Innerhalb von 8 Monaten traten im Januar und August 2020 bei DIVI von Elegant Themes zwei Sicherheitslücken auf, die das Ausführen von fremden Code ermöglichten.
Ist DIVI sicher?
Sicherheitslücken treten bei fast jeder Software irgendwann auf. Dabei ist wichtig, wie der jeweilige Hersteller reagiert. Und in dieser Hinsicht kann ich Elegant Themes eigentlich nur loben:
- Die Sicherheitslücke in DIVI wurde nicht verschwiegen oder klein geredet, sondern offen kommuniziert.
- Es wurde innerhalb kurzer Zeit eine neue Version von DIVI mit behobener Sicherheitslücke veröffentlicht.
- DIVI ist ein kommerzielles Theme, es gibt keine kostenlose Version. Trotz dessen können alle Webseiten, egal ob sie noch ein gültiges Abo bei Elegant Themes haben oder nicht, auf die neuen Versionen mit geschlossener Sicherheitslücke updaten. Gerade dieses Vorgehen gibt es nur bei sehr wenigen Anbietern, wofür Elegant Themes sehr zu danken ist.
Gängige Vorurteile
Im Forum bei heise.de zu der DIVI Sicherheitslücke tauchen wie gewohnt die gängigen Vorurteile von ‚Besserwissern‘ auf: php taugt nichts, WordPress ist schlecht programmiert, php hat in Themes nichts zu suchen, WordPress ist für Blogs und nicht für Webseiten usw. usf.
Dabei zeigt sich, dass die meisten Kommentatoren nicht einmal wissen, das das DIVI-Theme eben kein herkömmliches WordPress-Theme, sondern ein Pagebuilder ist.
Fazit
Sicherheitslücken treten bei komplexer Software fast immer auf. Durch das proaktive Vorgehen von Elegant Themes gewinnen sie viel Vertrauen, das auch in Zukunft auftretende Lücken kein Sicherheitsrisiko darstellen.
