Der Hersteller eines der besten Security-Plugins Wordfence, hat vor Kurzem einen Security-Leak bei Elementor veröffentlicht. Die Versionen 3.6.0 bis 3.6.3 der Free-Version von Elementor haben eine große Sicherheitslücke.

Diese Sicherheitslücke ermöglicht es, jedem authentifizierten Benutzer, Dateien auf deinen Server hochzuladen. Die Gefahr besteht darin, dass diese Dateien Schadcode enthalten können bzw. auch einfach nur ein kleines Script, welches den Vollzugriff auf deine Seite öffnet.

Solltest du die Pro Version* von Elementor verwenden, dann geh nicht gleich davon aus, dass dich diese Sicherheitslücke nicht betrifft, denn zur Verwendung von Elementor Pro, brauchst du auch die Free Version installiert.

Wo genau liegt die Sicherheitslücke?

Mit Elementor Version 3.6.0 wurde eine Onboarding-Seite eingeführt, welche dich bei der Einrichtung von Elementor unterstützt. In diesem Feature wird leider nicht die Berechtigung des Benutzers abgefragt und somit könnte jeder registrierte Benutzer – zB. auch mit der Rolle „Abonnent“ – Zugriff auf deine Webseite erhalten.

Was du nun tun solltest

Ich rate dir dringend, deine Elementor Version zu überprüfen und falls ein Update verfügbar ist, dies unbedingt zu machen.

Bildschirmfoto 2022 04 15 um 13.58.18

Mit der Version 3.6.4 wurde ein Path ausgeliefert, mit dem diese Sicherheitslücke geschlossen wurde.

Vor dem Update solltest du ein Backup machen. Das kannst du zB. mit dem kostenlosen Plugin UpdraftPlus* machen.

Bildschirmfoto 2022 04 15 um 13.59.41

Nachdem du die Updates für Elementor gemacht hast, kann es sein, dass ein kleiner Hinweis erscheint, dass auch die Datenbank für die neuste Elementor Version aktualisiert werden muss. Das kannst du ganz einfach mit einem Klick auf den Button in dem Hinweis machen.

Damit sollte deine Webseite nun diese Sicherheitslücke geschlossen haben.

Kommentar schreiben