Antworten auf deine Fragen:
Neues Thema erstellen

[WordPress] Slider Revolution Sicherheitslücke

Rata

Moin moin :)

Weil es ja sonst niemand hier tut, muß ich wohl mal auf eine wirklich kritische Sicherheitslücke im Slider Revolution hinweisen, kritisch vornehmlich deshalb, weil zwar der Autor des PlugIns die Lücke behoben hat, das PlugIn aber in vielen, vielen Themes gebündelt auf den Markt kam und infolge dessen tausende (!) WebSites längst infiziert sind.

Der liebe Vladimir Simovic {vulgo: perun} warnt schon seit Wochen davor, aber so richtig rumsprechen tut sich's wohl nicht :mad: Vom Mitlesen weiß ich, daß hier einige User richtiggehend auf Slider Revolution „stehen“. Ist ja auch ein schicker Slider... ;)


Also, gültig für jeden, der diesen Slider in seinem Theme im Einsatz hat: Erst diese Infos nachlesen und mit dieser Web-Site prüfen, ob die Installation infiziert ist.

Noch dies hier, auch schon einige Wochen alt, über die generellen Nachteile, gebündelte Themes einzusetzen: 1,000+ WordPress Themes on Envato Market Potentially Affected by Slider Revolution Security Vulnerability

Und wie immer gilt: »keine Panik!«
grinsemann.gif
und erst mal 'n bißchen Zarah Leander hören...



:cool:



Lieber Gruß
Rata



Edit

Ich lese gerade, daß vor ein paar Minuten sich auch heise.de bemüßigt fühlte :D

Der Schadcode spät den Webserver aus und infiziert in manchen Fällen auch Besucher der Webseite.

Lieber Heise-Redakteur (fab).
Es ist generell nie zu spät, aber spähen tun sowieso schon alle, daran sind wir gewöhnt, pawlow'sch trainiert
zahnlos.gif


SCNR!
mrgreen.gif


Mit freundlichem und so weiter,
ich weiß, der Stress,
Rata
 
Zuletzt bearbeitet:

patrick_l

Hat es drauf

Der liebe Vladimir Simovic {vulgo: perun} warnt schon seit Wochen davor, aber so richtig rumsprechen tut sich's wohl nicht [...]

Kann ich bei solch hohen Verbreitung auch nicht so recht nachvollziehen. Selbst wenn man mal den Teil der WordPress "Endverbraucher" streicht, die nur eine fertige Seite vorgesetzt bekommen. Unter Entwicklern es aber doch mehr die Runde machen müsste. Wie dem auch sei, ein erneutes Merci für deine ausführliche Aufklärung.

Frau Edit sagt: Davon geht die Welt nicht unter ;) Ohrwurm :D

Liebe Grüße, Patrick
 
Zuletzt bearbeitet:

Orlandoo

Nicht mehr ganz neu hier

Na ja, allen, die es noch nicht mitbekommen haben, muss man ohnehin ein absolutes Desinteresse bescheinigen. Da wird auch Dein Beitrag nicht viel helfen. Viele werden sich auch irgendein Theme mit einem tollen Slider gekauft haben und wissen nicht einmal, dass es sich um eben diesen Revolution Slider handelt.
Das Fatale an Themeforest und Codecanyon ist: oft bieten deren Produkte keine automatischen Updates. Und die Qualitätskontrolle, die jene Plugins, die es auf Wordpress.org kostenlos gibt, durchlaufen müssen, gibt es bei Codecanyon auch nicht. Bei Codecanyon werden teilweise Plugins veröffentlicht, die so buggy sind, dass schon der Installationsvorgang aufgrund eines Fehlers abbricht. Habe ich schon selbst erlebt. Der Plugin-Autor hat den Fehler zwar recht zügig behoben, insgesamt weist es jedoch darauf hin, das bei Envato keinerlei Qualitätskontrollen stattfinden. Kaufe, friss und stirb!
Ich kann allen, die etwas von Themeforest oder Codecanyon einsetzen, nur raten, regelmäßig zu überprüfen, ob es ein Update gibt. Denn Sicherheitslücken gibt es in vielen dieser Themes bzw. Plugins. Sie werden lediglich nicht großartig veröffentlicht, da sie meist nicht so häufig verkauft und eingesetzt wurden wie eben dieser Revolution Slider.
Und bevor ihr dort etwas kauft solltet ihr euch unbedingt im Pluginverzeichnis von Wordpress.org umschauen, ob es dort nicht etwas Vergleichbares gibt. Das ist dann nicht nur billiger, sondern oft auch besser. Und im Falle eines Falles profitiert ihr noch vom automatischen Update.
 

tconnertz

Nicht mehr ganz neu hier

Hallo miteinander,
ich persönlich bin nicht betroffen, aber rein aus Neugierde würde mich mal interessieren, wie man denn erkennen könnte, dass das gekaufte Theme den Revolution Slider (oder irgend etwas anderes) gebündelt hat. Und wie man das dann updatet, wenn es kein Theme-Update gibt. Geht das ganz normal so wie bei jedem Plugin, das man separat installiert, oder ist das irgendwie anders gebündelt?
Wie gesagt: von mir aus reine Neugierde, aber vielleicht hilft die Antwort ja jemandem, der das Problem hat.
Schöne Grüße
Thomas
 

Orlandoo

Nicht mehr ganz neu hier

@tconnertz: Wenn der Theme-Autor nicht aktualisert wirst Du das Plugin kaufen müssen … zuvor wäre es selbstverständlich sinnvoll, den Theme-Autor anzuschreiben und ihn zum Updaten aufzufordern.
Das ist ja das Schlimme bei Envato: verantwortlich sind immer nur die Autoren, theoretisch (und wahrscheinlich auch praktisch) kann man dort also noch heute Themes kaufen, die den RevSlider inklusive Sicherheitslücke mitliefern. Früher war Envato mal prima, mittlerweile gibt es dort mehr Masse als Klasse …
 

tconnertz

Nicht mehr ganz neu hier

Habe inzwischen mal ein bisschen weiter gelesen und Interessantes erfahren. Bin kein Entwickler und hoffe, dass ich das richtig zusammen fasse.
Themes (bezahlte oder freie) bündeln für bestimmte Funktionen manchmal Plugins ein. Das kann man anscheinend so machen, dass das Plugin im Backend des Blogs nicht sichtbar ist. Diese Methode ist zwar gegen den Standard, wird aber gerne genommen, um das Theme "leistungsfähiger" erscheinen zu lassen. Und wenn dann noch das Theme nicht aktualisiert wird, hat man als Käufer/Nutzer u.U. ein Problem, weil eben Sicherheitslücken der versteckt eingebundenen Plugins nicht beseitigt werden. Und weil man gar nicht weiss, dass ein Plugin eingebunden wurde, kann man's auch nicht so einfach selbst aktualisieren.
Ganz schön doofe Situation ...
 
Bilder bitte hier hochladen und danach über das Bild-Icon (Direktlink vorher kopieren) platzieren.
Antworten auf deine Fragen:
Neues Thema erstellen

Willkommen auf PSD-Tutorials.de

In unseren Foren vernetzt du dich mit anderen Personen, um dich rund um die Themen Fotografie, Grafik, Gestaltung, Bildbearbeitung und 3D auszutauschen. Außerdem schalten wir für dich regelmäßig kostenlose Inhalte frei. Liebe Grüße senden dir die PSD-Gründer Stefan und Matthias Petri aus Waren an der Müritz. Hier erfährst du mehr über uns.

Stefan und Matthias Petri von PSD-Tutorials.de

Nächster neuer Gratisinhalt

03
Stunden
:
:
25
Minuten
:
:
19
Sekunden

Neueste Themen & Antworten

Flatrate für Tutorials, Assets, Vorlagen

Zurzeit aktive Besucher

Statistik des Forums

Themen
118.634
Beiträge
1.538.448
Mitglieder
67.555
Neuestes Mitglied
scheflo
Oben