WordFence rapporte qu’Elementor Pro a un exploit de vulnérabilité Critical Zero Day. Cette vulnérabilité n’a pas été corrigée et elle est activement exploitée.
Deux plugins Elementor sont vulnérables
Selon WordFence, il y a deux plugins impliqués qui ont chacun une vulnérabilité.
Elementor Pro est un plugin vulnérable
Elementor Pro est la version payante du plugin de création de pages Elementor WordPress. Cette vulnérabilité n’affecte pas la version gratuite du plugin Elementor.
La vulnérabilité est considérée comme « critique » selon WordFence.
Un hacker devrait être enregistré sur le site web afin de pouvoir profiter de cette vulnérabilité.
Si vous gérez un site web WordPress alimenté par Elementor Pro et que vous permettez aux visiteurs de s’inscrire afin de commenter ou de contribuer au site, alors vous pouvez être vulnérable.
Toutefois, si votre site WordPress Elementor Pro n’a pas d’utilisateurs enregistrés, vous pouvez toujours courir un risque.
La raison pour laquelle vous pourriez encore être en danger est qu’un autre plugin, Ultimate Addons for Elementor, permet à un pirate informatique de s’inscrire en tant qu’abonné même si l’inscription est interdite.
Cela signifie que le plugin Ultimate Addons for Elementor permet à un hacker de pirater Elementor Pro.
Selon WordFence :
« En raison de la vulnérabilité qui n’est pas encore prise en compte, nous excluons toute information supplémentaire.
Nous avons des données via un autre fournisseur qui indiquent que l’équipe Elementor travaille sur un patch. Nous avons contacté Elementor et n’avons pas reçu immédiatement de confirmation avant la publication ».
Les derniers ajouts pour la vulnérabilité des éléments
Le deuxième plugin qui est vulnérable est le plugin Ultimate Addons for Elementor. Cette vulnérabilité permet à un pirate de tirer parti de la vulnérabilité d’Elementor Pro si l’enregistrement de l’utilisateur est désactivé.
Pour l’instant, il n’y a pas de patch disponible pour corriger la vulnérabilité d’Elementor Pro.
Mais il existe un patch pour corriger le plugin Ultimate Addons for Elementor (instructions ici).
En mettant à jour le plugin Ultimate Addons (si vous l’avez installé), vous pouvez en théorie empêcher un pirate d’exploiter un site Elementor Pro, tant que l’enregistrement des utilisateurs est interdit.
Comment protéger votre site Elementor Pro
WordFence recommande de passer à la version Elementor Free (disponible ici). Cette version d’Elementor Page Builder n’est pas vulnérable.
Une fois qu’Elementor Pro est patché, vous pouvez passer à la version pro patchée du plugin et être protégé contre le piratage.
Lire l’annonce de WordFence :
L’attaque combinée d’Elementor Pro et de Ultimate Addons pour Elementor met en danger un million de sites
Comment savoir si vous utilisez bien le plugin Elementor ?
Il se trouve que le plugin Elementor sur WordPress fait de plus en plus de bruit sur le web, et heureusement pas seulement à cause de ses failles de sécurité ! Il faut en effet rappeler qu’Elementor est un plugin qui est très pratique et qui va pouvoir vous permettre très facilement de passer à la vitesse supérieure avec votre site WordPress !
Mais pour pouvoir bien l’utiliser, nous ne pourrions que vous recommander de vous rendre sur un site web qui pourra vous proposer un tutoriel complet sur le sujet. Vous allez en effet pouvoir découvrir dans le détail tout ce dont vous avez besoin de savoir sur le plugin Elementor de WordPress, qu’il s’agisse du paramétrage de différentes fenêtres, ou encore du fonctionnement général de l’outil et en passant par les avantages et les inconvénients de la version payante de ce module. Avec de plus des captures d’écran qui pourront vous donner toutes les indications nécessaires pour le bon fonctionnement du plugin WordPress, vous ne serez pas déçu d’avoir pu passer un peu de temps à vous informer sur le sujet et ainsi booster toutes les performances de votre site web sous WordPress.
Auteur/autrice
