Elementor se toma en serio su responsabilidad de crear complementos seguros. Nuestros desarrolladores están altamente capacitados para escribir código seguro y protegido, y monitoreamos las vulnerabilidades. Sin embargo, al igual que con todo el software, incluso con el nivel de experiencia y escrutinio que empleamos, a veces pueden ocurrir vulnerabilidades. Como tal, hay cosas que todo creador web debe saber y hacer para mantener sus sitios web lo más seguros posible.
P: ¿Cómo evita Elementor que ocurran problemas de seguridad?
UNA: Contamos con profesionales especializados que monitorean continuamente posibles problemas. Además, es posible que seamos notificados por personas en nuestros canales comunitarios, hallazgos de los fabricantes de software de seguridad y, por supuesto, nuestros propios procedimientos de prueba.
P: ¿Los problemas de seguridad ocurren con frecuencia?
UNA: Fortalecer la seguridad es un proceso continuo, no un solo esfuerzo. Siempre que identificamos una amenaza, siempre permanecemos atentos y publicamos una solución lo antes posible.
Cuando descubrimos por primera vez una vulnerabilidad de seguridad, comenzamos por examinarla y comprenderla desde todos los ángulos. Para no poner en peligro a nuestros usuarios antes de emitir la solución, mantenemos discretamente el problema informado. Una vez que emitimos la solución, podemos continuar informando a los usuarios sobre la vulnerabilidad y su resolución.
P: ¿Qué puedo hacer, en general, por mi parte para evitar que sucedan problemas de seguridad?
UNA: Uno de los pasos más importantes que puede tomar es mantener WordPress y sus complementos actualizados, ya que esto ayudará a garantizar que se apliquen los parches de seguridad. Otros pasos incluyen cambiar su contraseña de vez en cuando, considerando el uso de complementos de seguridady tenga en cuenta que solo utiliza complementos y temas de fuentes conocidas, como el repositorio de WordPress.org y empresas establecidas que tienen un sólido historial de proporcionar productos de calidad. Evite instalar complementos y temas «anulados», ya que a menudo contienen código malicioso y solo conserve en su sitio los complementos y temas que esté utilizando activamente.
P: ¿Cómo puedo saber si el problema de seguridad se ha contenido o solucionado y cuándo? ¿Dónde puedo obtener las últimas actualizaciones sobre problemas de seguridad?
UNA: Siga nuestros canales de redes sociales y especialmente nuestras comunidades. Se mencionará allí, en nuestro registro de cambios, y cuando sea relevante, en un correo electrónico separado. Por favor asegúrese de crea una cuenta para recibir actualizaciones importantes como estas.
P: ¿Por qué Elementor no me envía un mensaje en el momento en que ocurre una vulnerabilidad?
UNA: No queremos alertar a los abusadores sobre un problema que podría hacer que se aprovechen del problema. Centramos nuestros esfuerzos en conseguir una solución lo antes posible. Cuando se soluciona el problema, informamos rápidamente a nuestros usuarios a través de varios canales, incluido el correo electrónico.
P: Tengo una versión antigua de Elementor Pro que no se renovó. ¿Estoy todavía a salvo?
UNA: Actualice siempre a la última versión de Elementor. Esto se puede aplicar a prácticamente todo el software. Las nuevas versiones contienen actualizaciones de seguridad, correcciones de errores y ofrecen nuevas funciones sorprendentes. Si desea probar una nueva versión antes de actualizar su (s) sitio (s) en vivo, le recomendamos que cree un área de preparación.
Para obtener información sobre correcciones de seguridad específicas, consulte a continuación.
Vulnerabilidad de seguridad resuelta en la versión 2.9.4
P: ¿Qué pasos debo tomar de inmediato?
R: Actualice su versión de Elementor Pro a la última, 2.9.4. Además, diríjase a Configuración »Página general en su área de administración de WordPress. Desplácese hacia abajo hasta la sección ‘Membresía’ y desmarque la casilla junto a la opción ‘Cualquiera puede registrarse’ a menos que la haya activado intencionalmente y la necesite para su sitio web.
La vulnerabilidad permite que se carguen archivos maliciosos en el sitio a través del sistema de carga de archivos Zip Icon Sets. Queremos enfatizar que esta laguna solo afecta a los sitios Elementor Pro con una opción específica de WordPress activa, es decir, la opción ‘Cualquiera puede registrarse’. Ya hemos lanzado una nueva versión de Elementor Pro que resuelve esta vulnerabilidad con dos correcciones principales:
- Solo los usuarios con función de administrador pueden cargar conjuntos de iconos.
- Solo los archivos autorizados se pueden procesar a través de un archivo ZIP.
P: ¿Quién está expuesto a esta vulnerabilidad y a qué versión de Elementor se aplica?
R: El exploit utiliza el mecanismo de carga de archivos zip de iconos personalizados para inyectar archivos maliciosos. La función de iconos personalizados se introdujo en Elementor Pro 2.6. Los usuarios con esta y versiones posteriores (excepto 2.9.4) pueden estar expuestos y deben tomar medidas para garantizar la seguridad de su sitio. Es poco probable que los usuarios que tienen su sitio alojado en un servidor que restringe la ejecución de archivos .php en la carpeta de cargas estén expuestos a esta vulnerabilidad.
P: ¿Cómo sé si mi sitio se vio afectado?
R: Consulte su lista de usuarios de WordPress para ver si se ha registrado algún nuevo usuario desconocido, especialmente si controla quién se registra en su sitio. Si es así, aún no significa que su sitio esté afectado: revise su carpeta de iconos personalizados en el directorio de cargas: / wp-content / uploads / elementor / custom-icons / y revise las carpetas internas de iconos personalizados para ver si hay algún .php desconocido archivos. “Index.php” es parte de los archivos originales. Si encuentra algún rastro de los elementos mencionados anteriormente, es probable que su sitio se haya visto comprometido.
P: ¿Qué debo hacer en caso de que mi sitio se vea afectado?
R: Si cree que su sitio se vio comprometido, elimine cualquier usuario desconocido, cambie las contraseñas de sus usuarios registrados y comuníquese con su proveedor de alojamiento para informarles sobre el problema y obtener más ayuda. Restaurar desde una copia de seguridad antes de la fecha de creación de la biblioteca de iconos personalizados infectados puede ser una solución viable para usted.
