Portada Wordpress Plugin Elementor de WordPress – Peligro de Hack
Elementor Website Builder es uno de los plugins más reconocidos y usados en WordPress, el popular gestor de contenidos.
Entre las versión gratuita y la de pago, se estima que está instalado en más de 7 millones de WordPress, así que cualquier alerta de seguridad relacionada con este plugin, puede afectar a una cantidad importante de sitios web.
Recientemente se ha encontrado un problema de seguridad que puede aprovechar un atacante para insertar un JavaScript con código malicioso.
Este problema ya se ha solucionado en la última versión del plugin Elementor, la versión 3.1.4.
Aunque se necesitan ciertas condiciones para que el ataque pueda llevarse a cabo y cada instalación de WordPress puede ser muy distinta a las demás, vale la pena no arriesgarse y actualizar cuanto antes el plugin Elementor
Si tienes Elementor instalado en tu WordPress, es muy sencillo saber si está actualizado o cuál es la versión que estás utilizando, como en cualquier otro plugin de WordPress.
Sólo debes acceder a tu WordPress como administrador de la manera habitual, si no eres el administrador de WordPress, no podrás hacerlo e ir al paratado de Plugins > Plugins Instalados.
En el listado que verás, puedes buscar el plugin Elementor y verás la versión que está instalada y si hay alguna actualización pendiente, como puedes observar en la siguiente imagen:
La versión instalada es la 3.1.1 y te indica claramente que puedes actualizarla a la versión 3.1.4. Tan sólo debes pulsar el botón de Actualizar Ahora y WordPress se encargará del resto.
En principio no deberías tener problemas, pero como cada WordPress es un mundo, ten una copia de seguridad de tu WordPress a mano. Esto último es aplicable a cualquier actualización de cualquier sistema.
Después de pulsar en el enlace de actualizar, WordPress se encargará del resto y en unos segundo o minutos, depende de tu conexión, verás el mensaje que ya se ha actualizado y que la versión instalada es la 3.1.4:
Lo de la versión 3.1.4 puede cambiar en el futuro, conforme el desarrollador lance nuevas versiones, pero la que soluciona este problema de seguridad en el plugin Elementor es la versión 3.1.4 como mínimo.
Realizando esta simple acción tu WordPress estará a salvo, así que no vale la pena arriesgarse a que tu sitio acabe hackeado, ¡¡Actualiza!!.
WordPress puedes configurarlo para que colaboradores publiquen sus propias entradas en el sitio.
Es decir, el administrador le da acceso a los usuarios a parte del panel de administración para que puedan entrar y publica post, páginas o como esté configurado.
Esto es más habitual de lo que puedes pensar en un primer momento ya que WordPress es un CMS muy polivalente y el más usado en el mundo, así que tiene muchos usos distintos y para eso están los roles de usuario.
Hay administradores, editores, autores, colaboradores, suscriptores, etc… y puedes configurar tu WordPress para tengan acceso a distintas secciones del panel de administración.
Por lo general, cuando un colaborador o suscriptor tiene acceso a la publicación, esta debe ser moderada por un roll superior, como un editor o el administrador.
Estos son los que deciden si el artículo enviado es finalmente publicado, hace falta cambiar algo o sencillamente es rechazado.
El problema de seguridad en Elementor permite a un atacante colaborador, modificar las etiquetas HTML que el plugin permite utilizar, como H1, H2, etc… para agregar un JavaScript.
Como la publicación la revisa un editor o un administrador, logueado con sus credenciales de acceso; al acceder al post se cargaría el JavaScript con contenido malicioso en su navegador y empezando los problemas y dolores de cabeza.
Según el JavaScript inyectado, el atacante podría crear cuentas de administrador alternativas para acceder como tal y bueno, hacerse con el control del sitio, esto siempre y cuando fuera el administrador el que revisara la publicación.
Si lo revisara un editor, al no tener privilegios de admin, el problema sería menor, pero ya tendría juego para enviarle un mensaje al admin con el mismo código malicioso.
Como hemos dicho antes, tenían que darse ciertas circunstancias para que un atacante pudiera explotar la vulnerabilidad, pero siendo tan fácil ponerse a salvo, vale la pena actualizar y olvidarse de posibles problemas.
En Hostinet disponemos de varios planes de alojamiento web especialmente diseñados para WordPress.
Entre sus muchas características está la detección de malware, esto quiere decir que escaneamos los archivos de tu WordPress en busca de cualquier tipo de malware que un atacante haya podido inyectar en tu sitio.
Si se detecta algún problema, ponemos los archivos en cuarentena y te avisamos para que puedas tomar las medidas necesarias y poner tu sitio de nuevo en forma lo antes posible.
Esto está incluido en todos los planes de hosting WordPress que ofrecemos, incluidos los más baratos: