Op 8 maart werd er een kritische zero-day kwetsbaarheid gerapporteerd in de Plus Addons for Elementor plugin. De plugin ontwikkelaars rolden op 9 maart een gedeeltelijk gepatchete versie uit (versie 4.1.6). Dezelfde dag nog verscheen er een tweede update (versie 4.1.7) om de overige problemen op te lossen. Wordfence meldt echter dat ze nog steeds pogingen van misbruik aan het blokkeren zijn bij websites die nog niet naar de meest recente versie van de plugin geüpdatet hebben. Alleen al in de afgelopen week hebben ze zo’n 4.000 pogingen tot site overname geblokkeerd.
Alleen gebruikers commerciële versie Plus Addons for Elementor lopen gevaar
Belangrijk om te weten is dat deze specifieke kwetsbaarheid alleen gebruikers van de commerciële (betaalde) versie van de Plus Addons for Elementor plugin treft. Gebruikers van de gratis versie en core Elementor lopen geen gevaar.
Signalen van site overname
Degenen die het slachtoffer zijn geworden van misbruik wegens de zero-day kwetsbaarheid, zagen dat er malafide admin accounts waren aangemaakt op hun website. Anderen merkten dat alle URL’s op hun sites ineens doorverwezen naar andere websites. Ook zijn er op de getroffen WordPress websites malafide plugins geïnstalleerd genaamd ‘WP Strongs’ en ‘WP Staff’.
Direct updaten en checken
Elementor gebruikers die de Plus Addons plugin geïnstalleerd hebben, krijgen het advies om onmiddellijk naar de meest recente versie te updaten en te controleren of er misschien malafide plugins zijn geïnstalleerd of nieuwe admin accounts zijn aangemaakt. Voor meer informatie met betrekking tot de zero-day kwetsbaarheid kun je deze Wordfence blogpost raadplegen. Als je het vermoeden hebt dat je website misbruikt is vanwege de kwetsbaarheden in deze plugin, dan raden we je aan om de onderstaande YouTube video te bekijken. Hierin wordt uitgelegd hoe je je site weer kunt opschonen.