Elegant Themes pisałem nie raz, i chyba do tej pory zawsze było to w pozytywnym kontekście – tym razem będzie trochę inaczej, bo wczoraj późnym wieczorem dostałem e-mail z informacją, że warto jak najszybciej zaktualizować niektóre ich motywy i wtyczki…

Podatność w Divi Builder

Z tego co zrozumiałem z wiadomości to źródłem prawdopodobnie jest moduł Divi Builder, który w ich najnowszych motywach (Divi, Extra) i niektórych wtyczkach (Bloom, Monarch i właśnie Divi Builder) odpowiada za graficzne zarządzanie treścią (tworzenie treści z wykorzystaniem odpowiednich modułów).

Najnowsze, załatane/bezpieczne wersje to:

Groźny tylko zalogowany użytkownik

Ze wstępnego opisu podatności wiadomo, że w pewnych warunkach każdy zalogowany użytkownik może niezależnie od swoich uprawnień wykonać działania na obiektach wchodzących w skład Divi Buildera, a tym samym dokonać modyfikacji w treściach strony (tam gdzie treści przygotowano z wykorzystaniem Divi Builder).

Szczęście w nieszczęściu

A więc jeśli na naszej stronie korzystamy z podatnych motywów lub wtyczek od Elegant Themes, ale nie pozwalamy dowolnej osobie na założenie konta i zalogowanie się (pewnie tak będzie w większości przypadków), to wszystko powinno być OK, choć i tak zalecam jak najszybszą aktualizację – raczej nie zaszkodzi.

W innym przypadku należy jak najszybciej zainstalować aktualizację, ew. w międzyczasie wyłączając rejestracje nowych użytkowników, i ograniczając grono osób które mogą się zalogować do panelu zarządzania WordPressem do zaufanych osób (można to zrobić choćby poprzez dodatkową blokadę dostępu do wp-admin).

Nie ma tego złego…

W pierwszym akapicie napisałem, że „do tej pory zawsze było to w pozytywnym kontekście – tym razem będzie trochę inaczej”.

Trochę inaczej, bo na pewno nie ma co się cieszyć – ale płakać też nie ma co (bo trzeba aktualizować ;-)), nawet jak jak na Twojej stronie znajduje się motyw lub wtyczka podatna na przedstawione ryzyko.

Zwłaszcza, że pewnie w większości przypadków (patrze m.in. na swoje i swoich klientów strony) grono osób które mogą zarządzać daną stroną, a więc ew. mogłyby podnieść sobie uprawnienia (jeśli mają niższe niż administrator) jest ograniczone raczej do zaufanych osób, a więc już tylko w tym kontekście ryzyko znacznie spada.

W pozostałych przypadkach… no cóż, ryzyko wzrasta, ale szybka aktualizacja powinna rozwiązać ten problem, zwłaszcza, że w wiadomości e-mail dotyczącej wykrytej podatności znajduje się również informacja, że z aktualizacji będą mogli (mogą) skorzystać również osoby których konto wygasło.

Niezależnie od tego jest to chyba dobra okazja, by przypomnieć nasz archiwalny wpis dotyczący dodatkowych zabezpieczeń strony, nawet jak tym razem problem (już) Was nie dotyczy…

Zgłoś błąd na stronie

Potrzebujesz profesjonalnej pomocy? Skontaktuj się z nami!

WebInsider poleca księgowość wFirma
WebInsider korzysta z VPSa w HitMe.pl
WebInsider poleca VPSy DigitalOcean
WebInsider poleca serwis Vindicat
Napisz komentarz
wipl_napisz-komentarz_01Jeśli informacje zawarte na tej stronie okazały się pomocne, możesz nam podziękować zostawiając poniżej swój komentarz.

W tej formie możesz również zadać dodatkowe pytania dotyczące wpisu, na które - w miarę możliwości - spróbujemy Ci odpowiedzieć.
Linki partnerskie
Niektóre z linków na tej stronie to tzw. "linki partnerskie", co oznacza, że jeśli klikniesz na link i dokonasz wymaganej akcji (np. zakup/rejestracja) możemy otrzymać za to prowizję. Pamiętaj, że polecamy tylko te produkty i usługi, z których sami korzystamy, i uważamy, że są tego na prawdę warte... :-)
Znaki towarowe i nazwy marek
W niektórych wpisach (oraz innych miejscach na stronie) mogą być przedstawione/użyte znaki towarowe i/lub nazwy marek, które stanowią własność intelektualną tych podmiotów, a zostały użyte wyłącznie w celach informacyjnych.

Potrzebujesz profesjonalnej pomocy? Skontaktuj się z nami!