Varios Plugins para Elementor con Vulnerabilidades Detectadas

Categorias: Wordpress

Varios Plugins para Elementor con Vulnerabilidades Detectadas - WordPress

El plugin Elementor para WordPress cuenta con varios plugins de terceros que le añaden nuevas funcionalidades. Se ha detectado una vulnerabilidad común que afecta a la gran mayoría de estos plugins de terceros. Si usas alguno lo mejor es mantenerlos actualizados lo antes posible y evitar problemas.

Cuando un plugin de WordPress es muy usado suelen aparecer nuevos plugins para añadir nuevas funcionalidades a este plugin en particular y no a WordPress en general.

Este es el caso des builder Elementor, el cual tiene una buena lista de plugins en su ecosistema que le añaden nuevas características y funcionalidades, siendo algunos gratuitos y otros de pago.

Es decir, puedes usar el plugin Elementor en su versión gratuita o en la versión de pago y luego puedes añadir nuevos plugins al propio Elementor, ya sean estos gratuitos o no, como puedes ver se trata de todo un ecosistema alrededor del plugin Elementor.

Los chicos de Wordfence han detectado una vulnerabilidad que afecta muchos de estos plugin satélites y si bien no se trata de una vulnerabilidad muy grave, dados los millones de instalaciones de Elementor y las distintas configuraciones que puede tener cada instalación, parece una buena idea comprobarlo si usamos Elementor y algún plugin adicional.


Tenemos diferentes tipos de hosting, selecciona uno:


Listado de Plugins Afectados

Hay muchos plugin afectados y lo más probables es que sean más, pero es complicado comprobarlo, ya que los plugins de pago no ofrecen su código a todo aquél que quiera verlo, así que no es posible saber si está o no corregido el problema.

En cualquier caso, la recomendación es la misma que casi siempre: mantener actualizados los plugins, ya que quizás, en una de esas actualizaciones ya está corregido el problema.

Los plugins afectados y parcheados que han detectado son los siguientes:

Si estás usando alguno de estos plugins, lo conveniente es que compruebes que tienes instalada la versión parcheada o superior

Ten en cuenta que es indiferente que el plugin sea de pago o gratuito, el problema se ha detectado en plugins de todo tipo.

También es posible que otros plugins relacionados con Elementor tengan el mismo problema, pero no aparezca en el listado, sobre todo en las opciones de pago.

Debes estar atento a cualquier actualización que lancen los desarrolladores.

 

Cómo Afecta la Vulnerabilidad a los Plugins para Elementor

actualizr megáfono

Ya hemos comentado que el problema no es muy grave, no porque no sea grave en si, si no por que se requieren una serie de factores para que un ataque tenga éxito.

El problema sólo afecta a los sitios que usen el roll de Colaboradores, es decir usuarios que pueden añadir contenido a nuestro WordPress, previa revisión de un editor o administrador.

Si en tu WordPress solo publicas tú, este problema no debería afectarte ya que la única persona que podría añadir el código malicioso serías tú mismo.

Pero muchos sitios cuentan con los colaboradores, que tienen más permisos que un suscriptor, pero menos que un editor.

Esto se hace para que un sitio pueda generar más contenido, algo así como un periódico, en los que los periodistas/colaboradores escribirían un artículo y un editor revisaría para corregirlo y decidir si es publicado o no.

El colaborador tiene los permisos de acceso a WordPress muy limitados, pero si puede acceder a uno de estos plugins afectados, puede manipular parte del código para engañar al editor o administrador que revise el artículo.

De esta forma, al revisar el artículo se puede ejecutar un JavaScript desde el navegador del editor o administrador, pudiendo escalar los permisos del colaborador hasta el grado de administrador.

Como verás no es algo que le pueda afectar a todos los usuarios que usen Elementor, pero con tantas instalaciones activas, aunque el porcentaje sea pequeño, puede afectar a miles de sitios WordPress.

  • Más info aquí: (En inglés)

 

Hosting WordPress con Protección Malware

Si contratas un hosting WordPress en Hostinet, cuentas con una herramienta que escanea todos los archivos de WordPress en busca de cualquier malware que puedan haber añadido en tus archivos.

No es posible añadir evitar todas las vulnerabilidades de todos los plugins de WordPress, pero si un atacante consigue añadir código malicioso, lo podemos detectar y aislar para que no vaya a más.

Después te avisaremos para que puedas poner tu web en orden lo antes posible y esto está incluido en todos los planes de alojamiento web WordPress:

  • Hosting especializado en WordPress con discos SSDWordPress 1desde4´43€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 2desde5´60€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 3desde8´52€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 1desde4´43€/mes
  • Hosting especializado en WordPress con discos SSDWordPress 2desde5´60€/mes
  • Hosting especializado en WordPress con discos SSDWordPress 3desde8´52€/mes
    • Almacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSD
    • El espacio en disco es la suma del espacio que ocupan los archivos que forman la web y el correo electrónico.
    • La transferencia de datos mensual es la cantidad total de información que se descargan los visitantes de nuestra web en cada acceso más nuestro uso a través de FTP y correo.
    • Ideado para sacar el máximo partido a tu WordPress
    • Aumenta la velocidad de tu web + Info
    • Tras evaluación de nuestro equipo de migraciones
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Elige la versión de PHP que necesites
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Migramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a Hostinet
    • Ideado para sacar el máximo partido a tu WordPress
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Hosting específicamente preparado para sacar el máximo rendimiento a tu Wordpress
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Cada dominio alojado muestra un contenido único y diferente del resto
    • Aparcando un dominio secundario en el alojamiento de nuestro dominio principal conseguimos que ambos dominios resuelvan indistintamente con la misma página que tenemos colgada.
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Tus buzones de correo y mails limpios de virus y con un potente filtro antispam
    • Centro de datos en Madrid (España)
    • Opción de contratación de IP dedicadaPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUI
    • Opción de contratación de certificados SSL. Se requiere Ip dedicada.Puedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUI
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • ¿Quieres realizar desarrollos con Python? En Hostinet innovamos dia a dia en tu beneficio y por ello te presentamos como última novedad en todos nuestros servidores Web la posibilidad de desplegar tus aplicaciones con Python directamente desde el cPanel de tu Hosting.
    • ¿Quieres desarrollar tus aplicaciones con Ruby? En Hostinet te presentamos como última novedad en todos nuestros servicios de Hosting Web la posibilidad de desplegar tus aplicaciones con Ruby on Rails directamente desde el panel de control cPanel.
    • El fichero .htaccess permite modificar diferentes variables en la configuración de nuestra cuenta de alojamiento en el servidor.
    • El módulo mod_rewrite permite crear direcciones URL alternativas a las dinámicas generadas por la programación de nuestros sitio web (blog, foro, portal…), de tal modo que sean más legibles y fáciles de recordar
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web. Soporte en español por personal de Hostinet.
    • Completa recopilación de tutoriales sobre Hosting, Dominios y Wordpress
    • 30 dias para probar tu servicio de Hosting y si no te convence el servicio... te devolvemos el dinero!!