Не играйтесь с огнем и WordPress-плагинами под Elementor

Если ты публичная личность, то приготовься не только к обожанию, но и к поглощению более горьких пилюль. Ведь чем персона известнее, тем чаще окружающие пытаются влезть в ее личное пространство, насолить… Примерно такие же явления происходят с WordPress и популярными плагинами.

Когда все элементарно

По сравнению с остальными движками WordPress – уже старичок. Ведь первая версия CMS вышла еще в 2003 г. Со временем движок оброс большим набором нативного функционала. Хотя поначалу он был не так удобен. Но это нестрашно. Ведь под WordPress всегда найдется подходящий плагин, реализующий недостающие возможности. А еще в нашем любимом движке долгое время отсутствовал удобный конструктор страниц. Это сейчас WordPress обзавелся блочным редактором Gutenberg. А еще пяток лет назад в админке CMS не было и намека на скорое появление интерфейса с поддержкой drag-and-drop. Но в репозитарии движка найдется расширение под любой цвет и вкус. Даже тот, что реализует более комфортный способ сборки веб-страниц сайта. И самый популярный среди них – плагин Elementor. Или все на так просто?

Большой спрос рождает огромный вопрос

Безопасности расширения. Первая версия конструктора веб-страниц Elementor появилась в 2016 г. С того времени плагин много раз обновлялся, а количество его пользователей перевалила за 5 млн. Но у такой бешеной популярности есть один большой косяк: слабины востребованного расширения становятся интересны хакерам. Поэтому эти дыры нужно срочно латать. Тем более что у Elementor они есть. В марте текущего года команда Wordfence Threat Intelligence обнаружила в плагине уязвимость, которая позволяла всем пользователям, имеющим доступ к реализуемому им функционалу, добавлять и выполнять JavaScript-код. Тогда под угрозой оказалось около 7 млн. сайтов, использующих Elementor. Прореху вовремя залатали. Но обнаруженная в этот раз оказалась обширнее и опаснее. Elementor уже давно стал родительским плагином, под который разработано огромное количество расширений. И это тоже не всегда хорошо! За несколько недель специалистам Wordfence удалось нащупать слабины более чем в пятнадцати надстройках для Elementor, которые установлены на 3,5 млн. сайтов. Речь идет об опасности межсайтового скриптинга. Обнаруженные прорехи имеют ту же природу, что и найденные ранее в основном плагине. Всего таких болевых точек было нащупано более сотни. В материале, опубликованном на сайте Wordfence, приводится перечень надстроек, которые получили патчи. Обязательно ознакомьтесь с данным списком и обновите перечисленные плагины до актуальной версии. А остальные расширения под Elementor от греха подальше лучше пока вырубить!