KONTAKT  |  Naročniški center Moj NEOSERV
Košarica (0)
  • Vaša košarica je trenutno prazna
Na naročilo
  1. Domov
  2. Blog
  3. Odkrita kritična ranljivost: Divi, Extra, Divi Builder

NEOSERV BLOG

Novice in nasveti iz sveta domen, gostovanja, SSL certifikatov, spletnih strani, spletnih trgovin in ostalih področij spleta.

Odkrita kritična ranljivost: Divi, Extra, Divi Builder

Objavljeno:
Elegant Themes ranljivost
Matija

Vsebino je za vas skrbno pripravil:

Matija

Objavljeno v kategoriji: Varnost na spletu

23. julija 2020 je ekipa Threat Intelligence (Wordfence) odkrila ranljivost v dveh grafičnih predlogah Elegant Themes, in sicer v Divi in Extra, prav tako pa tudi v vtičniku Divi Builder. Ti izdelki so skupaj nameščeni na približno 700.000 spletnih straneh. Ranljivost je avtentificiranim napadalcem z možnostjo urejanja prispevkov omogočila nalaganje poljubnih datotek, vključno z datotekami PHP, in možnost oddaljene izvedbe kode na strežniku ranljivega spletnega mesta.

Razvijalci Elegant Themes so 29. junija 2020 sporočili, da bodo ranljivost zakrpali v naslednji različici. Varnostne posodobitve so bile tako izdane 3. avgusta 2020, v različici 4.5.3 za obe grafični predlogi in vtičnik.

Če za posodobitve še niste poskrbeli in torej uporabljate …

  • Divi 3.x
  • Extra 2.x
  • Divi Builder 2.x

… vam vsekakor svetujemo, da grafično predlogo oz. vtičnik nemudoma posodobite na varno verzijo 4.5.3.

Na voljo vam je tudi alternativa. Če v tem trenutku še ne morete opraviti posodobitve (npr. zaradi ročno opravljenih sprememb v grafični predlogi), lahko uporabite varnostni vtičnik “Security Patch Plugin“, ki bo zakrpal ranljivost vaše spletne strani.

Pred napadi ste zaščiteni tudi uporabniki varnostnega vtičnika Wordfence Security, saj ima vtičnik vgrajen požarni zid, ki preprečuje nalaganje zlonamernih datotek.

Kako posodobiti grafično predlogo/vtičnik Elegant Themes?

Če ste v nadzorni plošči svoje spletne strani dodali uporabniško ime in API ključ za uporabo Elegant Themes, lahko posodobitev izvedete neposredno v WordPress administraciji.

Po prijavi v administracijo v levem meniju kliknite na Posodobitve (ang. Updates), izberite izdelek od Elegant Themes (Divi, Extra, Divi Builder) in kliknite na gumb Posodobi teme (ang. Update Themes) oziroma Posodobi vtičnike (ang. Update Plugins).

Posodobitev Elegant Themes (Extra)

Opomba: razvijalci Elegant Themes so varnostno posodobitev omogočili tudi uporabnikom, katerih licence oz. računi so že potekli.

Zaščita pred ranljivostjo z Wordfence Security

Kot smo že omenili, lahko za zaščito poskrbite tudi z varnostnim vtičnikom Wordfence Security. Ta ima namreč funkcijo, s katero onemogočite izvrševanje kode v mapi za nalaganje (uploads).

Wordfence Security - Disable Code Execution for Uploads directory

Tudi če ne uporabljate katerega od ranljivih izdelkov Elegant Themes, vam svetujemo, da omenjeno nastavitev omogočite, saj bo zagotovila dodatno zaščito pred ranljivostmi. Nastavitev bo onemogočila nalaganje PHP datotek v mapo uploads, kamor se shranjujejo naložene datoteke.

KOMENTARJI

KOMENTIRAJTE OBJAVO

(obvezno)
(obvezno, e-poštni naslov bo skrit)
(neobvezno)
Varnostno vprašanje, ki potrdi, da ste resnična oseba.