Vo WordPress Elementor boli objavené závažné chyby zabezpečenia

Doplnok WordPress známy ako Elementor, tvorca stránok, ktorý každý pozná a (tak trochu) miluje, je pod útokom hackerov.

Útočníci naďalej využívajú kritickú zraniteľnosť v Elementore, konkrétne v rámci Plus Addons pre doplnok Elementor.

Je dôležité poznamenať, že Plus Addons pre Elementor sú časti, ktoré sa využívajú, nie bezplatná verzia. Základná verzia Elementor tiež nie je napadnutá.

Na riešenie tohto bezpečnostného problému boli vydané dve nové verzie: 4.1.6 bola vydaná po úplnom odhalení útoku; Následne bola vydaná verzia 4.1.7, aby sa tento problém úplne vyriešil. Inými slovami, verzia 4.1.6 bola len čiastočnou záplatou. Pre každého, kto má stále 4.1.6, sa stále odporúča aktualizovať na 4.1.7.

O aký typ zraniteľnosti ide?

Wordfencespoločnosť zaoberajúca sa vývojom bezpečnostných doplnkov, vysvetľuje, že táto chyba zabezpečenia je známa ako chyba typu Cross-Site Scripting.

Podľa nich predstavuje nasledujúcu hrozbu:

„Dňa 23. februára 2021 tím Wordfence Threat Intelligence zodpovedne odhalil súbor uložených zraniteľností Cross-Site Scripting v Elementore, doplnku WordPress, ktorý „je teraz aktívne nainštalovaný a používaný na viac ako 7 miliónoch webových stránok“ podľa nedávneho oznámenia na Blog Elementor. Tieto chyby zabezpečenia umožnili každému používateľovi, ktorý má prístup k editoru Elementor, vrátane prispievateľov, pridať JavaScript do príspevkov. Tento JavaScript by sa spustil, ak by bol príspevok zobrazený, upravený alebo zobrazený iným používateľom lokality, a mohol by sa použiť na prevzatie kontroly nad webom, ak by obeťou bol administrátor.

Čítať:  7 výkonných taktík budovania prepojenia SaaS

Keďže Elementor má kontaktnú metódu špeciálne pre bezpečnostné správy, boli sme schopní okamžite poskytnúť úplné zverejnenie. Elementor uznal zraniteľnosť nasledujúci deň, 24. februára 2021. Počiatočná oprava bola sprístupnená vo verzii 3.1.2 2. marca 2021. Odporúčame však aktualizovať aspoň na verziu Elementor 3.1.4, najnovšiu dostupnú na čas tohto písania, pretože obsahuje ďalšie opravy problému.

Používatelia Wordfence Premium dostali pravidlo brány firewall, ktoré chráni pred týmito zraniteľnosťami 23. februára 2021. Stránky, ktoré stále používajú bezplatnú verziu Wordfence, dostanú rovnakú ochranu po 30 dňoch, 25. marca 2021.“

Dôvodom, prečo je to taký významný problém, je to, že tieto prvky umožňujú niekomu pridať vlastné značky HTML pre obsah v rámci prvkov.

Existujú rôzne možnosti nastavenia značky v závislosti od prvku:

„Bohužiaľ, pre šesť z týchto prvkov neboli značky HTML overené na strane servera, takže každý používateľ, ktorý mal prístup k editoru Elementor, vrátane prispievateľov, mohol použiť túto možnosť na pridanie spustiteľného JavaScriptu do príspevku alebo stránky. prostredníctvom pripravenej žiadosti.”

Podľa Krčma WordPressWordfence tiež uvádza, že:

„Wordfence hlási, že stále blokuje pokusy na stránkach, ktoré používajú nepatchované. Za posledný týždeň zablokovali 1 900 pokusov o prevzatie stránky z konkrétneho používateľského mena, zablokovali 1 170 pokusov z konkrétneho e-mailu a zablokovali 4 000 pokusov. Útočníci sa stále zameriavajú na stránky, ktoré neboli aktualizované na opravenú verziu.

Čítať:  15 ďalších spôsobov, ako optimalizovať text kotvy odkazu

Tí, ktorých stránky boli zneužité, videli vytvorené škodlivé účty správcov. Iní zažili presmerovanie každej adresy URL na svojich stránkach, čo sťažuje čistenie. Útočníci tiež inštalujú škodlivé doplnky s názvom „WP Strongs“ a „WP Staff“. Tí, ktorí nemajú prístup k administračnému panelu, budú mať odstraňovanie týchto doplnkov zložitejšie.“

Prečo je také dôležité opraviť túto chybu zabezpečenia

Je dôležité zabezpečiť, aby ste tieto chyby čo najrýchlejšie opravili, pretože ak to neurobíte, môže to viesť k tomu, že niekto získa možnosť úplne prevziať kontrolu nad vašimi stránkami.

A ak niekto získa škodlivý prístup na váš web, môže si robiť, čo chce. Budú im prístupné všetky súkromné ​​informácie webovej stránky a všetky môžu byť vymazané, pozmenené, zdieľané alebo publikované podľa vlastného uváženia.

Pre väčšinu správcov webových stránok je horší scenár takmer nemožný.

Nezabudnite aktualizovať svoje doplnky

Nezabudnite aktualizovať svoje doplnky vždy, keď sa objavia tieto bezpečnostné oznámenia. To môže znamenať rozdiel medzi ponechaním všetkého, čo ste získali na svojej stránke, a stratou všetkého.

doteraz Elementor bolo skvelé zabezpečiť, aby boli všetky nahlásené zraniteľnosti a slabé miesta vhodne vyriešené, takže jediné, čo musíte urobiť, je kliknúť aktualizovať

Sledujte na blogu iloveseo.com aktualizácie o najnovších chybách, hackoch, hrozbách a zraniteľnostiach vyskytujúcich sa vo svete softvéru SEO.

Nové Publikácie:

ODPORÚČANIE