Не так давно прокатилась весть о том, что владельцам сайтов WordPress, а именно на конструкторе Elementor, пришел повод задуматься! Прямо так и говорится: есть способ получить доступ к миллионам сайтов – и не только хакерам – через Elementor Pro.
На данный момент плагин Elementor установлен более чем на 5-7 миллионах сайтов (подтверждение ниже по тексту). И это не считая всяких там аддонов (плюшек) и прочей простейшей фигни, которая реализуется на сайте запросто строкой кода, вместо того, чтобы использовать ненужные плагины!..
Весть о критической уязвимости плагина Elementor Pro, о которой было заявлено на страницах компании NinTechNet, быстро разлетелась по миру веб-разработчиков и владельцев сайтов…
Давайте попробуем разобраться, так ли это на самом деле!
плагины конструкторы Elementor и прочие Builder
Помимо прочего авторами открытия говорится, что, мол, злоумышленники активно используют найденную уязвимость плагина Elementor Pro для взлома сайтов. Таким образом, имеется доступная возможно взять под контроль сайты, которые вовсю прыть используют данный конструктор и его дополнения! К слову, и tagDiv Composer плагине есть некоторые замечания специалистов по кибербезопасности! как правильно догадались – это тоже конструктор.
В основном всякие попытки взлома реализуются путем внедрения вредоносного кода или же посредством учётных записей пользователей с административными правами!
уязвимость для взлома Elementor что это
Предположим, у вас есть сайт, и не просто сайт, а веб-магазин… создали вы его на базе плагина для электронной коммерции WooCommerce (к слову, с открытым исходным кодом). Затем, для более упрощенной организации сайта, в том смысле, что на конструкторе создать и запустить в сеть сайт, к примеру, магазин – проще и значительно быстрее… а потому добавили плагин-конструктор Elementor и затем Elementor Pro (заметьте, Pro – платный вариант!). Казалось бы замечательно!..
…люди регистрируются в магазине и, возможно, начали активно совершать покупки… и тут-то вы узнаете о так называемой уязвимости своего сайта – лакомом кусочке хакерам – и виновник данному обстоятельству конструктор…
…любой человек, зарегистрированный на сайте в ролях “подписчик или клиент”, имеет возможность создавать абсолютно новые учётные записи с правами администратора! А что это такое, думаю пояснять не нужно!..
Говорят, будто б уязвимость имеется именно в платных версиях Elementor Pro, хотя на данный момент разработчики плагина уже выпустили патч по устранению уязвимости.
Насколько все это соответствует действительности, трудно сказать… Лично я не сталкивалась с данной проблемой плотно… по причине того, что стараюсь меньше работать с сайтами, построенными на каких бы то ни было конструкторах.
Сайты на конструкторах как правило очень тяжелы!
и по мере развития, скажем, магазина владелец сталкивается с проблемой скорости загрузки страниц. А приличное решение проблемы, стоит сказать, значительно ударит по бюджету владельца и нервам веб-разработчика… разумеется, если серьезно подходить к решениям!..
Защита сайта WordPress – обезопасим административную панель
Плагин iThemes Security (Better WP Security) как дворняга, заслуженно кушает хлебушек – защита сайта!
iThemes Security безопасность для сайта – как спрятать страницу входа на сайт WordPress
WordPress — Elementor Pro стоит ли использовать?
Я решила попытать нашего студийного ведущего веб-разработчика и владельца блога запросто с WordPress Михаила:
По скрину ниже видно, что сайтов на элементор примерно 7 миллионов… Довольно таки впечатляюще… однако, перед тем как удивиться, следует разузнать сколько вообще в мире-web сайтов. И тогда станет ясно, что, скажем, магазинов по примеру Александры, с плагином Elementor и Elementor Pro, в общем-то небольшой процент.
Во-первых, те сайты, как совершенно справедливо заметила Саша, – очень тяжелы – очень много лишнего (неиспользуемого) кода (!) и, как следствие, упорно сопротивляются развитию: продвижению и раскрутке… Успеху!..
В общем, скажу так: я лично за всю свою многогодовую практику не видел ни одного мало-мальски приличного сайта (приличный, в данном контексте имеется “дающий прибыль”).
На конструкторе – какой бы тот ни был – невозможно построить нормальный динамично развивающийся и дающий прибыль сайт! Это мое убеждение!..
Естественно, если правильно использовать средство Elementor, то в итоге можно добиться требуемых результатов. Я к чему это!? владельцы, которые хотят решить вопрос что называется “малыми средствами”, воспользовавшись доступным и простым решением, неизбежно через какое-то время получат головную боль…
Результат, и приличный результат – всегда требует вложений!
Я на данный момент очень стараюсь не брать в разработку сайты на конструкторах, не исключение и площадки построенные на Elementor … Ну, только если старые-старые клиенты… да и те по мере возможностей стараются съезжать с тропы конструкторов. В чем им по мере моих сил и помогаю…
Относительно затрагиваемой в посте уязвимости ничего конкретного сказать не могу, ибо не хочу делать ни рекламу, ни антирекламу конструктору!.. и, более того, не вижу нимало смысла для себя.
Однако, моим потенциальным и настоящим клиентам всегда напоминаю: уделяйте время своему сайту на предмет технической составляющей, а в частности следите и отстраивайте, как говорят в прокуратурах, линию защиты своего сайта. Безопасность, это едва ли не самое главное!..
…а насчет уязвимостей скажу так: их до черта! и при желании возможно взломать практически любой проект – будь-то фронтенд или бэкенд пути… Так что избавляйтесь по возможности от банальных ошибок в защите вашего проекта!
желаю удачного бизнеса Михаил ATs
Право резюмировать высказывания и обстоятельства по теме уязвимости Elementor оставляю за читателями… Разумному, как говорится, достаточно…
Однако, если у вас появились какие-то вопросы, задавайте их в комментариях, или в нашем
обсуждаем, общаемся, вопросы в чате Телеграм запросто с WordPress ATs media squad
Создание… продвижение сайтов; помощь по сайту, настройки, сопровождение и пр. – студия ATs media запросто с WordPress
mihalica.ru !
Александра Брик -