Nuevas vulnerabilidades en complemento Elementor de Wordpress

  • Autor Autor davidrod
  • Fecha de inicio Fecha de inicio
D

davidrod

Delta
Verificación en dos pasos activada
Verificado por Whatsapp
¡Ha verificado su Paypal!
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Más vulnerabilidades expuestas de Wordpress, ahora en addons de Elementor, incluso en algunos "Premium"

He visto que usan bastante eso de Elementor, la verdad, desconozco que sea esa cosa.

www.searchenginejournal.com

Vulnerabilities in 17+ Elementor Add-on Plugins for WordPress

Millions of WordPress sites affected by vulnerabilities in Elementor add-on plugins
www.searchenginejournal.com www.searchenginejournal.com

Siempre actualicen.
Mucha suerte.
 
davidrod dijo:
Más vulnerabilidades expuestas de Wordpress, ahora en addons de Elementor, incluso en algunos "Premium"

He visto que usan bastante eso de Elementor, la verdad, desconozco que sea esa cosa.

www.searchenginejournal.com

Vulnerabilities in 17+ Elementor Add-on Plugins for WordPress

Millions of WordPress sites affected by vulnerabilities in Elementor add-on plugins
www.searchenginejournal.com www.searchenginejournal.com

Siempre actualicen.
Mucha suerte.
Hacer clic para expandir...

La vulnerabilidad solo afecta si el usuario malvado tiene permisos de administrador

Si no, no puede insertar nada en ningún sitio.

Así que solución #1 no brindes acceso a desconocidos a administrador tu WordPress

Paso #2 Esta subida mediante Elementor se conoció horas de lanzarse la versión afectada por Wordfence, así que fue neutralizada rápidamente para usuarios que tenían Wordfence
 
David Morales dijo:
La vulnerabilidad solo afecta si el usuario malvado tiene permisos de administrador

Si no, no puede insertar nada en ningún sitio.
Hacer clic para expandir...

Para eso no hace falta Elementor, si le das acceso a cualquiera como admin a tu sitio, no importa lo que uses, le estás abriendo la puerta para que haga lo que quiera 🙂
 
Sam40 dijo:
Para eso no hace falta Elementor, si le das acceso a cualquiera como admin a tu sitio, no importa lo que uses, le estás abriendo la puerta para que haga lo que quiera 🙂
Hacer clic para expandir...
Es que desde ahí esta el detalle, dichas vulnerabilidades de elementor no afectan a nadie que no brinde admin a desconocidos y si tus admins son de confianza está vulnerabilid no te afecta
 
Lo comentan tan seguros, como si el principal ataque de WP no fuera obtener el usuario admin, mediante esas "pequenas" vulnerabilidades. 🤔
 
davidrod dijo:
Lo comentan tan seguros, como si el principal ataque de WP no fuera obtener el usuario admin, mediante esas "pequenas" vulnerabilidades. 🤔
Hacer clic para expandir...
Eso que mencionas es hacer pentesting al usuario admin, lo cual también soluciona wordfence, un wordpress sin wordfence no es seguro, pero basta con autentificacion de dos pasos y listo
 
davidrod dijo:
Lo comentan tan seguros, como si el principal ataque de WP no fuera obtener el usuario admin, mediante esas "pequenas" vulnerabilidades. 🤔
Hacer clic para expandir...
Wordfence bloquea usuarios que intenten acceder y fallen varias veces

Usuarios que naveguen de manera extraña en urls erróneas

Usuarios que se detecten scrapeando en versión premium

Bloquear países determinados y más
 
davidrod dijo:
Lo comentan tan seguros, como si el principal ataque de WP no fuera obtener el usuario admin, mediante esas "pequenas" vulnerabilidades. 🤔
Hacer clic para expandir...
Con wordfence a mi sitio no entro ni yo 😳
La otra vez me bloqueo por entrar con un proxy barato 😂
 
Pues dependiendo de que otros plugins tenga el sitio hasta podrias hacer un reescalado de privilegios asi que mucho cuidado! xD
 
David Morales dijo:
Con wordfence a mi sitio no entro ni yo 😳
La otra vez me bloqueo por entrar con un proxy barato 😂
Hacer clic para expandir...
Lo poco que he notado de wordfence, es que revisa el directorio de WP y los archivos wp-, así que con una shell en el directorio raiz, y cargando incluso el wp-config, una vez dentro, jamás me podrás sacar, bueno, al hacker, eso me han contado... 🥸😎😜

Incluso, inyectar un minero en un archivo .js, tampoco lo detecta Wordfence, ¡me han contado! 😇
 
davidrod dijo:
Lo poco que he notado de wordfence, es que revisa el directorio de WP y los archivos wp-, así que con una shell en el directorio raiz, y cargando incluso el wp-config, una vez dentro, jamás me podrás sacar, bueno, al hacker, eso me han contado... 🥸😎😜

Incluso, inyectar un minero en un archivo .js, tampoco lo detecta Wordfence, ¡me han contado! 😇
Hacer clic para expandir...
Pues quien te contó no tenía instalado wordfence a la hora de ser infectado,

Y lo que mencionas del minero, necesitarías permisos para poder subir el archivo,

Los cuales volvemos al comienzo, no debes dar a desconocidos.
 
Hay que estar conectado o registrado para responder aquí.

Temas similares

Negociador
8 Razones para Elegir Gutenberg sobre Elementor en Wordpress
2
Respuestas
27
Visitas
1K
Negociador
Negociador
Sam40
¿Complemento Elementor con Estrellas de Valoración?
Respuestas
1
Visitas
120
BotBeta
BotBeta
Antoniio1
Colocar chat en página específica con Elementor en WordPress
Respuestas
4
Visitas
307
jcorteqa
jcorteqa
R
Plugin Interactivo Columnas Elementor para WordPress
Respuestas
1
Visitas
384
Carlos Arreola
C
Atrás
Arriba