Využíváte na svých stránkách šablonu od společnosti ThemeGrill? Tak zbystřete, protože se Vás možná týká dnešní článek. Dnes se zaměříme na bezpečnostní chybu v pluginu ThemeGrill Demo Importer.
Obsah
Kdo a nebo co je ThemeGrill?
ThemeGrill je značka, která vytváří šablony (vzhledy) do redakčního systému WordPress. Jejich šablony využívá více než 300tis stránek. S vysokým počtem uživatelů ale vzniká riziko škod v případě, že se objeví nějaká bezpečnostní chyba, nebo díra, jako se tomu stalo nyní.
Šablony od ThemeGrill
Nejznámější šablonou od ThemeGrill je beze sporu šablona ColorMag, která se perfektně hodí pro magazín a její základní verze je zdarma.
V níže uvedené tabulce naleznete nejvíce používané WordPress šablony od ThemeGrill.
| ŠABLONA | TYP | AKTIVNÍ INSTALACE | HODNOCENÍ & RECENZE |
|---|---|---|---|
| ColorMag | Magazín, Novinky | 100,000+ | 5.0 [400+ hodnocení] |
| Flash | Víceúčelový | 20,000+ | 5.0 [50+ hodnocení] |
| eStore | eCommerce, WooCommerce | 10,000+ | 4.5 [30+ hodnocení] |
| Spacious | Business, Jednoduchý | 70,000+ | 5.0 [350+ hodnocení] |
| Cenote | Blog, Minimalistický | 5,000+ | 5.0 |
ThemeGrill Demo Importer
A nyní k problému, který může nastat, pokud používáte plugin ThemeGrill Demo Importer. V tomto pluginu byla nalezena bezpečnostní díra, která umožňuje až úplné vymazání databáze skrze tento plugin. Tato bezpečnostní díra se objevuje od verze 1.3.4. až 1.6.1. a podle informací z oficiálního repozitáře WordPress tento plugin používá více než 200tisíc stránek. Verze 1.6.2. již obsahuje bezpečností záplatu a plugin již není tímto způsobem možné zneužít.
Tento plugin nabízí import demo obsahu a nastavení widgetů právě pro šablony od ThemeGrill. Tato chyba, dle některých informacích, existuje téměř tři roky vzhledem k tomu, že je jím postižena už verze 1.3.4.
18.2.2020 o této chybě informoval server webarxsecurity.com ve svém článku Critical Issue In ThemeGrill Demo Importer Leads To Database Wipe and Auth Bypass
Pokud patříte mezi uživatele, kteří tento plugin používají a nebo jej mají pouze nainstalovaný, tak prosíme věnujte pozornost následujícímu návodu.
Jak postupovat?
Aktualizace pluginu
Pokud budete i nadále aktivně využívat tento plugin, tak prosíme proveďte ihned aktualizaci. Aktualizaci můžete provést dvěma způsoby.
WordPress repozitář
V oficiálním repozitáři na webu WordPress.org naleznete přímo odkaz na stažení pluginu ThemeGrill Demo Importer. V pravém sloupečku naleznete kromě údajů o počtu instalací i informace o aktuální verzi, hodnocení a data poslední aktualizaci.
Na tomto webu si můžete stáhnout aktuální verzi pluginu ThemeGrill Demo Importer, jehož aktuální verze (21.2.2020) je 1.6.3, která již obsahuje bezpečnostní záplatu, kterou jsme popisovali výše.
Stažený plugin lze pak bezpečně nahrát přes administraci redakčního systému WordPress v odkazu: Pluginy->Instalace pluginů -> Nahrát plugin
Plugin pak nainstalujete aktivujete a můžete jej bezpečně využívat.
Aktualizace ve WordPressu
Dostupné aktualizace pluginů, šablon i jádra WordPressu naleznete ve své administraci přímo v záložce Nástěnka -> Aktualizace. Zde máte ihned přehled o nabízených aktualizacích s možností samotné aktualizace.
Pár kliknutími docílíte toho, že se plugin/šablona/jádro zaktualizuje a nebo můžete využít automatické aktualizace, kterou je ale potřeba nejprve zapnout a povolit.
Smazání pluginu
WordPress plugin ThemeGrill Demo Importer, který již nebudete využívat, třeba z důvodu, že už jste si demo importovali a nebo vytvořili obsah vlastní, můžete bez problému smazat.
Smazání pluginu ThemeGrill Demo Importer můžete přímo v administraci redakčního systému WordPress a to v položce Pluginy->Přehled pluginů
Kliknutím na odkaz Smazat dojde ke smazání pluginu ThemeGrill Demo Importer. Obecně doporučujeme mazání a deaktivaci nepoužívaných pluginů.
V případě, že potřebujete pomoci s aktualizací pluginu ThemeGrill Demo Importer, či jeho smazáním, tak kontaktujte naší technickou podporu, která Vám ochotně pomůže.
Pokud se Vám stalo, že Vám někdo databázi někdo smazal (může to být kvůli tomuto pluginu), tak nás opět kontaktujte a nebo si přečtěte článek Jak obnovit web ze zálohy?
[…] Každou chvíli se objevují nejrůznější druhy malware a nové bezpečnostní díry v pluginech a šablonách. Tuto problematiku pečlivě sledujeme a reagujeme na ní. V minulém článku jsme Vám popisovali útok, který byl mířen na uživatele, kteří používali na svém WordPress webu plugin ThemeGrill Demo Importer. […]
[…] o útoku na redakční systém WordPress prostřednictvím pluginu ThemeGrill Demo Importer a poté o WP-VCD […]