Categorias: Desenvolvimento

Problema com Elementor: plugin apresenta vulnerabilidades e impacta mais de 7 milhões de sites

O Elementor é considerado o melhor plugin gratuito para criação e edição de posts e páginas em sites WordPress, desenvolvido por uma equipe de profissionais com alto nível de especialização que monitoram continuamente os problemas em potencial, lançando correções o mais rápido possível.

Entretanto, assim como todo o software, o Elementor também está sujeito a  algum tipo de contratempo, como ocorreu recentemente.

A equipe de inteligência do Wordfence Security apontou  um problema com Elementor: houve vulnerabilidades no plugin e também nos plugins adicionais mais populares do Elementor, que são instalados coletivamente em mais de 7 milhões de sites.

Explicando o problema com o Elementor, o Wordfence escreveu:

“Encontramos as mesmas vulnerabilidades em quase todos os plugins que revisamos e que adicionam elementos ao construtor de páginas Elementor.”

[CHECKLIST] 10 Etapas para Garantir
a Segurança de Dados Empresariais
com E-mail Corporativo

Proteger seus dados empresariais nunca foi tão simples. Comece hoje e mantenha-se um passo à frente das ameaças cibernéticas. 🛡️ Acesse agora nosso checklist!

Por que a vulnerabilidade de script afeta sites armazenados

A vulnerabilidade de script identificado pelo Wordfence pode colocar em risco um site que utilize o Elementor. Isso porque o script malicioso é carregado e armazenado no próprio site.

Nesse caso, a vulnerabilidade foi designada como Stored Cross-site Scripting (XSS), que tem potencial para permitir que invasores tomem controle total de um site.

De acordo com o Wordfence:

“Pode ser mais fácil para um invasor obter acesso a uma conta com privilégios de contribuidor do que obter credenciais administrativas, e uma vulnerabilidade desse tipo pode ser usada para realizar escalonamento de privilégios executando JavaScript em uma sessão de navegador do administrador de revisão.”

Como funciona o ataque de vulnerabilidade do Elementor

Na prática, um invasor com pelo menos uma permissão de nível contribuidor pode carregar um script malicioso no lugar de outro elemento do site, como trocar o elemento de cabeçalho por um script na página de edição, por exemplo.

Vale destacar que quando falamos sobre controle total de um site, estamos falando de roubo de cookies, credenciais de senha e assim por diante.

A brecha existia em seis componentes do Elementor:

  • Acordeão
  • Caixa de ícones
  • Caixa de Imagem
  • Cabeçalho
  • Divisor
  • Coluna

Wordfence explicou como os invasores exploram esses componentes

Muitos dos elementos criados no Elementor oferecem a opção de definir uma tag HTML para o conteúdo dentro.

Por exemplo, o elemento “Título” pode ser definido para usar tags H1, H2, H3, etc., para aplicar diferentes tamanhos de título por meio do parâmetro header_size.

Infelizmente, para seis desses elementos, as tags HTML não foram validadas no lado do servidor, portanto, era possível para qualquer usuário capaz de acessar o editor Elementor, incluindo colaboradores, usar esta opção para adicionar um código em javascript executável em um post ou página. ”

? Entenda melhor no site oficial do Wordfence

O que fazer para resolver o problema com Elementor

Para evitar maiores riscos aos sites, é recomendado pelo Wordfence que todos os usuários que usam o Elementor como o principal criador de páginas atualizem suas versões para  a 3.1.4 ou superior.

Mas caso seu site tenha sido hackeado ou infectado pela vulnerabilidade do WordPress com o plugin Elementor, entre em contato com nossa equipe de especialistas, podemos auxiliar na correção do seu site.

Em caso de dúvidas, entre em contato com o time de especialista da ServerDo.in. Nosso suporte técnico está disponível 24 horas por dia, 7 dias por semana vestindo a camisa do seu site!