Visual Composer dringend aktualisieren!

Mir wurde gerade durch Zufall bekannt, dass in dem sehr oft in Themeforest Themes verwendete Plugin WP Bakery Visual Composer diverse XSS Sicherheitslücken bekannt sind, die vollständig erst mit der aktuellsten Version 4.7.4 behoben wurden. Dramatisch an diesem Fall ist, dass der Autor WP Bakery selbst keinen sicherheitskritischen Hinweis an die Käufer des Plugins mitteilt und auch in den Change-Logs keinen Hinweis über die vergangenen Sicherheitslücken zu finden ist. Käufer von Themes aus Themeforest in denen der Visual Composer enthalten ist, wurden schlicht nicht benachrichtigt.

Die Tatsache, dass dieses Thema offenbar seitens des Autors WP Bakery schlicht tot geschwiegen wird, stimmt mich nachdenklich. Da ich selbst Entwickler bin, weiß ich dass man einfach nicht davor gefeit ist und es vorkommen kann, dass irgendwo im Code Sicherheitslücken auftreten können. Werden solche aufgedeckt und vor allem öffentlich, ist es meine Pflicht dies nicht nur schnellstmöglich zu reparieren sondern auch offen darauf hinzuweisen! Ich verstehe dies als pure Verantwortung an seinen Produkten!

Wenigstens Envato nimmt dieses Thema sehr, sehr ernst, weshalb es selbst in der Envato-Community zahlreiche Threads existieren, die dieses Thema behandeln. Envato kann leider nicht automatisch ermitteln, in welchen Themes das Plugin mit ausgeliefert wird und entsprechend wenigstens die Theme Autoren benachrichtigen, seinen Käufern entsprechend hinzuweisen.

Lizenzabkommen bedenklich?

Spätestens aber jetzt wird wieder eine riesen Diskussion über das Lizenzabkommen zwischen Theme-Autoren die Ihre Themes bei Themeforest anbieten und Plugin-Entwicklern die Ihre Plugins bei Codecanyon anbieten wieder einmal entstehen!

Theme-Autoren bestücken nicht selten Ihre Themes mit diversen kostenpflichtigen Plugins von Codecanyon und „gaukeln“ in den Beschreibungen vor, man erhalte das Theme inkl. diverser kostenpflichtiger Plugin-Lizenzen im Wert von X Dollar. Das Lizenzabkommen von Envato allerdings sieht lediglich vor, dass ein Theme Autor eine erweiterte Lizenz von Plugins erwerben kann und diese Plugins im Theme dann mit „anbieten“ kann! Man erhält somit also lediglich nur dann Updates vom Plugin, wenn der Theme Autor das aktualisierte Plugin mit ausliefert.

Verantwortungsvolle Theme Autoren haben bereits am 2. bzw. 3. Oktober direkt nach dem Plugin Update auch Theme-Updates angeboten und das neue Plugin mit ausgeliefert. Das nützt aber dem Anwender kaum, wenn Er die Updates via WordPress Backend über Aktualisierungen aktualisiert. Denn in diesem Fall wird lediglich das Theme aktualisiert, nicht aber mit ausgelieferte Plugins, sofern man nicht eine eigene Lizenz des Plugins auf Codecanyon erworben und den entsprechenden Purchase-Code in den Plugin Einstellungen hinterlegt hat. Leider wird das kaum ein Theme Käufer wirklich gemacht haben.

Eigentlich doch auch nicht verwunderlich, werben die Theme Autoren doch auch damit, dass man das Theme inklusive der Plugins erhält. Die meisten Kunden dürften aber keine Lizenz der mitgelieferten Plugins erworben haben, was allerdings aber eigentlich erforderlich wäre und eigentlich lt. der erweiterten Lizenz auch der Plugin-Autor sowie auch Envato fordert!

Somit ist das Lizenzabkommen doch schon sehr Autorenfreundlich gestaltet, werden somit doch auch zusätzliche Plugins über die Themes eigentlich „mitverkauft“. Es obliegt der Verantwortung des Käufers auch eine entsprechende Lizenz zu erwerben.

Lizenzen der mitgelieferten Plugins erwerben?

Man kann über die Themes von Themeforest sagen was man will, kauft man ein Theme in dem Plugins wie WP Bakery Visual Composer inklusive sind, sollte man stets auch eine Lizenz des jeweiligen Plugins erwerben, allein  schon deshalb, damit man die Updates der Plugins auch mit erhält und damit auf möglichst sicheren Stand steht. Abgesehen davon sind die Preise nun ja auch sehr moderat und wenn man in der Regel 54,- $ für das Theme übrig hat, sollten die paar Dollar mehr für die Plugins nicht gerade weh tun!

WPLer’s aktive Kunden WordPress Sites, die Themes von Themeforest oder das Plugin Visual Composer erhalten haben, wurden bereits schon erfolgreich auf die neusten Versionen aktualisiert, unabhängig dieser Meldung. WPLer erhält automatisch Benachrichtigungen von allen Updates einer WordPress Site und aktualisiert in der Regel maximal bis 12 Stunden später alle Aktualisierungen.

0 Kommentare

Dein Kommentar

Want to join the discussion?
Feel free to contribute!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.