Vulnerabilidades en Elementor y picos de ataques en Navidad

Comenzamos el año 2023 con hasta 11 vulnerabilidades que han sido parcheadas en los conocidos addons del Royal Elementor. Por cierto sobre Elementor, como constructor (builder) para wordpress nunca ha sido de mi agrado, aunque lo veo peores (DIVI o WPBakery). Por suerte en BLINDAJEWEB solo tenemos un site construido y dependiente de Elementor, que próximamente se va a rediseñar.

Nuestra recomendación es usar Gutenberg (nativo de WordPress) y en donde no llegue hacer desarrollo especifico. Cuantos menos constructores generalistas se usen mejor.

Por otro lado en navidad hubo un pico muy grande de ataques. Se intentaron explotar las vulnerabilidades en 2.663.905 sitios web protegidos con el firewall de Wordfence que también estamos usando en BLINDAJEWEB junto con otras soluciones.

La vulnerabilidad que los posibles atacantes están tratando de explotar es una vulnerabilidad arbitraria de carga de archivos que se encuentra en Downloads Manager <= 0.2. La falta de una validación adecuada hizo posible que los archivos se cargaran y se ejecutaran en un sitio web vulnerable. Esto podría llevar a la ejecución remota de código en algunos sitios.

Una vez más se pone de manifiesto lo importante que es el mantenimiento activo de los sitios web en WordPress, actualizaciones recurrentes tanto del core de WordPress como de cada uno de sus plugins y themes.