Elementor se toma en serio su responsabilidad de crear complementos seguros. Nuestros desarrolladores están altamente capacitados para escribir código seguro y protegido, y monitoreamos las vulnerabilidades. Sin embargo, al igual que con todo el software, incluso con el nivel de experiencia y escrutinio que empleamos, a veces pueden ocurrir vulnerabilidades. Como tal, hay cosas que todo creador Web debe saber y hacer para mantener sus sitios web lo más seguros posible.
Q: How does Elementor prevent security issues from occurring?
A: Contamos con profesionales especializados que monitorean continuamente posibles problemas. Además, es posible que seamos notificados por persons en nuestros canales comunitarios, hallazgos de los fabricantes de software de seguridad y, por supuesto, nuestros propios procedimientos de prueba.
Q: Do security problems happen frequently?
A: Strengthening security is an ongoing process, not a single effort. Whenever we identify a threat, we always remain vigilant and publish a solution as soon as possible.
When we first discover a security vulnerability, we begin by examining it and understanding it from all angles. In order not to endanger our users before issuing the solution, we discreetly keep the issue reported. Once we issue the fix, we can continue to inform users about the vulnerability and its resolution.
Q: What can I do, in general, for myself to prevent security problems from occurring?
A: Uno de los pasos más importantes que puede tomar es mantener WordPress y sus complementos actualizados, ya que esto ayudará a garantizar que se apliquen los parches de seguridad. Otros pasos incluyen cambiar su contraseña de vez en cuando, considerando el uso de security add-onsAnd keep in mind that you only use plugins and themes from well-known sources such as the WordPress.org repository and established companies that have a strong track record of providing quality products. Avoid installing "bypassed" plugins and themes as they often contain malicious code and only keep plugins and themes that you are actively using on your site.
P: ¿Cómo puedo saber si el problema de seguridad se ha contents o solucionado y cuándo? ¿Dónde puedo obtener las últimas actualizaciones sobre problemas de seguridad?
A: Siga nuestros canales de redes sociales y especialmente nuestras comunidades. Se mencionará allí, en nuestro registro de cambios, y cuando be relevante, en un correo electrónico separado. Por favor asegúrese de Create an account to receive important updates like these.
Q: Why doesn't Elementor message me when a vulnerability occurs?
A: We do not want to alert abusers to a problem that could cause them to take advantage of the problem. We focus our efforts on finding a solution as soon as possible. When the problem is fixed, we quickly inform our users through various channels, including email.
Q: I have an old version of Elementor Pro that has not been renewed. Am I still safe?
A: Always update to the latest version of Elementor. This can be applied to practically all software. The new versions contain security updates, bug fixes, and offer amazing new features. If you want to try a new version before updating your live site (s), we recommend that you create a staging area.
For information on specific security fixes, see below.
Security vulnerability resolved in version 2.9.4
Q: What steps should I take immediately?
A: Please update your Elementor Pro version to the latest 2.9.4. Also, head over to Settings »General page in your WordPress admin area. Scroll down to the 'Membership' section and uncheck the box next to the 'Anyone can sign up' option unless you have intentionally activated it and need it for your website.
The vulnerability allows malicious files to be uploaded to the site through the Zip Icon Sets file upload system. We want to emphasize that this loophole only affects Elementor Pro sites with a specific WordPress option active, that is, the 'Anyone can sign up' option. We have already released a new version of Elementor Pro that resolves this vulnerability with two main fixes:
- Only users with an administrator role can upload icon sets.
- Only authorized files can be processed through a ZIP file.
Q: Who is exposed to this vulnerability and what version of Elementor does it apply to?
R: El exploit utiliza el mecanismo de carga de archivos zip de iconos personalizados para inyectar archivos maliciosos. La función de iconos personalizados se introdujo en Elementor Pro 2.6. Los usuarios con esta y versiones posteriores (excepto 2.9.4) pueden estar expuestos y deben tomar medidas para garantizar la seguridad de su sitio. Es poco probable que los usuarios que tienen su sitio alojado en un server que restringe la ejecución de archivos .php en la carpeta de cargas estén expuestos a esta vulnerabilidad.
Q: How do I know if my site was affected?
R: Consulte su lista de usuarios de WordPress para ver si se ha registrado algún nuevo Username desconocido, especialmente si controla quién se registra en su sitio. Si es así, aún no significa que su sitio esté afectado: revise su carpeta de iconos personalizados en el directorio de cargas: / wp-content / uploads / elementor / custom-icons / y revise las carpetas internas de iconos personalizados para ver si hay algún .php desconocido archivos. “Index.php” es parte de los archivos originales. Si encuentra algún rastro de los elementos mencionados anteriormente, es probable que su sitio se haya visto comprometido.
Q: What should I do if my site is affected?
A: If you think your site has been compromised, remove any unknown users, change the passwords of your registered users, and contact your hosting provider to inform them of the problem and for further assistance. Restoring from a backup before the infected custom icon library creation date may be a viable solution for you.
