Не играйтесь с огнем и WordPress-плагинами под Elementor
Если ты публичная личность, то приготовься не только к обожанию, но и к поглощению более горьких пилюль. Ведь чем персона известнее, тем чаще окружающие пытаются влезть в ее личное пространство, насолить… Примерно такие же явления происходят с WordPress и популярными плагинами.
Но у такой бешеной популярности есть один большой косяк: слабины востребованного расширения становятся интересны хакерам. Поэтому эти дыры нужно срочно латать. Тем более что у Elementor они есть.
В марте текущего года команда Wordfence Threat Intelligence обнаружила в плагине уязвимость, которая позволяла всем пользователям, имеющим доступ к реализуемому им функционалу, добавлять и выполнять JavaScript-код. Тогда под угрозой оказалось около 7 млн. сайтов, использующих Elementor. Прореху вовремя залатали. Но обнаруженная в этот раз оказалась обширнее и опаснее.
Elementor уже давно стал родительским плагином, под который разработано огромное количество расширений. И это тоже не всегда хорошо! За несколько недель специалистам Wordfence удалось нащупать слабины более чем в пятнадцати надстройках для Elementor, которые установлены на 3,5 млн. сайтов.
Речь идет об опасности межсайтового скриптинга. Обнаруженные прорехи имеют ту же природу, что и найденные ранее в основном плагине. Всего таких болевых точек было нащупано более сотни.
В материале, опубликованном на сайте Wordfence, приводится перечень надстроек, которые получили патчи. Обязательно ознакомьтесь с данным списком и обновите перечисленные плагины до актуальной версии. А остальные расширения под Elementor от греха подальше лучше пока вырубить!
