[WordPress] Slider Revolution Sicherheitslücke

[Rata]

Moin moin

Weil es ja sonst niemand hier tut, muß ich wohl mal auf eine wirklich kritische Sicherheitslücke im Slider Revolution hinweisen, kritisch vornehmlich deshalb, weil zwar der Autor des PlugIns die Lücke behoben hat, das PlugIn aber in vielen, vielen Themes gebündelt auf den Markt kam und infolge dessen tausende (!) WebSites längst infiziert sind.

Der liebe Vladimir Simovic {vulgo: perun} warnt schon seit Wochen davor, aber so richtig rumsprechen tut sich's wohl nicht Vom Mitlesen weiß ich, daß hier einige User richtiggehend auf Slider Revolution „stehen“. Ist ja auch ein schicker Slider...


Also, gültig für jeden, der diesen Slider in seinem Theme im Einsatz hat: Erst diese Infos nachlesen und mit dieser Web-Site prüfen, ob die Installation infiziert ist.

Noch dies hier, auch schon einige Wochen alt, über die generellen Nachteile, gebündelte Themes einzusetzen: 1,000+ WordPress Themes on Envato Market Potentially Affected by Slider Revolution Security Vulnerability

Und wie immer gilt: »keine Panik!«

und erst mal 'n bißchen Zarah Leander hören...

Lieber Gruß
Rata



Edit

Ich lese gerade, daß vor ein paar Minuten sich auch heise.de bemüßigt fühlte

Der Schadcode spät den Webserver aus und infiziert in manchen Fällen auch Besucher der Webseite.

Lieber Heise-Redakteur (fab).
Es ist generell nie zu spät, aber spähen tun sowieso schon alle, daran sind wir gewöhnt, pawlow'sch trainiert

SCNR!

Mit freundlichem und so weiter,
ich weiß, der Stress,
Rata

 

[patrick_l]

Der liebe Vladimir Simovic {vulgo: perun} warnt schon seit Wochen davor, aber so richtig rumsprechen tut sich's wohl nicht [...]

Kann ich bei solch hohen Verbreitung auch nicht so recht nachvollziehen. Selbst wenn man mal den Teil der WordPress "Endverbraucher" streicht, die nur eine fertige Seite vorgesetzt bekommen. Unter Entwicklern es aber doch mehr die Runde machen müsste. Wie dem auch sei, ein erneutes Merci für deine ausführliche Aufklärung.

Frau Edit sagt: Davon geht die Welt nicht unter Ohrwurm

Liebe Grüße, Patrick

 

[cythux]

Pascal hatte es schon in den News und auf Webdesign-Podcast mitgeteilt

 

[Rata]

Pascal hatte es schon in den News und auf Webdesign-Podcast mitgeteilt

Muß ich überlesen haben, Dank an Pascal
Doppelt gemoppelt hält besser und den Spaß mit dem Fipptehler – siehe Edit – hatte ich ja nun auch


Lieber Gruß
Rata

 

[hub]

... heise.de ... infiziert in manchen Fällen auch Besucher der Webseite.

Wie der Besucher dann aussehen mag?
Sorry, ich konnte es mir nicht verkneifen.

Gruß Ulli

 

[Orlandoo]

Na ja, allen, die es noch nicht mitbekommen haben, muss man ohnehin ein absolutes Desinteresse bescheinigen. Da wird auch Dein Beitrag nicht viel helfen. Viele werden sich auch irgendein Theme mit einem tollen Slider gekauft haben und wissen nicht einmal, dass es sich um eben diesen Revolution Slider handelt.
Das Fatale an Themeforest und Codecanyon ist: oft bieten deren Produkte keine automatischen Updates. Und die Qualitätskontrolle, die jene Plugins, die es auf Wordpress.org kostenlos gibt, durchlaufen müssen, gibt es bei Codecanyon auch nicht. Bei Codecanyon werden teilweise Plugins veröffentlicht, die so buggy sind, dass schon der Installationsvorgang aufgrund eines Fehlers abbricht. Habe ich schon selbst erlebt. Der Plugin-Autor hat den Fehler zwar recht zügig behoben, insgesamt weist es jedoch darauf hin, das bei Envato keinerlei Qualitätskontrollen stattfinden. Kaufe, friss und stirb!
Ich kann allen, die etwas von Themeforest oder Codecanyon einsetzen, nur raten, regelmäßig zu überprüfen, ob es ein Update gibt. Denn Sicherheitslücken gibt es in vielen dieser Themes bzw. Plugins. Sie werden lediglich nicht großartig veröffentlicht, da sie meist nicht so häufig verkauft und eingesetzt wurden wie eben dieser Revolution Slider.
Und bevor ihr dort etwas kauft solltet ihr euch unbedingt im Pluginverzeichnis von Wordpress.org umschauen, ob es dort nicht etwas Vergleichbares gibt. Das ist dann nicht nur billiger, sondern oft auch besser. Und im Falle eines Falles profitiert ihr noch vom automatischen Update.

 

[tconnertz]

Hallo miteinander,
ich persönlich bin nicht betroffen, aber rein aus Neugierde würde mich mal interessieren, wie man denn erkennen könnte, dass das gekaufte Theme den Revolution Slider (oder irgend etwas anderes) gebündelt hat. Und wie man das dann updatet, wenn es kein Theme-Update gibt. Geht das ganz normal so wie bei jedem Plugin, das man separat installiert, oder ist das irgendwie anders gebündelt?
Wie gesagt: von mir aus reine Neugierde, aber vielleicht hilft die Antwort ja jemandem, der das Problem hat.
Schöne Grüße
Thomas

 

[Orlandoo]

@tconnertz: Wenn der Theme-Autor nicht aktualisert wirst Du das Plugin kaufen müssen … zuvor wäre es selbstverständlich sinnvoll, den Theme-Autor anzuschreiben und ihn zum Updaten aufzufordern.
Das ist ja das Schlimme bei Envato: verantwortlich sind immer nur die Autoren, theoretisch (und wahrscheinlich auch praktisch) kann man dort also noch heute Themes kaufen, die den RevSlider inklusive Sicherheitslücke mitliefern. Früher war Envato mal prima, mittlerweile gibt es dort mehr Masse als Klasse …

 

[tconnertz]

Habe inzwischen mal ein bisschen weiter gelesen und Interessantes erfahren. Bin kein Entwickler und hoffe, dass ich das richtig zusammen fasse.
Themes (bezahlte oder freie) bündeln für bestimmte Funktionen manchmal Plugins ein. Das kann man anscheinend so machen, dass das Plugin im Backend des Blogs nicht sichtbar ist. Diese Methode ist zwar gegen den Standard, wird aber gerne genommen, um das Theme "leistungsfähiger" erscheinen zu lassen. Und wenn dann noch das Theme nicht aktualisiert wird, hat man als Käufer/Nutzer u.U. ein Problem, weil eben Sicherheitslücken der versteckt eingebundenen Plugins nicht beseitigt werden. Und weil man gar nicht weiss, dass ein Plugin eingebunden wurde, kann man's auch nicht so einfach selbst aktualisieren.
Ganz schön doofe Situation ...