Elementor Pro para WordPress – Vulnerabilidad Día Cero

Categorias: Wordpress

Elementor Pro para WordPress - Vulnerabilidad Día Cero

Elementor es uno de los plugins más usados en WordPress y en su versión Pro de pago, se ha detectado un grave problema de seguridad que debes de atender cuanto antes, ya que se trata de un ataque crítico.

Elementor es uno de los plugins más populares en WordPress. Se utiliza para diseñar el theme o las páginas de WordPress de una manera visual, con el método de «arrastrar y soltar».

La versión gratuita del plugin Elementor, tiene más de 4 millones de instalaciones activas y no tiene ningún problema de seguridad.

La versión de pago, llamada Elementor Pro, es la que tiene un problema muy grave de seguridad.

Si usas Elementor Pro, tienes que revisar esta información lo antes posible, ya que a día de hoy se trata de un ataque activo.

Se estima que más de 1 millón de usuarios usan Elemento Pro. SI eres uno de ellos tienes que actualizar cuanto antes a la versión 2.9.4, que corrige el problema.

Si usas Elementor Pro, tienes que actualizar a loa versión 2.9.4 o superior ¡cuanto antes!.


Tenemos diferentes tipos de hosting, selecciona uno:


 

Uso Elementor Pro ¿Qué Tengo que Hacer?

Antes de nada, debes actualizar a la versión 2.9.4 del plugin Elementor Pro, luego puedes seguir leyendo esto.

La vulnerabilidad de Elementor Pro se divide en 2 grupos:

  • – Los que tienen habilitado el registro de usuarios
  • – Los que NO tienen habilitado el registro de usuarios

Si tienes habilitado el registro de usuarios en WordPress, cualquier usuario registrado puede cargar archivos arbitrarios que conducen a la ejecución remota de código, aunque sea un suscriptor.

Esto significa que puede hacerse con el control total de WordPress.

Ultimate Addons for Elementor – Otra Puerta de Acceso

Ultimate Addons for Elementor - Otra Puerta de Acceso

Esto no acaba aquí, ya que se trata de un ataque combinado y aunque no tengas habilitado el registro de usuario.

Si usas el plugin Ultimate Addons for Elementor, el atacante podrá acceder de igual manera.

El atacante puede aprovechar las opciones del plugin Ultimate Addons para registrarse como usuario y lanzar el ataque igualmente.

Para evitar esto, tienes que actualizar el plugin Ultimate Addons for Elementor a la versión 1.24.2 lo antes posible.

 

Ya he Actualizado Elementor Pro – ¿Y Ahora Qué?

Si ya has actualizado todo, es aconsejable comprobar que no te has visto afectado.

Los atacantes pueden haber accedido, pero no haber realizado ninguna acción notable en tu web… al menos por ahora.

Así que puedes comprobar algunas cosas:

  1. Comprueba que no existan administradores en WordPress que no conozcas
  2. Revisa los archivos en busca de uno llamado wp-xmlrpc.php. Eso no es un archivo de WordPress e indica que han entrado en tu sitio. (No confundir con xmlrpc.php, que sí es un archivo de WordPress)
  3. Comprueba la ruta «/wp-content/uploads/elementor/custom-icons/». Si ves algún archivo o carpeta extraña, tiene muchas posibilidades de que lo haya añadido un atacante.

Si tienes alguno de estos 3 puntos, tendrás que revisar tu WordPress en profundidad en busca de algún malware, cambios en base de datos, etc….

Por su puesto, si tu WordPress hace cosas extrañas, como redirigir usuarios a otros sitios o lanzar publicidad que no has puesto, estarás infectado.

elementor pro actualizado ataque vulnerabilidad WordPress

Resumiendo el Problema con Elementor Pro

Se trata de un ataque combinado y existen dos versiones de un mismo plugin, así que puede ser algo más complejo de lo habitual. Vamos a tratar de resumirlo.

  • – Tengo instalado el plugin Elementor gratuito en mi WordPress, ¿debo hacer algo?:
    No.
  • – Tengo instalado el Plugin Elementor Pro de pago en mi WordPress:
    Actualiza a la versión 2.9.4 cuanto antes.
  • – Tengo instalado el plugin «Ultimate Addons for Elementor» en mi WordPress.
    Actualiza a la versión 1.24.2 cuanto antes.

Básicamente se trata de esto.

  • Tienes toda la información detallada del ataque en esta web. (en inglés)

 

Cosas a Tener en Cuenta

Estos tipos de ataque se conocen como «Ataque día cero» y son muy peligrosos, por que en el momento de realizarse, no existe una solución disponible.

Además este ataque puede venir de la combinación de dos plugins muy usados y populares, por lo que la cantidad de sitios afectados puede ser muy alta.

Ahora mismo ya existe una solución, pero si no se actualizan los plugins, no servirá de nada y los atacantes seguirán teniendo «vía libre» para hacer lo que quieran con su WordPress.

Así que debes actualizar lo antes posible y tener claro que este problema, solo afecta a la versión Pro de Elementor.

Si tienes instalada la versión gratuita, no estas en riesgo, pero siempre es mejor mantenerla todo actualizado, para evitar problemas en el futuro.

 

Hosting WordPress con Protección Anti Malware

En Hostinet , nuestros hosting WordPress, tienen un sistema de seguridad anti malware que escanea tus archivos en busca de código malicioso.

No podemos evitar un problema como el que contamos hoy, pero en caso de que consigan acceder a tu WordPress y añadan código malicioso, lo detectaremos y te avisaremos.

De esta manera, podrás localizar y solucionar el problema en tiempo récord para que tu WordPress se vea afectado lo menos posible.

Aquí tienes algunos de nuestros alojamientos web para WordPress:

  • Hosting especializado en WordPress con discos SSDWordPress 1desde4´38€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 2desde5´54€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 3desde8´34€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 1desde4´38€/mes
  • Hosting especializado en WordPress con discos SSDWordPress 2desde5´54€/mes
  • Hosting especializado en WordPress con discos SSDWordPress 3desde8´34€/mes
    • Almacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSD
    • El espacio en disco es la suma del espacio que ocupan los archivos que forman la web y el correo electrónico.
    • La transferencia de datos mensual es la cantidad total de información que se descargan los visitantes de nuestra web en cada acceso más nuestro uso a través de FTP y correo.
    • Ideado para sacar el máximo partido a tu WordPress
    • Aumenta la velocidad de tu web + Info
    • Tras evaluación de nuestro equipo de migraciones
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Elige la versión de PHP que necesites
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Migramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a Hostinet
    • Ideado para sacar el máximo partido a tu WordPress
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Hosting específicamente preparado para sacar el máximo rendimiento a tu Wordpress
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Cada dominio alojado muestra un contenido único y diferente del resto
    • Aparcando un dominio secundario en el alojamiento de nuestro dominio principal conseguimos que ambos dominios resuelvan indistintamente con la misma página que tenemos colgada.
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Tus buzones de correo y mails limpios de virus y con un potente filtro antispam
    • Centro de datos en Madrid (España)
    • Opción de contratación de IP dedicadaPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUI
    • Opción de contratación de certificados SSL. Se requiere Ip dedicada.Puedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUI
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • ¿Quieres realizar desarrollos con Python? En Hostinet innovamos dia a dia en tu beneficio y por ello te presentamos como última novedad en todos nuestros servidores Web la posibilidad de desplegar tus aplicaciones con Python directamente desde el cPanel de tu Hosting.
    • ¿Quieres desarrollar tus aplicaciones con Ruby? En Hostinet te presentamos como última novedad en todos nuestros servicios de Hosting Web la posibilidad de desplegar tus aplicaciones con Ruby on Rails directamente desde el panel de control cPanel.
    • El fichero .htaccess permite modificar diferentes variables en la configuración de nuestra cuenta de alojamiento en el servidor.
    • El módulo mod_rewrite permite crear direcciones URL alternativas a las dinámicas generadas por la programación de nuestros sitio web (blog, foro, portal…), de tal modo que sean más legibles y fáciles de recordar
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web. Soporte en español por personal de Hostinet.
    • Completa recopilación de tutoriales sobre Hosting, Dominios y Wordpress
    • 30 dias para probar tu servicio de Hosting y si no te convence el servicio... te devolvemos el dinero!!