Wczoraj późnym wieczorem (tuż przed północą) na moją skrzynkę e-mail trafiła wiadomość od Elegant Themes, o groźnie brzmiącym tytule „Elegant Themes Security Update”. Przyznam, że nie obudziła mnie ta wiadomość, i po zapoznaniu się z nią muszę stwierdzić, że dobrze. Bo choć oczywiście nie lekceważę żadnego problemu związanego z bezpieczeństwem, to tym razem mamy do czynienia jeszcze z mniejszym problemem, niż na początku roku, gdy e-mail o identycznym tytule oznajmił wyciekająca „zajawka” chronionego hasłem posta (w pewnym przypadkach).

Ostatnio edytowana treść w Divi Builderze

W przypadku gdy na swojej stronie (na WordPressie) korzystacie z Divi Buildera (wtyczka Divi Builder, oraz motywy DiviExtra, których jest on integralną częścią) i macie użytkowników, którym nie do końca ufacie, a którzy mogą tworzyć treści (posty i strony) korzystając z Divi Buildera, to w pewnych sytuacjach mogą oni uzyskać dostęp do treści ostatnio edytowanego postu (lub strony), nawet jeśli nie był on edytowany przez nich:

These products contained a bug that made it possible for logged in WordPress users, regardless of their user role, to retrieve post content, including processed shortcodes, from posts that were last edited using the classic Divi Builder.

Brawa, za reakcję i komunikat, bo faktycznie w jakiś tam sytuacjach może to być potencjalnie problem, ale… Powiedzmy, że choć dotyczy on… prawie nikogo (dostęp do kokpitu musi mieć użytkownik, któremu nie ufamy, w treści ostatnio edytowanej strony musi znajdować się coś, czego nie chcemy mu udostępnić, i oczywiście musi miec uprawnienia do edytowania wpisów/stron z wykorzystaniem Divi Buildera), to i tak zalecam jak najszybszą aktualizację wtyczki Divi Builder, oraz motywów DiviExtra na Waszych stronach.

Elegant Themes Security Tools

I tu muszę ponownie pochwalić za to, że z aktualizacji bezpieczeństwa mogą skorzystać również osoby, których licencja wygasła. Tak jak poprzednio należy w tym celu zalogować się do swojego konta w Elegant Themespobrać najnowszą wersję „Elegant Themes Security Tools” (czerwiec 2018). Poprawkę należy następnie zainstalować jako wtyczkę „z dysku”, oraz uruchomić.

(!) Zgłoś błąd na stronie