Kritisk sikkerhetshull i WordPress-utvidelse

I september ble det oppdaget et kritisk sikkerhetshull i den populære utvidelsen Slider Revolution (går også under navnet Revolution Slider eller RevSlider). Sikkerhetshullet gjør det mulig for uvedkommende å få tilgang til hvilken som helst fil på nettsider som kjører utvidelsen med versjonnummer under 4.2. I hovedsak er det fila wp-config.php de vil ha tak i, da denne inneholder brukernavn og passord til databasen.

Sikkerhetshullet ble tettet allerede i februar, men utviklerne av utvidelsen unnlot å opplyse om dette i håp om at sikkerhetshullet ikke skulle bli utnyttet. Dessverre har sikkerhetshullet nå blitt kjent for så si alle, og hvordan man utnytter det har blitt forklart i flere nettaviser.

Veldig mange har gjerne denne utvidelsen kjørende på sin WordPress-nettside uten at de er klar over det. Hvem tenker egentlig over hva som kjører på nettsiden etter at man har fått den ferdig? Som regel har man fokus på nytt innhold, og forhåpentligvis sørger man for å oppdatere alle utvidelser og selve WordPress så fort en oppdatering dukker opp. Men Slider Revolution er ikke en gratis utvidelse og da får man ikke oppdateringen fra WordPress. Er det en veldig gammel versjon vil den ikke engang si ifra om at har kommet en ny versjon.

slider_revolution_security

Så hvordan løser du dette? Hvis du har kjøpt utvidelsen fra CodeCanyon så skal du ha fått en epost om å oppdatere utvidelsen og hvordan du gjør det. Men hvis utvidelsen er bygd inn et WordPress-tema, noe som er veldig populært, så kan det bli vanskeligere. Se for øvrig liste over temaer med Slider Revolution bygd inn.

Er Slider Revolution bygd inn i temaet du bruker, så er det enklest å laste ned nyeste versjon av temaet og laste opp det. Men som du sikkert ser på linken ovenfor, så er det veldig mange temaer som ikke har sørget for en oppdatert versjon. Og i veldig mange tilfeller så gjør man kanskje endringer i koden til selve temaet, oppdaterer du da så mister du jo endringene du har gjort. Husker du hvor du har gjort alle endringene?

Heldigvis finnes det en patch for dette sikkerhetshullet, en enkel utvidelse som kan installeres fra WordPress kontrollpanel. Den heter Patch for Revolution Slider. Selv om det er best å ha den nyeste og sikreste versjonen av Slider Revolution, så med denne utvidelsen trenger du ikke tenke på hvilken versjon du har. Eller om du i det hele tatt har Slider Revolution på nettsiden din.

Samtidig må det nevnes at et annen utvidelse, men ikke spesielt populær eller utbredt, også er omfattet av dette sikkerhetshullet. Den heter Showbiz Pro og er laget av de samme utviklerne som har laget Slider Revolution. Så skulle du ha Showbiz Pro med versjonnummer under 1.5.3 så må den oppdateres.