Am Anfang von WordPress war es absolut normal das man fix-fertige Themes gekauft hat, wenn man eine solche Webseite bauen wollte. Dann aber hat das Zeitalter der Pagebuilder wie Elementor oder Divi angefangen und somit endete das Zeitalter der Themes… So sehe ich das…

Leider sehe ich auch Heute noch so, dass es Admins gibt die sowas kaufen und installieren – leider ist das nicht mehr das gleiche wie früher. Früher war so ein Theme relativ einfach aufgebaut – aber heute sind das meistens Monster mit vielen überflüssigen Funktionen und Scripte. Evtl wenn Gutenberg (ja der neue Mist) bekannter wird, hört das auch – er ist ja auch ein Pagebuilder.

So ist es nicht überraschend das hin und wieder auch bei einem Theme eine Sicherheitslücke entdeckt und ausgenutzt wird.

So hat es jetzt den tagDiv Composer erwischt – das ist ein Plugin das vorallem in den Themes wie Newspaper oder Newsmag verwendet wird. Diese Themes sind über Theme Forest oder Envato erhältlich und bisher über 155000x gekauft worden.

Diese Sicherheitslücke hat eine sogenannte cross-site Scripting (XSS) erlaubt, mit der ein Hacker dann Zugriff auf den Code bekommen konnte. Wer so eine gehackte Webseite hatte, wurde auf eine Scam Webseite weitergeleitet. Wir alle haben die schon gesehen wo Elon Musk, Mr Bumbum aka Boris Becker oder Taylor Swift (oder sonst ein Promi) uns erzählt wie er durch ein spezielle Pille 9822739487239423049kg abgenommen hat oder um soviel $ Reicher geworden ist oder oder oder.

Das erste mal ist diese Sicherheitslück im Jahr 2017 entdeckt worden und man schätzt das in dieser Zeit über 1 Million Webseiten so gehackt worden sind und pro Monat ca 20’000 neue Webseiten dazu kommen.

Updated sofort auf tagDiv Composer Version 4.2 – damit sollte das Problem behoben sein.

Nun das ist jetzt genau das Problem bei relativ kleinen Theme – Auch wenn Newspaper / Newsmag mehr als 155’000 heruntergeladen worden ist, ist es immer noch ein kleines Theme. Wenn ich mir Elementor anschaue mit über 8 Millionen Installationen oder Divi mit knapp 4 Millionen Installationen, dann sind diese gehackten beiden Themes echt nur kleine Fische und darum kann man da auch nicht die gleiche Qualitätsansprüche erwarten wie von einem mit einer grossen Community.

Aus diesem Grund sollte man sich wirklich immer auch anschauen, wie aktiv und gross die Community ist bevor man ein Theme kauft. Denn es kann uns alle treffen.

Ja auch ich habe vor vielen Jahren auch ein paar Webseiten mit Newsmag installiert – ich glaub sogar dieser Blog hatte mal am Anfang dieses Theme aktiv 🙂

Also es kann jeder treffen, macht schön Backups und sorgt dafür dass eure Theme und Plugins immer schön aktuell sind.