Pro nejrozšířenější redakční systém WordPress byl opět dostupný plugin s velmi závažnou zranitelností RCE (remote code execution). Tento plugin používá přes jeden milion uživatelů, přibližně 600.000 z nich ještě neprovedlo aktualizaci na poslední bezpečnou verzi.
Závažná bezpečnostní chyba se týká pluginu Essentials Addons for Elementor, který je rozšířením pro nejpoužívanější pagebuilder Elementor. Postižené jsou všechny verze starší než 5.0.5. Pokud jste tak ještě neudělali, aktualizujte tento plugin ihned.
Technický popis chyby
Na chybu přišla technologická společnost Patchstack. Predispozicí pro tento útok jsou povolené widgety „dynamická galerie“ a „galerie produktů“.
Následně je útočník schopen jednoduchým zavoláním GET nebo POST požadavku na server načíst lokálně uložený soubor (i PHP) na serveru.

Dvě neúspěšné opravy chyby
Zajímavostí na této objevené zranitelnosti je to, že autoři pluginu vydali dvě opravné verze, které přesto stejnou chybu nadále obsahovaly. Finální oprava se povedla až 28. ledna ve verzi 5.0.5.
Doporučení
Běžné doporučení o neinstalování neznámých pluginů by vám tentokrát nepomohlo, neboť tento plugin měl přes milion instalací. To by člověk očekával, že takovou kritickou chybu obsahovat nebude.
Přesto vám doporučuji k přečtení můj článek o základních tipech pro zabezpečení WordPressu, které většinu běžných útoků minimálně znatelně ztíží.
https://www.interval.cz/clanky/zakladni-tipy-pro-zabezpeceni-wordpressu/
Mějte WordPress v bezpečí u CZECHIA.com
Profesionální poskytovatel webhostingových služeb CZECHIA.com vám zřídí webhosting WordPressu na serveru s operačním systémem Linux, podporou nejnovější verze PHP a automaticky předinstalovaným redakčním systémem WordPress.
Navíc získáte předinstalovaný SSL certifikát od SSLmarket.cz, pravidelné zálohy webhostingu a možnost návratu k předchozí verzi a automatickou aktualizaci jádra WordPress. Samozřejmostí je nápomoc při nastavení přesměrování požadavků na https a také základní zabezpečení administrace – GeoIP modul.
Mohlo by vás také zajímat
-
Zoner Photo Studio X se mění na Zoner Studio
13. června 2025 -
Aukce CZ domén: Jak vydražit expirovanou CZ doménu?
12. června 2024 -
Optimalizace a zlepšení výkonu kódu: tipy a triky
14. srpna 2023 -
Regulace digitálních služeb: Co přináší nové nařízení DSA?
20. února 2024
Nejnovější
-
Co je to jazykový model
17. června 2025 -
Zoner Photo Studio X se mění na Zoner Studio
13. června 2025 -
Co je to transformer v umělé inteligenci (AI)
10. června 2025 -
INNOCN monitory: špičková kvalita za zlomek ceny
5. června 2025
Luboš Klindera
Bře 13, 2023 v 20:19Jen bych chtěl autora upozornit, že se nejedná o „Elementator“ ale o „Elementor“…
Daniel Šenkyřík
Bře 13, 2023 v 20:38Moc děkuji za upozornění, to jsem si nějak přejmenoval v hlavě :). Díky.