WordFence rapporte qu’Elementor Pro a un exploit pour les vulnérabilités critiques de sécurité Zero Day. Cette vulnérabilité n’a été résolue qu’aujourd’hui, le 7 mai 2020. Les versions non corrigées seraient activement exploitées.

Elementor vient de publier la version Pro 2.9.4, qui contient la mise à jour de la vulnérabilité de téléchargement de fichiers critiques

Deux plugins Elementor sont vulnérables

Selon WordFence, il existe deux plugins, chacun avec une faille de sécurité.

Elementor Pro est un plugin compromis

Elementor Pro est la version payante du plugin Elementor WordPress pour le constructeur de pages. Cette vulnérabilité n’affecte pas la version gratuite du plug-in Elementor.

La vulnérabilité est classée « critique » selon WordFence.

La publicité

Lisez ci-dessous

Un pirate informatique devrait être enregistré sur le site Web pour exploiter la vulnérabilité.

Si vous exploitez un site Web WordPress avec Elementor Pro et autorisez les visiteurs du site Web à s’inscrire, à commenter ou à contribuer au site Web, vous pouvez être vulnérable.

Cependant, si votre site WordPress Elementor Pro n’a pas d’utilisateurs enregistrés, vous pouvez toujours être en danger.

La raison pour laquelle vous pouvez toujours être à risque est qu’un autre plugin Ultimate Addons for Elementor permet à un pirate de s’inscrire en tant qu’abonné même si l’enregistrement est interdit.

Cela signifie que le plugin Ultimate Addons for Elementor permet à un pirate de pirater Elementor Pro.

La publicité

Lisez ci-dessous

Selon WordFence:

«La vulnérabilité n’ayant pas encore été résolue, nous excluons d’autres informations.

Nous avons des données d’un autre fournisseur indiquant que l’équipe Elementor travaille sur un correctif. Nous avons contacté Elementor et n’avons pas reçu de confirmation immédiate avant la publication. « 

Compléments ultimes pour la vulnérabilité Elementor

Le deuxième plugin vulnérable est le plugin Ultimate Addons for Elementor. La vulnérabilité permet à un hacker d’exploiter la vulnérabilité d’Elementor Pro si l’enregistrement des utilisateurs est désactivé.

Un correctif récemment publié est actuellement disponible qui peut corriger la vulnérabilité dans Elementor Pro. Mettez à jour Elementor Pro vers la version 2.9.4 que vous souhaitez protéger.

Il existe également un correctif disponible pour corriger le plugin Ultimate Addons for Elementor (Instructions ici).

En mettant à jour le plugin Ultimate Addons (s’il est installé), vous pouvez théoriquement empêcher un pirate informatique d’exploiter un site Elementor Pro tant que les inscriptions d’utilisateurs sont interdites.

Comment protéger votre site Web Elementor Pro

WordFence recommande de mettre à jour Elementor Pro vers la version 2.9.4.

Une fois Elementor Pro mis à jour, vous êtes à l’abri du piratage.

Lisez l’annonce WordFence:

L’attaque combinée sur Elementor Pro et Ultimate Addons pour Elementor met 1 million de sites Web en danger

Plus de ressources





Source link

Recent Posts