The Plus Addons for Elementor, to kolejna z wielu wtyczek poszerzająca możliwości Elementora. Nie wspominam o niej na kursie Elementora ani tu na Jak Zrobić Stronę, ponieważ uważam, że jest sporo innych bardziej interesujących, o których warto mówić i pisać.

Wiem jednak, że spora część z Was lubi eksperymentować i testować wszczystko co wpdanie w ręce. Potem mamy WordPressa z otyłością poziomu 1, 2 lub nawet 3. Odradzam, ale nie zawsze mnie słuchacie 😉

8 marca Seravo i WP Charged zgłosili krytyczną lukę wtyczki Plus Addons for Elementor, WPScan zaklasyfikował ją jako lukę umożliwiającą obejście uwierzytelniania. Co to oznacza mówiąc prostym językiem?

Wtyczka jest wykorzystywana przez włamywaczy do ominięcia uwierzytelniania, umożliwiając logowanie się jako dowolny użytkownik w tym także administrator! Wystarczy podać powiązaną nazwę użytkownika. Można także tworzyć nowe konta z dowolnymi rolami nawet jeśli w ustawieniach WordPressa jest wyłączona rejestracja. Grubo.

Jeśli korzystasz z tej wtyczki, ale w wersji bezpłatnej możesz w tym miejscu odetchnąć, ponieważ ta niszczycielska luka dotyczy wersji PRO. Podkreślam też, że dotyczy tej konkretnej wtyczki, a nie Elementora.

Autorzy wtyczki najpierw udostępnili szybką poprawkę, która cząciowo eliminowała problem, a potem pojawiła się wersja 4.1.7, która wedle zapewnień usuwa lukę całkowicie.

Wordfence zgłasza, że wciąż blokuje próby ataków w witrynach, które używają niezałatanych wersji wtyczki. Zablokowali blisko 10 000 prób ataków na stronach, które nie zaktualizowały wtyczki.

Przez kilka dni istniała luka o której nikt nie wiedział, oczywiście poza osobą, która ją znalazła i zaczęła wykorzystywać. Szacuje się, że był to okres około 5 dni i przez ten czas wiele stron ucierpiało.

Osoby, których projekty zostały wykorzystane, widziały, utworzone złośliwe konta administracyjne. Inni zastawali stan, w którym każdy adres URL w ich witrynach przekierowywał gdzieś indziej. Atakujący instalowali również złośliwe wtyczki o nazwie „WP Strongs” i „WP Staff”. Ci, którzy nie mogą uzyskać dostępu do panelu administratora, mogą mieć kłopot z ich usunięciem, ale: „Jak wyłączyć wtyczkę, gdy nie możesz sie zalogować do panelu”.

Użytkownicy Elementora, którzy mają zainstalowaną wtyczkę Plus Addons for Elementor, powinni zaktualizować ją do najnowszej wersji i sprawdzić, czy nie ma innych złośliwych wtyczek i plików.

Idealnie byłoby, gdyby właściciele witryn, którzy padli ofiarą exploitów, mieli kopię zapasową strony do przywrócenia. Chamberland z WordFence opublikował transmisję Wordfence Live, przeprowadzając użytkowników przez ręczne czyszczenie zaatakowanych witryn, w tym wymianę folderów wp-include i wp-admin, wraz ze standardowymi plikami. Nagranie może być pomocne dla tych, którzy starają się usunąć szkód.

Udostępnij

Zobacz również

WordPress 5.7.2

WordPress 5.7.2 – jedna poprawka

To wydanie WordPress zawiera poprawkę bezpieczeństwa, a ponieważ mowa o bezpieczeństwie, zaleca się natychmiastowe zaktualizowanie swoich witryn o ile ustawienia Twojego WordPressa same tego już

LoginID

LoginID czyli bezpieczne logowanie WordPress

Bezpieczeństwo jest sporym zmartwieniem dla każdego twórcy stron internetowych, a przynajmniej tego, który zdaje sobie sprawę z faktu, że bezpieczeństwo zależy przede wszystkim od niego.

DNS Anycast

DNS Anycast – co to jest?

DNS Anycast, to temat nie związany bezpośrednio z WordPressem, ale mający wpływ na to jak szybko strona może się ładować, co oznacza lepsze wyniki jakości.

Bezpłatne informacje o nowościach JZS

Zapraszam Cię do grona Subskrybentów! Tysiące Czytelników już subskrybuje wiadomości z JZS.

W każdej chwili możesz zrezygnować z subskrypcji. Twój adres jest tu bezpieczny.

Polecane Oferty LifeTime!

AppMySite

Stwórz natywną aplikację mobilną dla swojego sklepu WooCommerce

Pabbly Connect LifeTime
Pabbly Connect

Narzędzie do automatyzacji procesów biznesu online i integracji strony z...

Virusdie - Lifetime
Virusdie

Rewelacyjne narzędzie chroniące stronę WWW przed atakami, a także narzędzie...

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *