6 травня 2020 року команда Threat Intelligence отримала повідомлення про активну експлуатацію вразливих версій у двох популярних плагінах, Elementor Pro та Ultimate Addons for Elementor .
Оскільки це активна атака, тобто досы маэ мысце, ми хотіли попередити вас, щоб ви могли вжити заходів щодо захисту свого сайту. Ми навмисно обмежуємо кількість інформації, яку ця публікація надає, оскільки це тривала атака, і найбільш критична вразливість ще не виправлена.
На які плагіни впливає ця атака
У цій кампанії атакують два плагіни. Перший – Elementor Pro. Цей плагін має вразливість “нульового дня”, що можна використовувати, якщо сайти мають відкриту реєстрацію.
ОНОВЛЕННЯ: Станом на 7 травня 2020 року Elementor випустила версію 2.9.4 Elementor Pro. Це оновлення усуває вразливість. Рекомендуємо негайно оновити плагін на цю версію.
Другий постраждалий плагін – Ultimate Addons for Elementor, який розробляє Brainstorm Force. Вразливість цього плагіна дозволяє використовувати вразливість Elementor Pro, навіть якщо на сайті не ввімкнена реєстрація користувача.
Зауважте!
Щоб було зрозуміло, ці вразливості не впливають на безкоштовний плагін Elementor з понад 4 мільйонами установок. Плагін Elementor Pro – це окреме програмне забезпечення, доступне на веб-сайті Elementor.com. За нашими оцінками, у Elementor Pro понад 1 мільйон активних установок.
Уразливість в Elementor Pro, яка оцінюється як критична, дозволяє зареєстрованим користувачам завантажувати довільні файли, що ведуть до віддаленого виконання коду.
Зловмисник, здатний віддалено виконувати код на вашому сайті, може встановити backdoor або веб-оболонку, щоб отримувати доступ до файлів сайту, отримати повний адміністративний доступ до WordPress або навіть повністю видалити ваш сайт.
Ще цікаве:

Зміна вартості тарифу “Старт”
Ще в травні було змінено умови тарифу Старт (https://wphost.me/our-blog/zminy-u-taryfi-wordpress-hostyngu-start/) , але для тих, хто раніше замовив цю послугу, ми тримали умови та вартість без змін. На сьогодні немає можливості підтримувати тариф “Старт” по ціні 44грн/міс, на жаль, тож ми актуалізуємо вартість для усіх активних послуг, і вона становитиме 52грн/міс. Кілька причин, чому ми вимушені так робити: До кінця жовтня місяця […]
Детальніше
Відладка / debug у WordPress (список корисних плагінів)
Ми вже писали поради, як увімкнути чи вимкнути показ помилок на сайті , чи для інших сайтів на PHP а також де подивитися повний журнал доступу та помилок на хостингу. Усе це – невід’ємна частина роботи будь-якого розробника чи вебмайстра. Текст помилок допомагає йому під час дослідження проблем, діагностики і пошуку причин цих помилок. Сьогодні ми наведемо ще список корисних […]
Детальніше