The Plus Addons for Elementor, to kolejna z wielu wtyczek poszerzająca możliwości Elementora. Nie wspominam o niej na kursie Elementora ani tu na Jak Zrobić Stronę, ponieważ uważam, że jest sporo innych bardziej interesujących, o których warto mówić i pisać.

Wiem jednak, że spora część z Was lubi eksperymentować i testować wszczystko co wpdanie w ręce. Potem mamy WordPressa z otyłością poziomu 1, 2 lub nawet 3. Odradzam, ale nie zawsze mnie słuchacie 😉

8 marca Seravo i WP Charged zgłosili krytyczną lukę wtyczki Plus Addons for Elementor, WPScan zaklasyfikował ją jako lukę umożliwiającą obejście uwierzytelniania. Co to oznacza mówiąc prostym językiem?

Wtyczka jest wykorzystywana przez włamywaczy do ominięcia uwierzytelniania, umożliwiając logowanie się jako dowolny użytkownik w tym także administrator! Wystarczy podać powiązaną nazwę użytkownika. Można także tworzyć nowe konta z dowolnymi rolami nawet jeśli w ustawieniach WordPressa jest wyłączona rejestracja. Grubo.

Jeśli korzystasz z tej wtyczki, ale w wersji bezpłatnej możesz w tym miejscu odetchnąć, ponieważ ta niszczycielska luka dotyczy wersji PRO. Podkreślam też, że dotyczy tej konkretnej wtyczki, a nie Elementora.

Autorzy wtyczki najpierw udostępnili szybką poprawkę, która cząciowo eliminowała problem, a potem pojawiła się wersja 4.1.7, która wedle zapewnień usuwa lukę całkowicie.

Wordfence zgłasza, że wciąż blokuje próby ataków w witrynach, które używają niezałatanych wersji wtyczki. Zablokowali blisko 10 000 prób ataków na stronach, które nie zaktualizowały wtyczki.

Przez kilka dni istniała luka o której nikt nie wiedział, oczywiście poza osobą, która ją znalazła i zaczęła wykorzystywać. Szacuje się, że był to okres około 5 dni i przez ten czas wiele stron ucierpiało.

Osoby, których projekty zostały wykorzystane, widziały, utworzone złośliwe konta administracyjne. Inni zastawali stan, w którym każdy adres URL w ich witrynach przekierowywał gdzieś indziej. Atakujący instalowali również złośliwe wtyczki o nazwie „WP Strongs” i „WP Staff”. Ci, którzy nie mogą uzyskać dostępu do panelu administratora, mogą mieć kłopot z ich usunięciem, ale: „Jak wyłączyć wtyczkę, gdy nie możesz sie zalogować do panelu”.

Użytkownicy Elementora, którzy mają zainstalowaną wtyczkę Plus Addons for Elementor, powinni zaktualizować ją do najnowszej wersji i sprawdzić, czy nie ma innych złośliwych wtyczek i plików.

Idealnie byłoby, gdyby właściciele witryn, którzy padli ofiarą exploitów, mieli kopię zapasową strony do przywrócenia. Chamberland z WordFence opublikował transmisję Wordfence Live, przeprowadzając użytkowników przez ręczne czyszczenie zaatakowanych witryn, w tym wymianę folderów wp-include i wp-admin, wraz ze standardowymi plikami. Nagranie może być pomocne dla tych, którzy starają się usunąć szkód.

Udostępnij

Zobacz również

Statyczna strona WordPress

Statyczna strona WordPress

Dziś kontynuacja wątku związanego jednocześnie z szybkością stron i ich bezpieczeństwem. Pytanie: czy słyszałeś kiedykolwiek o czymś takim jak statyczna strona WordPress? Jeśli nie, albo

Publikacje prosto na Twój email!

Zapisz się i obserwuj co dzieje się na Wooj, Uczymyjak i PoznajWP

W każdej chwili możesz zrezygnować z subskrypcji. Twój adres jest bezpieczny.

Polecane Oferty LifeTime!

WooLentor Lifetime Deal

WooLentor

Builder dla WooCommerce. Zaprojektujesz strony koszyka, zamówienia, konta klienta, produktów itd… Do tego ogrom innych funkcji, pozwalających zwiększyć konwersję.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.