WordPress元素插件Elementor是一款可视化编辑器,支持前端编辑,提供了许多元素,用户无需代码经验即可完成网站编辑工作,结合其终极扩展Ultimate Addons for Elementor,无需专业的网站设计师都可以做出专业水准的网站。正因如此,今年早些时候Elementor获得首轮1500万美元融资。
目前Elementor用户已超过400万用户,但是日前元素插件及其终极扩展出现Bug,这可能会给一百万网站带来风险。
两个WordPress插件Elementor和Ultimate Addons for Elementor出现Bug
Wordfence的研究人员在两个单独但相关的WordPress插件中发现了安全漏洞。如观察到的,同时利用两个插件中的错误可能会导致巨大的网络攻击。 研究人员在博客文章中详细说明了这些问题,并强调指出Elementor Pro插件中存在严重的严重漏洞。利用该漏洞可以进行远程代码执行攻击,因为任何注册用户都可以上传任意文件。正如研究人员所解释的:
能够远程执行您站点上代码的攻击者可以安装后门或Webshell来维护访问权限,获得对WordPress的完全管理访问权,甚至完全删除您的站点。
这是一个Zero-day(零日漏洞,即安全补丁与瑕疵曝光的同一日内,相关的恶意程序就出现,并对漏洞进行攻击)漏洞,如不引起重视,该漏洞具有极大的破坏性。
黑客可以通过注册登录直接在网站上利用该漏洞。即使在关闭用户注册选项,黑客还可以通过Ultimate Addons for Elementor绕开注册进行攻击。
补丁推出
Wordfence已经评估了对该漏洞的影响情况,估计约一百万网站受到影响。他们甚至检查了一些受感染的网站,以确认威胁。如他们的帖子所述, 由于这是主动攻击,因此我们应该引起重视,以便您可以采取步骤保护您的网站。目前插件开发者已经修复了此bug。因此,用户应确保将其网站上的插件更新为Elementor Pro 2.9.4版以及Elementor 1.24.2或更高版本的Ultimate Addons。 此外,研究人员还建议采取以下措施,以确保网站不受损害。
-检查您网站上是否有未知的订阅级别用户。
–检查名为“ wp-xmlrpc.php”的文件。
–删除在/ wp-content / uploads / elementor / custom-icons /目录中找到的所有未知文件或文件夹。