Sicherheits-Updates für Divi und andere Elegant-Themes-Produkte

Hacker bei der Arbeit
Hacker bei der Arbeit

Heute haben wir bei Lots of Ways (Betreiberin von wp.cool) unseren Hosting-Kunden eine Reihe von Sicherheits-Updates eingespielt. Betroffen sind die Produkte von ElegantThemes, u.a. das weitverbreitete Theme Divi. ElegantThemes hatte ein Problem behoben, das ein einem unabhängiger Sicherheitsforscher entdeckt hatte.

Schutz vor der Sicherheitslücke bietet ein Update auf die am heutigen 12.03.2019 aktuellen Versionen Wenn Sie Ihre Designs und Plugins auf die neuesten Versionen aktualisieren, wird der Patch angewendet und Ihre Website geschützt.

Das Problem betraf:

  • Divi
  • Extra
  • Bloom
  • Monarch
  • das Divi Builder Plugin

Einige Sicherheitsvorkehrungen gegen Cross-Site-Forgery-Attacken Anfragen konnten durch die Lücke möglicherweise umgangen werden. Zwar waren diese Attacken bereits zuvor durch Benutzer-Berechtigungsprüfungen abgeblockt, jedoch sind solche Prüfungen allein nicht ausreichend, um vor allen CSRF-Attacken zu schützen.

Cross-Site Request Forgery (CSRF) ist eine Angriffsmethode, die einen Website-Nutzer technisch betrachtet dazu zwingt, unerwünschte Aktionen in einer Webanwendung auszuführen, in der er gerade authentifiziert ist. CSRF-Angriffe zielen gezielt auf zustandsändernde Anfragen ab, nicht auf Datendiebstahl, da der Angreifer keine Möglichkeit hat, die Antwort auf die gefälschte Anfrage zu sehen.

Unsere Hosting-Kunden profitieren durchweg von lebenslangen Updates für alle ElegantThemes-Produkte. Wir spielen laufende Security Updates automatisch ein. Zudem werden alle Websites heute einer zusätzlichen forensischen Malware-Prüfung unterzogen (serverweit und unabhängig von den installierten CMS-Lösungen).

Wer durch diesen Beitrag auf die Sicherheitslücke aufmerksam wird und über keine gültige Update-Lizenz für Divi & Co. verfügt, kann das Security Patcher Plugin von ElegantThemes verwenden. Damit wird die Sicherheitslücke ebenfalls geschlossen.

Für dich nützlich?

0 0

Kommentieren

E-Mail-Adressen werden nicht veröffentlicht. Pseudonyme E-Mails und Namen sind erlaubt. Details siehe Datenschutzerklärung. Pflichtfelder markiert mit *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Lost Password

Please enter your username or email address. You will receive a link to create a new password via email.