Mais uma semana na manutenção e gestão WordPress. Alerta para os utilizadores do Elementor e Elementor Pro. Devem verificar e atualizar as vossas instalações! Como sempre e nunca é demais sublinhar a importância do seguinte: Efetuar backup completa antes de atualizar qualquer instalação de WordPress. Tanto dos ficheiros, como também da base de dados. Guardar sempre o backup completo offsite, no vosso PC, por exemplo. Remover qualquer temas e / ou plugins que não usem.
ChopSlider3 WordPress Plugin Por idangero.us (Chopslider) – Permite injeção MySQL. Se usa este plugin remova-o! A equipa de desenvolvimento foi notificada do problema de segurança mas não respondeu à questão. Não use este plugin até ser resolvido o “sanitised” da entrada de dados na MySQL.
Elementor Pro Por Elementor.com (elementor-pro) – Um dos plugins mais populares na secção WebsiteBuilder, a versão grátis do Elementor tem mais de 54 Milhões de downloads! Esta vulnerabilidade descoberta pela NintechNet e confirmada pela Wordfence, permite que um utilizador autenticado via login, possa efetuar o upload de ficheiros e scripts php. Como deve calcular, é um perigoso expliot, prontamente resolvido. Se uma o Elementor Pro, verifique que está na última versão. À data deste artigo a versão que deve verificar na sua instalação é a versão: 2.9.4! Como sempre, antes de atualizar a sua instalação, efectue um backup completo, ficheiros e Base de dados.
Ultimate Addons for Elementor Por uaelementor.com (ultimate-elementor) – Esta vulnerabilidade está relacionada com a anterior. Uma vez que este plugin é um “addon” do Elementor Pro. Assim, deve atualizar para a versão: 1.24.2.
Elementor Page Builder Por Elementor.com (elementor) – Deve atualizar este plugin para a versão 2.9.8.
Advanced Order Export For WooCommerce Por AlgolPlus (woo-order-export-lite) – Uma vulnerabilidade Authenticated Cross-Site Scripting (XSS) e relacionado com o parâmetro “woe_post_type” e a falta de “sanitised” deste campo; permite a injeção de Javascript e HTML. Deve atualizar para a versão 3.1.4.
WTI Like Post Por webtechideas (wti-like-post) – Uma vulnerabilidade Authenticated Stored Cross-Site Scripting (XSS). Neste momento não existe atualização para resolver esta vulnerabilidade, é recomendado que desative o plugin e esperar por uma nova versão ou revisão que resolva este problema.