{"id":37872,"date":"2021-03-18T12:54:22","date_gmt":"2021-03-18T10:54:22","guid":{"rendered":"https:\/\/www.hostinet.com\/formacion\/?p=37872"},"modified":"2021-03-18T14:47:39","modified_gmt":"2021-03-18T12:47:39","slug":"plugin-elementor-de-wordpress-peligro-de-hack","status":"publish","type":"post","link":"https:\/\/www.hostinet.com\/formacion\/wordpress\/plugin-elementor-de-wordpress-peligro-de-hack\/","title":{"rendered":"Plugin Elementor de WordPress – Peligro de Hack"},"content":{"rendered":"
<\/div>

\"Plugin<\/h4>\n

Elementor, uno de los plugins m\u00e1s usados del mundo WordPress, tiene un problema de seguridad que puede acabar con tu sitio hackeado. Debes actualizar lo antes posible para evitar futuros problemas.<\/h4>\n

Elementor Website Builder<\/strong> es uno de los plugins m\u00e1s reconocidos y usados en WordPress, el popular gestor de contenidos.<\/p>\n

Entre las versi\u00f3n gratuita y la de pago, se estima que est\u00e1 instalado en m\u00e1s de 7 millones de WordPress<\/strong>, as\u00ed que cualquier alerta de seguridad relacionada con este plugin, puede afectar a una cantidad importante de sitios web<\/strong>.<\/p>\n

Recientemente se ha encontrado un problema de seguridad<\/strong> que puede aprovechar un atacante<\/strong> para insertar un JavaScript<\/strong> con c\u00f3digo malicioso<\/strong>.<\/p>\n

Este problema ya se ha solucionado en la \u00faltima versi\u00f3n<\/strong> del plugin Elementor, la versi\u00f3n 3.1.4<\/strong>.<\/p>\n

Aunque se necesitan ciertas condiciones para que el ataque pueda llevarse a cabo y cada instalaci\u00f3n de WordPress puede ser muy distinta a las dem\u00e1s, vale la pena no arriesgarse y actualizar cuanto antes el plugin Elementor<\/strong><\/p>\n

\n

\"Hosting<\/a><\/p>\n

\n

 <\/p>\n

C\u00f3mo Compruebo si Elementor est\u00e1 Actualizado en mi WordPress<\/h2>\n

Si tienes Elementor instalado en tu WordPress, es muy sencillo saber si est\u00e1 actualizado o cu\u00e1l es la versi\u00f3n que est\u00e1s utilizando<\/strong>, como en cualquier otro plugin de WordPress.<\/p>\n

S\u00f3lo debes acceder a tu WordPress como administrador de la manera habitual, si no eres el administrador de WordPress, no podr\u00e1s hacerlo e ir al paratado de Plugins > Plugins Instalados<\/strong>.<\/p>\n

En el listado que ver\u00e1s, puedes buscar el plugin Elementor<\/strong> y ver\u00e1s la versi\u00f3n que est\u00e1 instalada y si hay alguna actualizaci\u00f3n pendiente, como puedes observar en la siguiente imagen:<\/p>\n

\"elementor<\/p>\n

La versi\u00f3n instalada es la 3.1.1 y te indica claramente que puedes actualizarla a la versi\u00f3n 3.1.4. Tan s\u00f3lo debes pulsar el bot\u00f3n de Actualizar Ahora<\/strong> y WordPress se encargar\u00e1 del resto.<\/p>\n

En principio no deber\u00edas tener problemas, pero como cada WordPress es un mundo, ten una copia de seguridad de tu WordPress a mano<\/strong>. Esto \u00faltimo es aplicable a cualquier actualizaci\u00f3n de cualquier sistema.<\/p>\n

Despu\u00e9s de pulsar en el enlace de actualizar, WordPress se encargar\u00e1 del resto y en unos segundo o minutos, depende de tu conexi\u00f3n, ver\u00e1s el mensaje que ya se ha actualizado y que la versi\u00f3n instalada es la 3.1.4<\/strong>:<\/p>\n

\"elementor<\/p>\n

Lo de la versi\u00f3n 3.1.4 puede cambiar en el futuro, conforme el desarrollador lance nuevas versiones, pero la que soluciona este problema de seguridad en el plugin Elementor es la versi\u00f3n 3.1.4<\/strong> como m\u00ednimo.<\/p>\n

Realizando esta simple acci\u00f3n tu WordPress estar\u00e1 a salvo, as\u00ed que no vale la pena arriesgarse a que tu sitio acabe hackeado, \u00a1\u00a1Actualiza!!<\/strong>.<\/p>\n

 <\/p>\n

C\u00f3mo Afecta el Problema de Seguridad del Plugin Elementor<\/h2>\n

WordPress puedes configurarlo para que colaboradores publiquen sus propias entradas<\/strong> en el sitio.<\/p>\n

Es decir, el administrador le da acceso a los usuarios a parte del panel de administraci\u00f3n<\/strong> para que puedan entrar y publica post, p\u00e1ginas o como est\u00e9 configurado.<\/p>\n

Esto es m\u00e1s habitual de lo que puedes pensar en un primer momento ya que WordPress es un CMS muy polivalente y el m\u00e1s usado en el mundo, as\u00ed que tiene muchos usos distintos y para eso est\u00e1n los roles de usuario<\/em>.<\/p>\n

Hay administradores, editores, autores, colaboradores, suscriptores, etc… y puedes configurar tu WordPress para tengan acceso a distintas secciones del panel de administraci\u00f3n.<\/p>\n

Por lo general, cuando un colaborador o suscriptor tiene acceso a la publicaci\u00f3n, esta debe ser moderada<\/strong> por un roll<\/em> superior, como un editor o el administrador<\/strong>.<\/p>\n

\"actualizr<\/p>\n

Estos son los que deciden si el art\u00edculo enviado es finalmente publicado<\/strong>, hace falta cambiar algo o sencillamente es rechazado.<\/p>\n

El problema de seguridad en Elementor permite a un atacante colaborador, modificar las etiquetas HTML que el plugin permite utilizar, como H1, H2, etc… para agregar un JavaScript<\/strong>.<\/p>\n

Como la publicaci\u00f3n la revisa un editor o un administrador, logueado con sus credenciales de acceso<\/strong>; al acceder al post se cargar\u00eda el JavaScript con contenido malicioso en su navegador y empezando los problemas y dolores de cabeza<\/strong>.<\/p>\n

Seg\u00fan el JavaScript inyectado, el atacante podr\u00eda crear cuentas de administrador alternativas para acceder como tal<\/strong> y bueno, hacerse con el control del sitio, esto siempre y cuando fuera el administrador el que revisara la publicaci\u00f3n.<\/p>\n

Si lo revisara un editor<\/strong>, al no tener privilegios de admin, el problema ser\u00eda menor, pero ya tendr\u00eda juego para enviarle un mensaje al admin con el mismo c\u00f3digo malicioso.<\/p>\n

Como hemos dicho antes, ten\u00edan que darse ciertas circunstancias para que un atacante pudiera explotar la vulnerabilidad<\/strong>, pero siendo tan f\u00e1cil ponerse a salvo, vale la pena actualizar y olvidarse de posibles problemas.<\/p>\n