The Plus Addons for Elementor, to kolejna z wielu wtyczek poszerzająca możliwości Elementora. Nie wspominam o niej na kursie Elementora ani tu na Jak Zrobić Stronę, ponieważ uważam, że jest sporo innych bardziej interesujących, o których warto mówić i pisać.

Wiem jednak, że spora część z Was lubi eksperymentować i testować wszczystko co wpdanie w ręce. Potem mamy WordPressa z otyłością poziomu 1, 2 lub nawet 3. Odradzam, ale nie zawsze mnie słuchacie 😉

8 marca Seravo i WP Charged zgłosili krytyczną lukę wtyczki Plus Addons for Elementor, WPScan zaklasyfikował ją jako lukę umożliwiającą obejście uwierzytelniania. Co to oznacza mówiąc prostym językiem?

Wtyczka jest wykorzystywana przez włamywaczy do ominięcia uwierzytelniania, umożliwiając logowanie się jako dowolny użytkownik w tym także administrator! Wystarczy podać powiązaną nazwę użytkownika. Można także tworzyć nowe konta z dowolnymi rolami nawet jeśli w ustawieniach WordPressa jest wyłączona rejestracja. Grubo.

Jeśli korzystasz z tej wtyczki, ale w wersji bezpłatnej możesz w tym miejscu odetchnąć, ponieważ ta niszczycielska luka dotyczy wersji PRO. Podkreślam też, że dotyczy tej konkretnej wtyczki, a nie Elementora.

Autorzy wtyczki najpierw udostępnili szybką poprawkę, która cząciowo eliminowała problem, a potem pojawiła się wersja 4.1.7, która wedle zapewnień usuwa lukę całkowicie.

Wordfence zgłasza, że wciąż blokuje próby ataków w witrynach, które używają niezałatanych wersji wtyczki. Zablokowali blisko 10 000 prób ataków na stronach, które nie zaktualizowały wtyczki.

Przez kilka dni istniała luka o której nikt nie wiedział, oczywiście poza osobą, która ją znalazła i zaczęła wykorzystywać. Szacuje się, że był to okres około 5 dni i przez ten czas wiele stron ucierpiało.

Osoby, których projekty zostały wykorzystane, widziały, utworzone złośliwe konta administracyjne. Inni zastawali stan, w którym każdy adres URL w ich witrynach przekierowywał gdzieś indziej. Atakujący instalowali również złośliwe wtyczki o nazwie „WP Strongs” i „WP Staff”. Ci, którzy nie mogą uzyskać dostępu do panelu administratora, mogą mieć kłopot z ich usunięciem, ale: „Jak wyłączyć wtyczkę, gdy nie możesz sie zalogować do panelu”.

Użytkownicy Elementora, którzy mają zainstalowaną wtyczkę Plus Addons for Elementor, powinni zaktualizować ją do najnowszej wersji i sprawdzić, czy nie ma innych złośliwych wtyczek i plików.

Idealnie byłoby, gdyby właściciele witryn, którzy padli ofiarą exploitów, mieli kopię zapasową strony do przywrócenia. Chamberland z WordFence opublikował transmisję Wordfence Live, przeprowadzając użytkowników przez ręczne czyszczenie zaatakowanych witryn, w tym wymianę folderów wp-include i wp-admin, wraz ze standardowymi plikami. Nagranie może być pomocne dla tych, którzy starają się usunąć szkód.

Udostępnij

Bezpłatne informacje o nowościach JZS

Zapraszam Cię do grona Subskrybentów! Tysiące Czytelników już subskrybuje wiadomości z JZS.

W każdej chwili możesz zrezygnować z subskrypcji. Twój adres jest tu bezpieczny.

Zobacz również

Oxygen 3.8

Oxygen 3.8 – co nowego?

Nie tak dawno wydana została wersja Oxygen 3.7, a już można testować wstępną wersję Oxygen 3.8. Dla osób, które po raz pierwszy słyszą o narzędziu,

Polecane Oferty LifeTime!

Studiocart

Kreator lejków sprzedażowych pozwalający skutecznie skalować Twój biznes online.

JivoChat oferta lifetime
JivoChat

Jeden z najlepszych czatów dla stron internetowych. Dojrzały z mnóstwem...

Courseware

Stwórz własną platformę z kursami online wykorzystując wtyczkę Courseware

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *