{"id":37733,"date":"2021-03-09T11:51:40","date_gmt":"2021-03-09T09:51:40","guid":{"rendered":"https:\/\/www.hostinet.com\/formacion\/?p=37733"},"modified":"2021-03-09T12:39:20","modified_gmt":"2021-03-09T10:39:20","slug":"problema-seguridad-de-dia-cero-en-the-plus-addons-for-elementor-y-otra-vulnerabilidad-en-woocommerce-upload-files-plugins-de-pago","status":"publish","type":"post","link":"https:\/\/www.hostinet.com\/formacion\/wordpress\/problema-seguridad-de-dia-cero-en-the-plus-addons-for-elementor-y-otra-vulnerabilidad-en-woocommerce-upload-files-plugins-de-pago\/","title":{"rendered":"Problema Seguridad de D\u00eda Cero en \u00abThe Plus Addons for Elementor\u00bb y Otra Vulnerabilidad en \u00abWooCommerce Upload Files\u00bb – Plugins de Pago"},"content":{"rendered":"
<\/div>

\"Problema<\/h4>\n

Los plugins en WordPress suelen tener una versi\u00f3n gratuita, pero tambi\u00e9n hay de pago y en ocasiones tambi\u00e9n tiene problemas de seguridad, como el plugin \u00abThe Plus Addons for Elementor\u00bb con un ataque d\u00eda cero y \u00abWooCommerce Upload Files\u00bb con un problema de seguridad importante. Ambos plugins de pago.<\/h4>\n

Desde el d\u00eda 8 de marzo se ha detectado un ataque de \u00abd\u00eda cero\u00bb<\/strong> en el plugin \u00abThe Plus Addons for Elementor\u00bb<\/strong>, un plugin para WordPress PRO<\/strong> por el que tienes que pagar una cantidad de dinero para poder utilizarlo.<\/p>\n

El plugin a\u00f1ade widgets adicionales al popular plugin Elementor<\/strong> para WordPress y lo peor de todo es que se trata de un ataque de d\u00eda cero<\/strong>, lo que significa que, hasta la fecha, no existe una versi\u00f3n parcheada<\/strong>.<\/p>\n

La versi\u00f3n afectada es la 4.1.5<\/strong> y anteriores, as\u00ed que si eres un de los que tienen instalado el plugin The Plus Addons for Elementor<\/strong>, debes de comprobar si el desarrollador ya ha lanzado una versi\u00f3n superior y en ese caso actualizar cuanto antes<\/strong>.<\/p>\n

En le caso de que el desarrollador del plugin no haya lanzado ninguna versi\u00f3n parcheada aun, la \u00fanica forma que tienes de mantener a salvo tu WordPress es desinstalando el plugin<\/strong>, aunque sea de manera temporal.<\/p>\n

El ataque detectado es muy grave, ya que los atacantes est\u00e1n creando nuevas cuentas de usuario con permisos de administrador<\/strong>.<\/p>\n

Una vez se hacen con una cuenta de administrador, pueden hacer con tu WordPress lo que quieran, pero no ser\u00e1 nada bueno<\/strong>.<\/p>\n

Si tu sitio tiene que funcionar si o si con el plugin The Plus Addons for Elementor<\/strong>, puedes probar a eliminar los widgets de registro y login de usuarios que tiene o desactivar el registro o inicio de sesi\u00f3n por completo en WordPress.<\/p>\n

Aunque esta opci\u00f3n no es muy segura y no se sabe por completo si ser\u00e1 suficiente para evitar el ataque. Lo mejor es que te pongas en contacto con el desarrollador del plugin<\/strong> si tienes dudas.<\/p>\n

\u00a1Ojo!<\/strong>, porque existe una versi\u00f3n gratuita del plugin llamada The Plus Addons for Elementor Page Builder Lite<\/strong> , que puedes descargar desde aqu\u00ed<\/a><\/em> y no parece tenga el mismo problema que la versi\u00f3n PRO de pago<\/strong>.<\/p>\n

\"addons-elementor-lite<\/p>\n

Parece ser que el ataque d\u00eda cero s\u00f3lo afecta al widget Login\/Singup<\/strong> que no est\u00e1 disponible en el versi\u00f3n gratuita.<\/p>\n

En cualquier caso es recomendable que est\u00e9s atento a las distintas actualizaciones<\/strong> que los desarrolladores vayan lanzado en los pr\u00f3ximos d\u00edas.<\/p>\n