The Plus Addons for Elementor, to kolejna z wielu wtyczek poszerzająca możliwości Elementora. Nie wspominam o niej na kursie Elementora ani tu na Jak Zrobić Stronę, ponieważ uważam, że jest sporo innych bardziej interesujących, o których warto mówić i pisać.

Wiem jednak, że spora część z Was lubi eksperymentować i testować wszczystko co wpdanie w ręce. Potem mamy WordPressa z otyłością poziomu 1, 2 lub nawet 3. Odradzam, ale nie zawsze mnie słuchacie 😉

8 marca Seravo i WP Charged zgłosili krytyczną lukę wtyczki Plus Addons for Elementor, WPScan zaklasyfikował ją jako lukę umożliwiającą obejście uwierzytelniania. Co to oznacza mówiąc prostym językiem?

Wtyczka jest wykorzystywana przez włamywaczy do ominięcia uwierzytelniania, umożliwiając logowanie się jako dowolny użytkownik w tym także administrator! Wystarczy podać powiązaną nazwę użytkownika. Można także tworzyć nowe konta z dowolnymi rolami nawet jeśli w ustawieniach WordPressa jest wyłączona rejestracja. Grubo.

Jeśli korzystasz z tej wtyczki, ale w wersji bezpłatnej możesz w tym miejscu odetchnąć, ponieważ ta niszczycielska luka dotyczy wersji PRO. Podkreślam też, że dotyczy tej konkretnej wtyczki, a nie Elementora.

Autorzy wtyczki najpierw udostępnili szybką poprawkę, która cząciowo eliminowała problem, a potem pojawiła się wersja 4.1.7, która wedle zapewnień usuwa lukę całkowicie.

Wordfence zgłasza, że wciąż blokuje próby ataków w witrynach, które używają niezałatanych wersji wtyczki. Zablokowali blisko 10 000 prób ataków na stronach, które nie zaktualizowały wtyczki.

Przez kilka dni istniała luka o której nikt nie wiedział, oczywiście poza osobą, która ją znalazła i zaczęła wykorzystywać. Szacuje się, że był to okres około 5 dni i przez ten czas wiele stron ucierpiało.

Osoby, których projekty zostały wykorzystane, widziały, utworzone złośliwe konta administracyjne. Inni zastawali stan, w którym każdy adres URL w ich witrynach przekierowywał gdzieś indziej. Atakujący instalowali również złośliwe wtyczki o nazwie „WP Strongs” i „WP Staff”. Ci, którzy nie mogą uzyskać dostępu do panelu administratora, mogą mieć kłopot z ich usunięciem, ale: „Jak wyłączyć wtyczkę, gdy nie możesz sie zalogować do panelu”.

Użytkownicy Elementora, którzy mają zainstalowaną wtyczkę Plus Addons for Elementor, powinni zaktualizować ją do najnowszej wersji i sprawdzić, czy nie ma innych złośliwych wtyczek i plików.

Idealnie byłoby, gdyby właściciele witryn, którzy padli ofiarą exploitów, mieli kopię zapasową strony do przywrócenia. Chamberland z WordFence opublikował transmisję Wordfence Live, przeprowadzając użytkowników przez ręczne czyszczenie zaatakowanych witryn, w tym wymianę folderów wp-include i wp-admin, wraz ze standardowymi plikami. Nagranie może być pomocne dla tych, którzy starają się usunąć szkód.

Udostępnij

Zobacz również

DNS Anycast

DNS Anycast – co to jest?

DNS Anycast, to temat nie związany bezpośrednio z WordPressem, ale mający wpływ na to jak szybko strona może się ładować, co oznacza lepsze wyniki jakości.

Bezpłatne informacje o nowościach JZS

Zapraszam Cię do grona Subskrybentów! Tysiące Czytelników już subskrybuje wiadomości z JZS.

W każdej chwili możesz zrezygnować z subskrypcji. Twój adres jest tu bezpieczny.

Polecane Oferty LifeTime!

Gravitec
Gravitec

Wykorzystaj powiadomienia WebPush, aby zwiększyć ruch i sprzedaż

Scalify LTD
Scalify

Twórz reklamy, publikuj je i zwiększaj konwersje kampanii na Facebooku,...

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *