In den Versionen < 3.1.2 des beliebten PageBuilders Elementor gibt es eine kritische Sicherheitslücke.
Zum Zeitpunkt dieses Artikels ist Elementor Version 3.1.4 die aktuellste, welche die Sicherheitslücke schließt und ich empfehle dir dringend, auf sie zu aktualisieren.
Die Sicherheitslücke
Laut Wordfences Veröffentlichung der XSS-Sicherheitslücke ist es möglich, dass jeder WordPress-Nutzer mit Zugang zum Elementor Editor JavaScript in die Post einbaut. Dieses JavaScript würde ausgeführt werden, wenn der Post aufgerufen, bearbeitet oder in der Vorschau geöffnet wäre und könnte beim Aufruf dieser Seite durch einen Administrator dazu führen, dass die Seite übernommen wird.
Zwar können also nur Nutzer mit Zugang zu deinem WordPress Backend und Zugriff auf mit dem Elementor erstellten Posts deiner Website gefährlich werden, nichtsdestotrotz solltest du bei einer solchen Sicherheitslücke schnellstmöglich aktualisieren.
Sie wurde am 17. März 2021 vom Wordfence Team veröffentlicht, nachdem es sich mit der Entdeckung der Sicherheitslücke am 23. Februar 2021 an Elementor gewandt hat.
Millionen Seiten sind betroffen
Bevor Elementor mit einem ersten Update (3.1.2) die Sicherheitslücke provisorisch gestopft hat, waren über 7 Millionen Websites betroffen.
Zum Zeitpunkt der Veröffentlichung dieses Artikels laufen weniger als 50% aller Elementor Versionen auf einer Version unter 3.1.X und sind somit aufgrund dieser Sicherheitslücke Angriffen ausgeliefert.
Gehört der Elementor auf deiner Website zu den über 50%, welche auf einer älteren Version als 3.1.4 laufen, dann lasse jetzt alles stehen und liegen und aktualisiere ihn!
Diese Sicherheitslücke ist mal wieder eine Erinnerung daran, falls du überhaupt noch eine brauchst, wie wichtig das regelmäßige Aktualisieren der Plugins und Themes ist und dass du jederzeit ein Backup deiner Website zur Hand haben solltest.