Wie binnen Elementor zijn meest populaire plug-inpakket afneemt, loopt het risico om gehackt te worden. Nu patchen is de boodschap.
Heb je een WordPress-website met Elementor gebouwd? Dan loopt je website gevaar om gehackt te worden. Binnen de (optionele) Elementor plug-in ‘Essential Addons for Elementor’ zit een kwetsbaarheid die hackers administratorrechten kunnen geven. Omdat de add-on-bibliotheek populair is met meer dan 90 extensies, is de kans groot wanneer je met Elementor bouwt dat je website dat draait.
De kwetsbaarheid werd op 8 mei ontdekt en draagt code CVE-2023-32243. Door het lek te misbruiken, kunnen hackers het wachtwoord van elke gebruiker resetten zolang ze de gebruikersnaam kennen. Het lek zit hem in de resetfunctie die een wachtwoord resetsleutel niet valideert en direct een nieuw wachtwoord naar keuze aanbiedt.
Het spreekt voor zich dat de gevolgen vernietigend kunnen zijn. Eens een hacker als administrator is ingelogd, kan die alles doen: private informatie ontfutselen, je website misbruiken of verwijderen, malware verdelen aan je bezoekers en je merk krijgt een flinke klap wat betreft geloofwaardigheid.
lees ook
WordPress, SiteBuilder, of toch iets anders: hoe bouw je een website voor je bedrijf?
In het rapport van PatchStack kan je terugvinden hoe hackers websites via Elementor kunnen kraken wanneer de ‘Essential Addons for Elementor’ plug-in actief is. Gelukkig is er al een patch beschikbaar die administratoren direct kunnen installeren. Installeer als de bliksem ‘Essential Addons for Elementor’ versie 5.7.2 om het lek te dichten zodat hackers geen kans krijgen.