O Ultimate Addons é um popular plugin premium que dá aos sites WordPress acesso a um pacote de complementos. Isso facilita muito a criação e o design de sites, especialmente para aqueles que não têm conhecimento de tecnologia.
O plug-in foi desenvolvido pela Brainstorm Force, que é desenvolvedora especializada. Eles têm dezenas de plugins que estão sendo usados por milhares de sites. O plugin Ultimate Addons está disponível para Elementor e Beaver Builder e possui centenas de milhares de instalações ativas.
No dia 06 de janeiro de 2020, durante nossas auditorias regulares de segurança, nossos pesquisadores de segurança ficaram surpresos ao descobrir uma vulnerabilidade nos plugins. É uma grande vulnerabilidade que pode permitir que hackers tenham acesso de administrador a qualquer site WordPress que tenha o plug-in instalado.
Isso significa que os hackers podem obter controle total do seu site se você estiver usando o plugin.
Sendo o primeiro a descobrir a vulnerabilidade, realizamos nossa própria diligência e contatamos a equipe Ultimate Addons para informá-los sobre a vulnerabilidade que encontramos.
O Team Brainstorm foi rápido ao corrigir a vulnerabilidade. Eles lançaram um patch em 7 horas e informaram todos os seus clientes.
Você foi afetado por esta vulnerabilidade?
Se você estiver usando o plug-in Ultimate Addons, recomendamos que você atualize para a versão mais recente imediatamente! A versão vulnerável é 1.0. Você precisa atualizar para a versão mais recente lançada em 11 de dezembro de 2019.
- Para os Ultimate Addons do Beaver Builder, a versão segura é 1.2.4.1.
- Para os complementos finais para Elementor, a versão segura é 1.20.1.
Se o seu site estiver usando uma versão mais antiga, ele ficará vulnerável a hackers.
Já detectamos essa vulnerabilidade sendo explorada. Se você deseja verificar se o seu site foi explorado, use nosso MalCare Security Plugin. Ele analisará seu site e detectará atividades suspeitas ou de hackers.
Detalhes da vulnerabilidade
Nossa equipe viu atividades incomuns entre sites. Isso levou nossa equipe a encontrar a vulnerabilidade que estava sendo explorada em alguns sites.
A vulnerabilidade que encontramos ocorre assim que você instala o plug-in no seu site. Se um hacker souber o ID de e-mail de qualquer usuário de um site WordPress, ele poderá criar uma solicitação especial e obter controle de administrador.
Para explorar a vulnerabilidade, o hacker precisa usar o ID de email de um usuário administrador do site. Na maioria dos casos, essas informações podem ser recuperadas facilmente.
Alguns provedores de hospedagem também facilitam a localização do ID de email do administrador de um site.
Impacto da vulnerabilidade: quais são os riscos?
Se essa vulnerabilidade fosse encontrada por hackers, ela poderia colocar centenas de milhares de sites WordPress em risco de serem invadidos!
Se um hacker obtém acesso de administrador, não há como saber para que eles usariam seu site. Há uma longa lista de hacks comuns de sites WordPress que eles poderiam executar, como roubar dados, redirecionar visitantes a sites de spam, vender produtos ilegais e falsificados, usar seu site para lançar ataques maiores em sites maiores, entre outros.
Ser hackeado é extremamente prejudicial para o seu site e seus negócios. Além disso, os custos de recuperação podem disparar muito rapidamente!
IMPORTANTE: Atualize o plug-in imediatamente!
Se você estiver usando o plug-in Elementor Ultimate Addons ou Ultimate Beaver Builder em seu site WordPress, precisará atualizá-los agora. Você pode fazer isso no painel wp-admin.
Se, por algum motivo, você não conseguir atualizá-los no painel wp-admin, é altamente recomendável instalar o MalCare Security Plugin.
No painel independente do MalCare, você pode atualizar os plug-ins no seu site ou excluí-los completamente.
Se você deseja atualizar o plug-in manualmente, veja como fazê-lo:
Faça o download da versão mais recente do Ultimate Addons for Beaver Builder ou faça login no Ultimate Addons for Elementor e faça o download da versão mais recente.
Desinstale a versão anterior do seu site. Isso significa que você precisa desativar e excluir o plug-in. (Você não perderá nenhum dado.)
Em seguida, faça o upload e instale a versão mais recente dos Ultimate Addons que você acabou de baixar.
Seu site WordPress já foi hackeado?
Se você já foi hackeado ou suspeita que foi hackeado, recomendamos que você aproveite imediatamente os serviços de detecção e remoção de malware do MalCare. Instale o plug-in MalCare Security e ele executará uma verificação completa do seu site. Se encontrar algum malware, você será alertado. Você pode limpar o hack instantaneamente com nosso recurso de limpeza automática.
O processo automatizado limpará seu site invadido em alguns minutos. Poste isso, o MalCare continuará a fornecer proteção contra hacks como esses no futuro.
A segurança é um esforço contínuo e precisa ser monitorado regularmente. Siga o MalCare para obter mais atualizações sobre segurança.
Caso você tenha alguma dúvida em relação a este artigo, deixe um comentário abaixo. Também visite-nos em: www.deltaservers.com.br/ para acompanhar todas as novidades que preparamos para você neste ano de 2020