O Elementor é considerado o melhor plugin gratuito para criação e edição de posts e páginas em sites WordPress, desenvolvido por uma equipe de profissionais com alto nível de especialização que monitoram continuamente os problemas em potencial, lançando correções o mais rápido possível.
Entretanto, assim como todo o software, o Elementor também está sujeito a algum tipo de contratempo, como ocorreu recentemente.
A equipe de inteligência do Wordfence Security apontou um problema com Elementor: houve vulnerabilidades no plugin e também nos plugins adicionais mais populares do Elementor, que são instalados coletivamente em mais de 7 milhões de sites.
Explicando o problema com o Elementor, o Wordfence escreveu:
“Encontramos as mesmas vulnerabilidades em quase todos os plugins que revisamos e que adicionam elementos ao construtor de páginas Elementor.”
Proteger seus dados empresariais nunca foi tão simples. Comece hoje e mantenha-se um passo à frente das ameaças cibernéticas. 🛡️ Acesse agora nosso checklist!
Por que a vulnerabilidade de script afeta sites armazenados
A vulnerabilidade de script identificado pelo Wordfence pode colocar em risco um site que utilize o Elementor. Isso porque o script malicioso é carregado e armazenado no próprio site.
Nesse caso, a vulnerabilidade foi designada como Stored Cross-site Scripting (XSS), que tem potencial para permitir que invasores tomem controle total de um site.
De acordo com o Wordfence:
“Pode ser mais fácil para um invasor obter acesso a uma conta com privilégios de contribuidor do que obter credenciais administrativas, e uma vulnerabilidade desse tipo pode ser usada para realizar escalonamento de privilégios executando JavaScript em uma sessão de navegador do administrador de revisão.”
Como funciona o ataque de vulnerabilidade do Elementor
Na prática, um invasor com pelo menos uma permissão de nível contribuidor pode carregar um script malicioso no lugar de outro elemento do site, como trocar o elemento de cabeçalho por um script na página de edição, por exemplo.
Vale destacar que quando falamos sobre controle total de um site, estamos falando de roubo de cookies, credenciais de senha e assim por diante.
A brecha existia em seis componentes do Elementor:
- Acordeão
- Caixa de ícones
- Caixa de Imagem
- Cabeçalho
- Divisor
- Coluna
Wordfence explicou como os invasores exploram esses componentes
Muitos dos elementos criados no Elementor oferecem a opção de definir uma tag HTML para o conteúdo dentro.
Por exemplo, o elemento “Título” pode ser definido para usar tags H1, H2, H3, etc., para aplicar diferentes tamanhos de título por meio do parâmetro header_size.
Infelizmente, para seis desses elementos, as tags HTML não foram validadas no lado do servidor, portanto, era possível para qualquer usuário capaz de acessar o editor Elementor, incluindo colaboradores, usar esta opção para adicionar um código em javascript executável em um post ou página. ”
O que fazer para resolver o problema com Elementor
Para evitar maiores riscos aos sites, é recomendado pelo Wordfence que todos os usuários que usam o Elementor como o principal criador de páginas atualizem suas versões para a 3.1.4 ou superior.
Mas caso seu site tenha sido hackeado ou infectado pela vulnerabilidade do WordPress com o plugin Elementor, entre em contato com nossa equipe de especialistas, podemos auxiliar na correção do seu site.
