WordFence rapporte qu’Elementor Pro a un exploit de vulnérabilité Critical Zero Day. Cette vulnérabilité n’a pas été corrigée et est activement exploitée.

Deux plugins Elementor sont vulnérables

Selon WordFence, il existe deux plugins impliqués qui ont chacun une vulnérabilité.

Elementor Pro est un plugin vulnérable

Elementor Pro est la version payante du plugin de création de page Elementor WordPress. Cette vulnérabilité n’affecte pas la version gratuite du plugin Elementor.

La vulnérabilité est classée «critique» selon WordFence.

Un pirate informatique devrait être enregistré sur le site Web afin de profiter de la vulnérabilité.

Si vous exécutez un site Web WordPress propulsé par Elementor Pro et que vous autorisez les visiteurs du site à s’inscrire afin de commenter ou de contribuer au site, vous pouvez être vulnérable.

Si toutefois votre site WordPress Elementor Pro n’a pas d’utilisateurs enregistrés, vous pouvez toujours être à risque.

La raison pour laquelle vous pouvez toujours être à risque est qu’un autre plugin Ultimate Addons pour Elementor, permet à un pirate de s’inscrire en tant qu’abonné même si l’enregistrement est interdit.

Cela signifie que le plugin Ultimate Addons pour Elementor permet à un pirate de pirater Elementor Pro.

Selon WordFence:

«En raison de la vulnérabilité non corrigée pour le moment, nous excluons toute autre information.

Nous avons des données via un autre fournisseur qui indiquent que l’équipe Elementor travaille sur un correctif. Nous avons contacté Elementor et n’avons pas reçu immédiatement de confirmation de cela avant la publication. »

Compléments ultimes pour la vulnérabilité Elementor

Le deuxième plugin qui est vulnérable est le plugin Ultimate Addons pour Elementor. La vulnérabilité permet à un pirate de tirer parti de la vulnérabilité Elementor Pro si l’enregistrement des utilisateurs est désactivé.

À l’heure actuelle, aucun correctif n’est disponible pour corriger la vulnérabilité d’Elementor Pro.

Mais il existe un patch pour corriger le plugin Ultimate Addons pour Elementor (instructions ici).

En mettant à jour le plugin Ultimate Addons (si vous l’avez installé), vous pouvez en théorie empêcher un pirate d’exploiter un site Elementor Pro, tant que les enregistrements d’utilisateurs sont interdits.

Comment protéger votre site Web Elementor Pro

WordFence recommande de rétrograder vers la version gratuite d’Elementor (disponible ici). Cette version d’Elementor Page Builder n’est pas vulnérable.

Une fois Elementor Pro corrigé, vous pouvez mettre à jour la version corrigée pro du plugin et être à l’abri du piratage.

Lisez l’annonce WordFence:

Une attaque combinée contre Elementor Pro et Ultimate Addons pour Elementor met en danger 1 million de sites