Die Sicherheitslücke im Revolution Slider Plugin für WordPress war bereits ziemlich schlimm und hatte für einiges Aufsehen gesorgt. Es gab dafür auch ein eigenes Plugin um die Lücke kurzfristig sichern zu können. Unter dem Namen „Patch for Revolution Slider“ steht es nach wie vor zum Download bei WordPress bereits.

Mittlerweile hat sich gezeigt, das in den älteren Versionen des Patches ebenfalls eine schwer wiegende Sicherheitslücke vorhanden ist, die es möglich macht, alle Dateien und damit auch die Konfigurationsdateien von außen anzeigen zu lassen. Dazu zu reicht es bei betroffenen Domains einen simplen Link aufzurufen, danach lassen sich alle Files auf dem eigenen Rechner speichern und anzeigen.

Betroffen scheinen aber in erster Linie ältere Versionen des Patches zu sein, die neueren 4.6.x Versionen des Plugin sind wohl nicht betroffen.

Trotzdem sollte man auf die neuste Version des Sliders aufrüsten (ohne Lücke) und den Patch am besten wieder deinstallieren.