Ich weiss es gibt Leute die hassen Pagebuilder und andere finden sie eine sehr bequeme Art und Weise wie man Webseiten aufbauen kann. Ich persönlich bin ein absoluter Fan dieser Pagebuilder, denn sie verkürzen die Arbeitszeiten und wenn man sich gut auskennt, dann kann man damit auch schnelle Webseiten (angeblich damit nicht möglich) machen und auch verrückte Designs erstellen.

Dieser Blog hier ist auch mit einem Pagebuilder gemacht und ich finds cool. Und heute gehts genau um diesen Pagebuilder genannt DIVI. Und zwar hat Wordfence herausgefunden, dass hier eine etwas kritische Sicherheitslücke existiert.

divi sicherheitsupdate august 2020 1 - Divi Sicherheitslücke aufgetaucht - bitte sofort updaten

Das Problem

Man kann nämlich gewisse Designs mit Json Files exportieren und wieder importieren. Dieses Library Files sind sehr praktisch wenn man Blöcke gebaut hat, die man evtl gerne mal wieder verwenden möchte. Natürlich könnte man auch mit Copy Paste arbeiten, aber dann wird nicht die ganze Struktur kopiert. Mit Json wird alles schon zusammengetragen und transporfähig gemacht.

Leider gibts damit nun ein kleines Problem – das DIVI Team hat hier wohl eine Sicherheitsstufe die WordPress eingebaut hat ausgehebelt und somit eine kleine Sicherheitslücke geschaffen.

divi sicherheitsupdate august 2020 3 - Divi Sicherheitslücke aufgetaucht - bitte sofort updaten

Jeder der ein Account in WordPress hat, könnte somit durch diesen AJAX Upload Fehler auch kritische Malwareverseuchte PHP Scripte usw hochladen und die dann ausgeführt werden können – das kann die WordPress installation gefährden und selbst das gesamte Hosting.

Aus diesem Grund hat DIVI hier ein Sicherheitsupdate bereitgestellt und da diese Sicherheitslücke halt nun mal auch alte Systeme bedroht, hat man das Update auch für Leute freigegeben, die kein Abo bei DIVI haben und somit eigentlich keine Updates mehr erhalten würden.

Die Lösung

Auch wenn die Lücke nur von Leuten ausgenutzt werden kann, die ein eigenen Benutzeraccount einer solchen WordPress Webseite haben – sollten alle ihr DIVI so schnell wie möglich updaten.

divi sicherheitsupdate august 2020 2 - Divi Sicherheitslücke aufgetaucht - bitte sofort updaten

Ich habs gemacht und konnte keine Probleme feststellen.

Wie immer gilt auch hier, bevor ihr ein Update durchführt zieht euch ein komplettes Backup (DB & Files) herunter – nur dann seid ihr auf der sicheren Seite.

Ich weiss ja das hier einige WP Experten auch immer wieder gerne reinlesen und die fragen mich nach weiteren Informationen – hier sind sie: https://www.wordfence.com/blog/2020/08/critical-vulnerability-exposes-over-700000-sites-using-divi-extra-and-divi-builder/