Sicherheitslücke beim DIVI-Theme

Die Webseiten unserer Kunden realisieren wir größtenteils mit WordPress unter Verwendung des DIVI-Themes. Diese Kombination erweist sich seit Jahren durch regelmäßigen Updates als sehr sicher. Beim DIVI-Theme zeigte sich nun am 4. januar 2020 eine Sicherheitslücke bis zur Version 4.0.9. Eingeloggte Benutzer, welche Zugriff auf das Backend der Webseite haben, können somit php-Code (die Programmiersprache, in der WordPress programmiert ist) auf dem Webserver ausführen.

Alle von uns verwalteten oder betreute Seiten wurden von uns automatisch auf die sichere DIVI-Version 4.0.10 geupdated. Kunden mit von uns erstellten Webseiten, auf welche wir auf Kundenwunsch keinen Zugriff mehr haben, haben wir per E-Mail über das notwendige Update informiert.

Mehr Informationen erhalten sie hier

Update 05.08.2020: Neue Sicherheitslücke bei DIVI

Eine neue Sicherheitslücke ähnlich der oben Beschriebenen betrifft wieder DIVI. So ist es in Versionen kleiner 4.5.3 möglich, das eingeloggte Nutzer php-Code hochladen und ausführen können. Ein Risiko besteht also nur bei fremden Personen mit Zugriff zum Backend, also Redakteure, Admins usw.

Wie schon vorher wurden natürlich alle verwalteten oder betreuten Seiten auf die DIVI-Version 4.5.4 geupdated bzw. per Mail darüber informiert