WordPress

Allgemein

Technik

Design

Konzept

WordPress Plugins

Interessantes

Vermarktung

Themen

Font / Schriften

Social Media

Youtube

eCommerce

Gemischtes

Kolumne

Webinar

Blog Archiv

Kurse / Webinare

Meine nächste Webinare / Kurse

Divi Sicherheitslücke aufgetaucht – bitte sofort updaten

von | Aug 5, 2020 | Allgemein | 0 Kommentare

Schlagwörter: DIVI

Ich weiss es gibt Leute die hassen Pagebuilder und andere finden sie eine sehr bequeme Art und Weise wie man Webseiten aufbauen kann. Ich persönlich bin ein absoluter Fan dieser Pagebuilder, denn sie verkürzen die Arbeitszeiten und wenn man sich gut auskennt, dann kann man damit auch schnelle Webseiten (angeblich damit nicht möglich) machen und auch verrückte Designs erstellen.

Dieser Blog hier ist auch mit einem Pagebuilder gemacht und ich finds cool. Und heute gehts genau um diesen Pagebuilder genannt DIVI. Und zwar hat Wordfence herausgefunden, dass hier eine etwas kritische Sicherheitslücke existiert.

Das Problem

Man kann nämlich gewisse Designs mit Json Files exportieren und wieder importieren. Dieses Library Files sind sehr praktisch wenn man Blöcke gebaut hat, die man evtl gerne mal wieder verwenden möchte. Natürlich könnte man auch mit Copy Paste arbeiten, aber dann wird nicht die ganze Struktur kopiert. Mit Json wird alles schon zusammengetragen und transporfähig gemacht.

Leider gibts damit nun ein kleines Problem – das DIVI Team hat hier wohl eine Sicherheitsstufe die WordPress eingebaut hat ausgehebelt und somit eine kleine Sicherheitslücke geschaffen.

Jeder der ein Account in WordPress hat, könnte somit durch diesen AJAX Upload Fehler auch kritische Malwareverseuchte PHP Scripte usw hochladen und die dann ausgeführt werden können – das kann die WordPress installation gefährden und selbst das gesamte Hosting.

Aus diesem Grund hat DIVI hier ein Sicherheitsupdate bereitgestellt und da diese Sicherheitslücke halt nun mal auch alte Systeme bedroht, hat man das Update auch für Leute freigegeben, die kein Abo bei DIVI haben und somit eigentlich keine Updates mehr erhalten würden.

Die Lösung

Auch wenn die Lücke nur von Leuten ausgenutzt werden kann, die ein eigenen Benutzeraccount einer solchen WordPress Webseite haben – sollten alle ihr DIVI so schnell wie möglich updaten.

Ich habs gemacht und konnte keine Probleme feststellen.

Wie immer gilt auch hier, bevor ihr ein Update durchführt zieht euch ein komplettes Backup (DB & Files) herunter – nur dann seid ihr auf der sicheren Seite.

Ich weiss ja das hier einige WP Experten auch immer wieder gerne reinlesen und die fragen mich nach weiteren Informationen – hier sind sie: https://www.wordfence.com/blog/2020/08/critical-vulnerability-exposes-over-700000-sites-using-divi-extra-and-divi-builder/





0 Kommentare

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert