Ta kontakt med oss

NYHETER

WordPress Elementor Vulnerability Affects +7 Million

Publicerad

WordPress Elementor Vulnerability Affects +7 Million

Security researchers at Wordfence discovered a vulnerability on sites built with Elementor. The exploit is a type designated as a Stored Cross-site Scripting (XSS) vulnerability.  It has the potential to enable attackers to seize control of a website.

Stored Cross Site Vulnerability

Cross Site Scripting (XSS) is a type of vulnerability where an attacker uploads a malicious script that will then be executed by anyone who visits the web page where the script is displayed to the browser.

The script can do any number of things like steal cookies, password credentials and so on.

This particular version of XSS exploit is called a Stored Cross Site Scripting vulnerability because it is stored on the website itself.

The other kind of XSS is called a Reflected Cross Site Scripting, which depends on a link being clicked (like through an email).

Stored Cross Site Scripting is has the greater potential to do harm because it can attack any visitor to a web page.

Stored XSS Elementor Exploit

The stored XSS vulnerability affecting Elementor can be used to steal administrator credentials. The attacker must however first obtain a publishing level WordPress user role, even the lowest Contributor level can initiate the attack.

Contributor level WordPress role is a low level of registered user that can read, publish, edit and delete their own articles on a website. They cannot however upload media files like images.

How the Elementor Vulnerability Attack Works

The vulnerability exploits a loophole that allows an attacker the ability to upload a malicious script within the editing screen.

The loophole existed in six Elementor components:

  1. Accordion
  2. Icon Box
  3. Image Box
  4. Heading
  5. Divider
  6. Kolumn

Wordfence explained how attackers exploit these components:

“Many of these elements offer the option to set an HTML tag for the content within. For example, the “Heading” element can be set to use H1, H2, H3, etc. tags in order to apply different heading sizes via the header_size parameter.

Unfortunately, for six of these elements, the HTML tags were not validated on the server side, so it was possible for any user able to access the Elementor editor, including contributors, to use this option to add executable JavaScript to a post or page via a crafted request.”

Once the script was uploaded any visitor to the web page, even if it’s the editor previewing the page before publishing, could execute the code in the browser and have their authenticated session made available to the attacker.

Update Elementor Now

It is recommended by Wordfence that all users of Elementor update their version to at least 3.1.4 (per Wordfence) although the official Elementor Pro changeglog states that there’s a security fix.

A changelog is a software developer’s official record of changes to every version of the software.

It may be prudent to update to the very latest version available, as Elementor Pro 3.2.0 fixes a security issue:

“Sanitized options in the editor to enforce better security policies”

Citat

Official Wordfence Announcement:
Cross-Site Scripting Vulnerabilities in Elementor Impact Over 7 Million Sites

Elementor Pro Changelog

Searchenginejournal.com

NYHETER

Google December Produktrecensioner Uppdatering påverkar mer än engelska webbplatser? via @sejournal, @martinibuster

Publicerad

Förbi

Googles produktrecensioner uppdatering tillkännagavs att rulla ut till det engelska språket. Inget nämndes om eller när det skulle rullas ut till andra språk. Mueller svarade på en fråga om huruvida det rullar ut till andra språk.

Uppdatering för produktrecensioner från Google december 2021

Den 1 december 2021, Google meddelade den Twitter att en produktrecensionsuppdatering skulle rullas ut som skulle fokusera på engelska webbsidor.

Fokus för uppdateringen var att förbättra kvaliteten på recensioner som visas i Googles sökning, särskilt inriktade på recensionswebbplatser.

En Googler twittrade en beskrivning av de typer av webbplatser som skulle vara inriktade på degradering i sökrankingen:

"Främst relevant för webbplatser som publicerar artiklar som recenserar produkter.

Tänk på sajter som "bästa TV-apparater under $200″.com.

Målet är att förbättra kvaliteten och användbarheten av recensioner som vi visar användare.”

Annons

Fortsätt läsa nedan

Google publicerade också en blogginlägg med mer vägledning om produktrecensionsuppdateringen som introducerade två nya bästa praxis som Googles algoritm skulle leta efter.

Den första bästa praxisen var ett krav på bevis för att en produkt faktiskt hanterades och granskades.

Den näst bästa praxis var att tillhandahålla länkar till mer än en plats där en användare kan köpa produkten.

De Twitter tillkännagivandet uppgav att det rullas ut till engelska webbplatser. Blogginlägget nämnde inte vilka språk det rullades ut till och inte heller specificerade blogginlägget att uppdateringen av produktrecensionen var begränsad till det engelska språket.

Uppdatering för Googles Mueller Thinking About Produktrecensioner

Screenshot of Google's John Mueller trying to recall if December Product Review Update affects more than the English language

Screenshot of Google's John Mueller trying to recall if December Product Review Update affects more than the English language

Produktrecension Uppdatering inriktad på fler språk?

Personen som ställde frågan hade med rätta intrycket att uppdateringen av produktrecensionen endast påverkade sökresultat på engelska.

Annons

Fortsätt läsa nedan

Men han påstod att han såg volatilitet i sökningar på det tyska språket som verkar vara relaterat till Googles Produktrecensionsuppdatering december 2021.

Detta är hans fråga:

"Jag såg några rörelser i tyska sök också.

Så jag undrade om det också kunde bli en effekt på webbplatser på andra språk av den här produktrecensionsuppdateringen... eftersom vi hade mycket rörelse och volatilitet under de senaste veckorna.

…Min fråga är, är det möjligt att uppdateringen av produktrecensioner också påverkar andra webbplatser?”

John Mueller svarade:

"Jag vet inte... som andra språk?

Mitt antagande var att detta var globalt och över alla språk.

Men jag vet inte vad vi tillkännagav i blogginlägget specifikt.

Men vanligtvis försöker vi pressa ingenjörsteamet att fatta ett beslut om det så att vi kan dokumentera det ordentligt i blogginlägget.

Jag vet inte om det hände med uppdateringen av produktrecensioner. Jag kommer inte ihåg hela blogginlägget.

Men det är... ur min synvinkel verkar det som något som vi skulle kunna göra på flera språk och inte skulle vara knutet till engelska.

Och även om det var engelska från början så känns det som något som är relevant över hela linjen, och vi bör försöka hitta sätt att rulla ut det till andra språk med tiden också.

Så jag är inte särskilt förvånad över att man ser förändringar i Tyskland.

Men jag vet inte heller vad vi faktiskt tillkännagav när det gäller de platser och språk som är inblandade.”

Påverkar uppdateringen av produktrecensioner fler språk?

Även om det tweetade tillkännagivandet specificerade att produktrecensioners uppdatering var begränsad till engelska språket nämnde det officiella blogginlägget inga sådana begränsningar.

Googles John Mueller erbjöd sin åsikt att uppdateringen av produktrecensioner är något som Google skulle kunna göra på flera språk.

Man måste undra om tweeten var tänkt att kommunicera att uppdateringen rullades ut först på engelska och sedan till andra språk.

Det är oklart om uppdateringen av produktrecensioner rullades ut globalt till fler språk. Förhoppningsvis kommer Google att klargöra detta snart.

Citat

Google blogginlägg om produktrecensioner Uppdatering

Uppdatering av produktrecensioner och din webbplats

Googles riktlinjer för nya produktrecensioner

Skriv produktrecensioner av hög kvalitet

John Mueller diskuterar om uppdateringen av produktrecensioner är global

Se Mueller svara på frågan vid 14:00 Minute Mark

[inbäddat innehåll]

Searchenginejournal.com

Fortsätt läsa

MISSA INTE NÅGRA VIKTIGA NYHETER!
Prenumerera på vårt nyhetsbrev
Vi lovar att inte spamma dig. Avsluta prenumerationen när som helst.
Ogiltig e-postadress

Trendigt

sv_SESvenska