Portada Wordpress Varios Plugins para Elementor con Vulnerabilidades Detectadas
Cuando un plugin de WordPress es muy usado suelen aparecer nuevos plugins para añadir nuevas funcionalidades a este plugin en particular y no a WordPress en general.
Este es el caso des builder Elementor, el cual tiene una buena lista de plugins en su ecosistema que le añaden nuevas características y funcionalidades, siendo algunos gratuitos y otros de pago.
Es decir, puedes usar el plugin Elementor en su versión gratuita o en la versión de pago y luego puedes añadir nuevos plugins al propio Elementor, ya sean estos gratuitos o no, como puedes ver se trata de todo un ecosistema alrededor del plugin Elementor.
Los chicos de Wordfence han detectado una vulnerabilidad que afecta muchos de estos plugin satélites y si bien no se trata de una vulnerabilidad muy grave, dados los millones de instalaciones de Elementor y las distintas configuraciones que puede tener cada instalación, parece una buena idea comprobarlo si usamos Elementor y algún plugin adicional.
Hay muchos plugin afectados y lo más probables es que sean más, pero es complicado comprobarlo, ya que los plugins de pago no ofrecen su código a todo aquél que quiera verlo, así que no es posible saber si está o no corregido el problema.
En cualquier caso, la recomendación es la misma que casi siempre: mantener actualizados los plugins, ya que quizás, en una de esas actualizaciones ya está corregido el problema.
Los plugins afectados y parcheados que han detectado son los siguientes:
Si estás usando alguno de estos plugins, lo conveniente es que compruebes que tienes instalada la versión parcheada o superior
Ten en cuenta que es indiferente que el plugin sea de pago o gratuito, el problema se ha detectado en plugins de todo tipo.
También es posible que otros plugins relacionados con Elementor tengan el mismo problema, pero no aparezca en el listado, sobre todo en las opciones de pago.
Debes estar atento a cualquier actualización que lancen los desarrolladores.
Ya hemos comentado que el problema no es muy grave, no porque no sea grave en si, si no por que se requieren una serie de factores para que un ataque tenga éxito.
El problema sólo afecta a los sitios que usen el roll de Colaboradores, es decir usuarios que pueden añadir contenido a nuestro WordPress, previa revisión de un editor o administrador.
Si en tu WordPress solo publicas tú, este problema no debería afectarte ya que la única persona que podría añadir el código malicioso serías tú mismo.
Pero muchos sitios cuentan con los colaboradores, que tienen más permisos que un suscriptor, pero menos que un editor.
Esto se hace para que un sitio pueda generar más contenido, algo así como un periódico, en los que los periodistas/colaboradores escribirían un artículo y un editor revisaría para corregirlo y decidir si es publicado o no.
El colaborador tiene los permisos de acceso a WordPress muy limitados, pero si puede acceder a uno de estos plugins afectados, puede manipular parte del código para engañar al editor o administrador que revise el artículo.
De esta forma, al revisar el artículo se puede ejecutar un JavaScript desde el navegador del editor o administrador, pudiendo escalar los permisos del colaborador hasta el grado de administrador.
Como verás no es algo que le pueda afectar a todos los usuarios que usen Elementor, pero con tantas instalaciones activas, aunque el porcentaje sea pequeño, puede afectar a miles de sitios WordPress.
Si contratas un hosting WordPress en Hostinet, cuentas con una herramienta que escanea todos los archivos de WordPress en busca de cualquier malware que puedan haber añadido en tus archivos.
No es posible añadir evitar todas las vulnerabilidades de todos los plugins de WordPress, pero si un atacante consigue añadir código malicioso, lo podemos detectar y aislar para que no vaya a más.
Después te avisaremos para que puedas poner tu web en orden lo antes posible y esto está incluido en todos los planes de alojamiento web WordPress: