พบช่องโหว่ที่สำคัญในปลั๊กอิน 'Ultimate Addons for Elementor' &'Ultimate Addons for Beaver Builder'

ปลั๊กอินที่มีช่องโหว่:

• ส่วนเสริมขั้นสูงสำหรับ Elementor
• ส่วนเสริมขั้นสูงสำหรับตัวสร้างบีเวอร์

ระดับความรุนแรง: 10

ระดับการใช้ประโยชน์: ง่ายมาก

เปิดเผยช่องโหว่: 11-12-2019

วันที่ออกแพทช์: 11-12-2019

เวอร์ชันที่แก้ไข:

• ส่วนเสริมขั้นสูงสำหรับ Beaver Builder – 1.2.4.1
• ส่วนเสริมขั้นสูงสำหรับ Elementor – 1.20.1

Ultimate Addons เป็นปลั๊กอินพรีเมียมยอดนิยมที่ช่วยให้เว็บไซต์ WordPress สามารถเข้าถึงชุดเสริมได้ ทำให้การสร้างและออกแบบเว็บไซต์ง่ายขึ้นมากโดยเฉพาะสำหรับผู้ที่ไม่คุ้นเคยกับเทคโนโลยี

ปลั๊กอินนี้สร้างขึ้นโดย Brainstorm Force ซึ่งเป็นนักพัฒนาผู้เชี่ยวชาญ พวกเขามีปลั๊กอินหลายสิบตัวที่ถูกใช้โดยเว็บไซต์หลายพันแห่ง ปลั๊กอิน Ultimate Addons พร้อมใช้งานสำหรับ Elementor และ Beaver Builder และมีการติดตั้งที่ใช้งานอยู่หลายแสนรายการ

เมื่อวานนี้ ในระหว่างการตรวจสอบความปลอดภัยตามปกติ นักวิจัยด้านความปลอดภัยของเรารู้สึกประหลาดใจที่ค้นพบช่องโหว่ในปลั๊กอิน เป็นช่องโหว่ที่สำคัญ ที่อาจทำให้แฮ็กเกอร์สามารถเข้าถึงเว็บไซต์ WordPress ของผู้ดูแลระบบได้ ที่มีการติดตั้งปลั๊กอิน ซึ่งหมายความว่า แฮกเกอร์สามารถควบคุมเว็บไซต์ของคุณได้อย่างเต็มที่ หากคุณกำลังใช้ปลั๊กอินและสามารถสร้างไฟล์ที่เป็นอันตราย (เช่น มัลแวร์ favicon.ico) เพื่อสร้างความเสียหายให้กับเว็บไซต์ของคุณ

เป็นคนแรกที่ค้นพบช่องโหว่ เราได้ดำเนินการตรวจสอบสถานะของเราเองและติดต่อทีม Ultimate Addons เพื่อแจ้งพวกเขาเกี่ยวกับช่องโหว่ที่เราพบ

Team Brainstorm ได้รับแจ้งในการแก้ไขช่องโหว่ พวกเขาได้เปิดตัวแพตช์ภายใน 7 ชั่วโมงและแจ้งให้ลูกค้าทุกคนทราบ

คุณได้รับผลกระทบจากช่องโหว่นี้หรือไม่

หากคุณกำลังใช้ปลั๊กอิน Ultimate Addons เราขอแนะนำให้คุณอัปเดตเป็นเวอร์ชันล่าสุดทันที! เวอร์ชันที่มีช่องโหว่คือ 1.0 คุณต้องอัปเดตเป็นเวอร์ชันล่าสุดที่เผยแพร่ในวันที่ 11 ธันวาคม 2019

• สำหรับ Ultimate Addons สำหรับ Beaver Builder เวอร์ชันที่ปลอดภัยคือ 1.2.4.1
• สำหรับ Ultimate Addons สำหรับ Elementor เวอร์ชันที่ปลอดภัยคือ 1.20.1

หากเว็บไซต์ของคุณใช้เวอร์ชันเก่า จะทำให้ไซต์ของคุณเสี่ยงต่อแฮกเกอร์

เราตรวจพบช่องโหว่นี้แล้ว หากคุณต้องการตรวจสอบว่าเว็บไซต์ของคุณถูกโจมตีหรือไม่ ให้ใช้ MalCare Security Plugin ของเรา มันจะสแกนเว็บไซต์ของคุณและตรวจจับกิจกรรมที่น่าสงสัยหรือการแฮ็กบนเว็บไซต์ของคุณ

รายละเอียดช่องโหว่

เมื่อวานนี้ ทีมงานของเราเห็นกิจกรรมที่ผิดปกติระหว่างเว็บไซต์ ซึ่งทำให้ทีมของเราพบช่องโหว่ที่ถูกโจมตีในไซต์บางแห่ง

ช่องโหว่ที่เราพบเกิดขึ้นทันทีที่คุณติดตั้งปลั๊กอินบนเว็บไซต์ของคุณ หากแฮ็กเกอร์ทราบรหัสอีเมลของผู้ใช้เว็บไซต์ WordPress พวกเขาสามารถสร้างคำขอพิเศษและรับการควบคุมของผู้ดูแลระบบได้

เพื่อใช้ประโยชน์จากช่องโหว่ แฮ็กเกอร์ต้องใช้รหัสอีเมลของผู้ดูแลระบบของไซต์ ในกรณีส่วนใหญ่ ข้อมูลนี้สามารถเรียกค้นได้ง่ายพอสมควร ผู้ให้บริการโฮสติ้งบางรายยังช่วยให้ค้นหา ID อีเมลของผู้ดูแลระบบของเว็บไซต์ได้ง่ายอีกด้วย ดังนั้นเราจึงติดต่อผู้ให้บริการโฮสติ้งเพื่อแจ้งให้ทราบเกี่ยวกับการค้นพบของเราเพื่อลดความเสียหายที่อาจเกิดขึ้นให้เหลือน้อยที่สุด

ผลกระทบของช่องโหว่:ความเสี่ยงคืออะไร

หากแฮ็กเกอร์พบช่องโหว่นี้ อาจทำให้ไซต์ WordPress หลายแสนไซต์เสี่ยงต่อการถูกแฮ็ก!

หากแฮ็กเกอร์เข้าถึงผู้ดูแลระบบได้ ก็ไม่มีใครรู้ว่าพวกเขาจะใช้เว็บไซต์ของคุณเพื่อทำอะไร มีรายการแฮ็กไซต์ WordPress ทั่วไปจำนวนมากที่สามารถเรียกใช้ได้เช่น

• ขโมยข้อมูล
• เปลี่ยนเส้นทางผู้เยี่ยมชมไปยังไซต์สแปม
• จำหน่ายยาผิดกฎหมายและของปลอม
• ใช้ไซต์ของคุณเพื่อโจมตีไซต์ที่ใหญ่กว่า
• ใช้เทคนิค SEO หมวกดำเพื่อจัดอันดับผลิตภัณฑ์ของตนเอง (แนะนำให้อ่าน:แฮ็กคีย์เวิร์ดญี่ปุ่น) ฯลฯ
• การแทรกลิงก์สแปมจากหน้าเว็บของคุณไปยังเว็บไซต์ที่เป็นสแปม

การถูกแฮ็กเป็นอันตรายต่อไซต์และธุรกิจของคุณอย่างมาก นอกจากนี้ ค่าใช้จ่ายในการกู้คืนยังพุ่งสูงขึ้นอย่างรวดเร็ว!

สำคัญ:อัปเดตปลั๊กอินทันที!

หากคุณกำลังใช้ปลั๊กอิน Elementor Ultimate Addons หรือปลั๊กอิน Ultimate Beaver Builder บนเว็บไซต์ WordPress ของคุณ คุณต้องอัปเดตทันที คุณสามารถทำได้จากแดชบอร์ดผู้ดูแลระบบ wp ของคุณ

หากคุณไม่สามารถอัปเดตจากแดชบอร์ด wp-admin ได้ด้วยเหตุผลบางประการ เราขอแนะนำอย่างยิ่งให้ติดตั้ง MalCare Security Plugin จากแดชบอร์ด MalCare อิสระ คุณสามารถอัปเดตปลั๊กอินบนเว็บไซต์ของคุณหรือลบทิ้งได้เลย

หากคุณต้องการอัปเดตปลั๊กอินด้วยตนเอง ให้ทำดังนี้:

1. ดาวน์โหลด Ultimate Addons สำหรับ Beaver Builder เวอร์ชันล่าสุด หรือลงชื่อเข้าใช้ Ultimate Addons สำหรับ Elementor แล้วดาวน์โหลดเวอร์ชันล่าสุด
2. ถอนการติดตั้งเวอร์ชันก่อนหน้าจากเว็บไซต์ของคุณ ซึ่งหมายความว่าคุณต้องปิดใช้งานและลบปลั๊กอิน (คุณจะไม่สูญเสียข้อมูลใดๆ)
3. ถัดไป อัปโหลดและติดตั้ง Ultimate Addons เวอร์ชันล่าสุดที่คุณเพิ่งดาวน์โหลด

เว็บไซต์ WordPress ของคุณถูกแฮ็กแล้วหรือยัง

หากคุณถูกแฮ็กแล้วหรือสงสัยว่าคุณถูกแฮ็ก เราขอแนะนำให้ใช้บริการตรวจจับและกำจัดมัลแวร์ของ MalCare ทันที ติดตั้งปลั๊กอิน MalCare Security และจะทำการสแกนเว็บไซต์ของคุณอย่างละเอียด หากพบมัลแวร์ใด ๆ คุณจะได้รับการแจ้งเตือน คุณสามารถล้างข้อมูลการแฮ็กได้ทันทีด้วยคุณลักษณะการล้างข้อมูลอัตโนมัติของเรา

กระบวนการอัตโนมัติจะล้างไซต์ที่ถูกแฮ็กของคุณภายในไม่กี่นาที โพสต์ว่า MalCare จะยังคงให้การป้องกันการแฮ็กเช่นนี้แก่คุณต่อไปในอนาคต

แนะนำให้อ่าน:วิธีทำความสะอาดการแฮ็กธีม WordPress

มัลแวร์อีกตัวหนึ่งที่กวาดล้างข่าวนี้ก็คือมัลแวร์ WP-VCD นี่คือคำแนะนำเกี่ยวกับวิธีการลบมัลแวร์ WP-VCD

การรักษาความปลอดภัยเป็นความพยายามอย่างต่อเนื่องและจำเป็นต้องได้รับการตรวจสอบอย่างสม่ำเสมอ ติดตาม MalCare เพื่อดูข้อมูลอัปเดตเพิ่มเติมเกี่ยวกับความปลอดภัย