Атака на Elementor Pro

Атака на Elementor Pro и его адоны

6 мая 2020 года команда Threat Intelligence плагина Wordfence получила сообщения об активной эксплуатации уязвимостей в двух связанных плагинах: Elementor Pro и Ultimate Addons for Elementor. Позднее эта активность подтвердилась.

Wordfence сообщает:

Мы выпустили правило брандмауэра, которое защищает пользователей Wordfence Premium от использования этой уязвимости. Бесплатные пользователи Wordfence будут защищены от этой уязвимости через 30 дней, 5 июня 2020 года.

Какие плагины затронуты этой атакой

Атакуются два плагина. Первым является ElementorPro, который является платной версией плагина Elementor. Этот плагин имеет уязвимость нулевого дня, которую можно использовать, если пользователи имеют открытую регистрацию.

По состоянию на 16:22 UTC, 7 мая 2020 года, Elementor выпустила версию 2.9.4 Elementor Pro где уязвимость была исправлена.

Второй затронутый плагин – Ultimate Addons for Elementor, созданный Brainstorm Force. Уязвимость в этом плагине позволяет использовать уязвимость Elementor Pro, даже если на сайте не включена регистрация пользователей.

Elementor Pro установлен более чем на 1 млн. Сайтов, а Ultimate Addons имеет установочную базу примерно в 110 000 экземпляров.

Что нужно делать

Если вы используете Wordfence Premium, ваш сайт уже получил правило брандмауэра, чтобы защитить вас от активной атаки. Если вы не используете Wordfence Premium, вы должны сделать следующее:

  • Обновите Ultimate Addons для Elementor немедленно. Убедитесь, что Ultimate Addons for Elementor имеет версию 1.24.2 или выше.
  • Понизьте Elementor до бесплатно, пока не будет выпущен патч для ElementorPro. Вы можете сделать это, отключив Elementor Pro и удалив его с вашего сайта. Это устранит уязвимость загрузки файла.

После выпуска патча вы можете переустановить исправленную версию ElementorPro на свой сайт и восстановить утраченную функциональность. При этом вы можете временно потерять некоторые элементы дизайна после понижения, но после переустановки Elementor Pro они вернутся. Тем не менее резервное копирование сайта всегда разумно.

  • Проверьте наличие неизвестных пользователей уровня подписчика на вашем сайте. Если они есть, удалите эти учётные записи.
  • Посмотрите наличие файлов с именем «wp-xmlrpc.php». Это может считаться признаком компромисса, поэтому проверьте ваш сайт на наличие доказательств этого файла.
  • Удалите все неизвестные файлы или папки, найденные в каталоге / wp-content/uploads/elementor/custom-icons /. Файлы, расположенные здесь после создания мошеннической учётной записи на уровне подписчика, являются явным признаком взлома.

Если вы видите широко распространённую инфекцию, используйте плагин безопасности для очистки вашего сайта.

Еще статьи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.