Faille de sécurité WordPress avec Elementor
Une faille dans le plugin "The Plus Addons for Elementor" a permis à des pirates de prendre le contrôle de plus de 30 000 sites WordPress.
La faille facilite la création de nouveaux comptes avec tous les privilèges (compte Administrateur). Il est ensuite possible de prendre le contrôle du serveur, de modifier des textes et d'insérer des scripts malicieux (virus, malware, adware).
Parmi les sites piratés identifiés, des malwares ont été installés et renvoient systématiquement vers les mêmes sites :
- snow.talkingaboutfirms.ga
- if355findenter.live
- palmerietours.com
- lovegreenpencils.ga
- transandfiestas.ga
- konza.it
- pipe.travelfornamewalking.ga
- bestoffer21.info
- post994writecell.live
- mobile-productplace.net
- poem302regionheat.live
- thanks-page.asres.me
Le plugin "The Plus Addons for Elementor" a été conçu pour ajouter plusieurs widgets supplémentaires à Elementor. L'un de ces widgets ajoutait la possibilité d'ajouter un formulaire de connexion et d'inscription de l'utilisateur à une page Elementor.
Malheureusement, cette fonctionnalité était mal configurée et permettait aux attaquants de s'inscrire en tant qu'utilisateur "Administrateur".
Cette vulnérabilité peut toujours être exploitée même si vous n'avez pas de page de connexion ou d'enregistrement active qui a été créée avec le plugin. Cela signifie que tout site utilisant ce plugin est vulnérable.
La faille a été corrigée le 9 mars 2021. Nous vous recommandons de mettre à jour le plugin immédiatement pour préserver la sécurité de votre site.