Share
RSS
Feliratkozás

Igen, mi is használunk sütiket, de nagyon keveset. :) A honlap további használatához a sütiket el kell fogadni. További információ

A süti beállítások ennél a honlapnál engedélyezett a legjobb felhasználói élmény érdekében. Amennyiben a beállítás változtatása nélkül kerül sor a honlap használatára, vagy az "Elfogadás" gombra történik kattintás, azzal a felhasználó elfogadja a sütik használatát.

Bezárás