Die beiden verbreiteten Themes Divi und Extra von Elegant Themes und auch der Divi Builder dazu enthalten kritische Sicherheitslücken. Böswillige Angreifer konnten etwa eigene PHP-Dateien installieren und damit den Server übernehmen.

Abgesicherte Versionen schon Verfügbar

Nur ein paar Tage nachdem das Team von Wordfence das Problem entdeckt und gemeldet hatte, stellt der Anbieter jetzt Updates bereit, die es beseitigen. Daher sollten Betreiber von WordPress-Seiten, die eines der beiden Themes nutzen, sollten die Patches zügig installieren, denn es ist durchaus mit flächendeckenden Angriffen zu rechnen.

Fehlerbeschreibung

Das Problem liegt in einer nicht ausreichenden Dateityp-Prüfung der Upload-Funktion und führt letztlich dazu, dass bösartige Benutzer beliebige Dateien auf den Server hochladen können. Das könnten also zum Beispiel PHP-Dateien mit einer Webshell sein. Dazu braucht der Angreifer allerdings schon einen Zugang zur der WordPress-Installation, beispielsweise als registrierter Benutzer.

Eine genauere Beschreibung die Ursachen des Problems gibt Wordfence in seinem Advisory.

Betroffene Versionen

Betroffen von der Sicherheitslücke sind laut Elegant Themes alle WordPress-Installationen, die Divi ab Version 3.0, Extra ab 2.0 und Divi Builder ab 2.0 einsetzen.

Erst die Versionen 4.5.3 beseitigen das Problem. Ein Upgrade auf diese abgesicherte Version sollte über das Dashboard von WordPress gemacht werden können. Interimsweise könne man sich auch mit den Security Patcher Plugins behelfen, welche die Lücke auch ohne Update beseitigen können sollen, erklärt Elegant Themes. Außerdem stelle der Hersteller die Updates auch Kunden mit schon abgelaufenen Lizenzen zur Verfügung.