WordPress

Ważna informacja dla użytkowników wtyczek i szablonów z Envato Market

Ważna informacja dla użytkowników wtyczek i szablonów z Envato Market

Na blogu Envato, firmy stojącej za serwisami ThemeForest i CodeCanyon poinformowano, że dwie popularne w tych serwisach wtyczki: Revolution Slider and Showbiz Pro posiadają istotne luki bezpieczeństwa.

Luka umożliwia atakującemu dostęp do serwera, na którym postawiona została instancja WordPress’a wraz z zainfekowaną wtyczką. W przypadku Revolution Slider zagrożenie dotyczy wtyczki w wersji 4.2 i niższej, natomiast jeśli chodzi o Showbiz Pro jest to wersja 1.5.3.

Problem dotyczy wtyczek zakupionych samodzielnie, jak również dostarczonych razem z szablonami. Pluginy te sprzedawane były także w bundle’ach:

  • Corporate Bundle
  • eCommerce Sampler Pack
  • WordPress Business Builder Pack
  • Digital Trends Bundle
  • Mobile Bundle

Autor wtyczek wypuścił już łatkę i zaleca się wykonanie aktualizacji. W celu maksymalizacji bezpieczeństwa zalecamy również dokonanie zmiany hasła do konta. O tym jak wybrać dobre hasło pisaliśmy już wcześniej, zachęcamy do zapoznania się z tekstem na ten temat.

Źródło: http://marketblog.envato.com/general/plugin-vulnerability/

  • http://webhelp.pl Bartosz Romanowski

    Autor wydał stosowne aktualizacje w… lutym. Kompletnie nie rozumiem, dlaczego akurat teraz Envato o tym wspomniało.

    • http://matiweb.com/ DMati

      Bo to popularna wtyczka…
      Jeżeli ktoś nabył tą wtyczkę bezpośrednio i trzyma się security reguł to użytkuje obecnie wersje 4.6 czy 4.7 a nie 4.2 i niżej.

      Ale jak tą wtyczkę otrzymał wraz ze skórką to już różnie bywa – stąd taki news od Envato.

      • http://webhelp.pl Bartosz Romanowski

        Ten news powinien pojawić się w lutym, najpóźniej w marcu, a nie we wrześniu.

        Envato jest znane z olewania autorów, braku chęci do współpracy z nimi i ślimaczego tempa działania. Jestem pewien, że jakiś klient zaliczył włamanie właśnie przez tę dziurę, napisał o tym do supportu Envato (niektórzy kupujący tak robią, myśląc, że kupili produkt od Envato, a nie od autora produktu) i Envato (jak zwykle) zrobiło to, co im kupujący kazał – czyli w tym przypadku wrzucili informację o konieczności aktualizacji tych dwóch wtyczek do wszystkich swoich kanałów komunikacji.

        Napiszę jeszcze raz: wiem dlaczego uznali tę informację za istotną, ale ona powinna pojawić się w lutym, a nie we wrześniu.

        • http://matiweb.com/ DMati

          Ale dopiero teraz wykryto te luki, dokładnie pracownik Dreamhost je wykrył. Więc jak mieli w lutym o tym pisać? Sucuri na swoim blogu 3 września o tym pisał. Jak nic nie pomyliłem to envato podjęło współpracę z sucuri ostatnio więc pewnie stąd nagle taki news na ich blogu, w przerwie między kolejnymi oh ach newsami.

          • http://webhelp.pl Bartosz Romanowski

            Te luki wykryto i usunięto w styczniu (Showbiz Pro) i lutym (Rev Slider) – jest o tym we wpisie na blogu Envato.

  • Natalia

    Jak zaktualizować tę wtyczkę. Mam ja zakupioną z szablonem i nigdzie nie ma opcji automatycznej aktualizacji. W ustawieniach jest przycisk ‚Update’, ale wymaga wgrania posiadanej nowej paczki…