{"id":41220,"date":"2023-03-30T17:14:27","date_gmt":"2023-03-30T16:14:27","guid":{"rendered":"https:\/\/supporthost.com\/it\/?p=41220"},"modified":"2024-05-16T09:59:29","modified_gmt":"2024-05-16T09:59:29","slug":"vulnerabilita-elementor-marzo-2023","status":"publish","type":"post","link":"https:\/\/supporthost.com\/it\/vulnerabilita-elementor-marzo-2023\/","title":{"rendered":"Vulnerabilit\u00e0 Elementor PRO: come risolvere ed evitare danni"},"content":{"rendered":"\n<p class=\"note\">Attenzione, c&#8217;\u00e8 una vulnerabilit\u00e0 di Elementor Pro in versione minore o uguale a 3.11.6, che potrebbe risultare nel tuo sito WordPress bucato. Se usi Elementor pro aggiorna subito, assicurandoti di avere almeno la versione 3.11.7. Se usi Elementor free il tuo sito \u00e8 al sicuro.<\/p>\n\n\n\n<p>Oggi c&#8217;\u00e8 stato un attacco sfruttando questa falla, gli amici di <a href=\"https:\/\/wp-ok.it\/\" rel=\"noopener\">wp-ok<\/a> ci hanno avvisato in modo tempestivo, e di conseguenza avvisiamo i nostri clienti.<\/p>\n\n\n\n<div class=\"wp-block-rank-math-toc-block\" id=\"rank-math-toc\"><h2>Indice<\/h2><nav><ul><li><a href=\"#tldr\">TLDR<\/a><\/li><li><a href=\"#soluzione\">Soluzione<\/a><\/li><li><a href=\"#causa-del-problema\">Causa del problema<\/a><\/li><li><a href=\"#soluzione-alternativa\">Soluzione alternativa<\/a><ul><li><a href=\"#una-nota-sulla-modifica-dei-plugin\">Una nota sulla modifica dei plugin<\/a><\/li><\/ul><\/li><li><a href=\"#soluzioni-non-risolutive\">Soluzioni non risolutive<\/a><ul><li><a href=\"#bloccare-il-range-di-ip\">Bloccare il range di IP<\/a><\/li><li><a href=\"#impostare-il-changelog-in-404\">Impostare il changelog in 404<\/a><\/li><\/ul><\/li><li><a href=\"#sintomi-di-un-sito-attaccato\">Sintomi di un sito attaccato<\/a><\/li><li><a href=\"#esempio-di-attacco-log-del-server\">Esempio di attacco: log del server<\/a><\/li><li><a href=\"#come-controllare-il-log\">Come controllare il log<\/a><\/li><li><a href=\"#conclusioni\">Conclusioni<\/a><\/li><\/ul><\/nav><\/div>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"tldr\">TLDR<\/h2>\n\n\n\n<p>Il 12 Marzo \u00e8 stata scoperta e segnalata una vulnerabilit\u00e0 di Elementor Pro.<\/p>\n\n\n\n<p>La nuova versione 3.11.7 \u00e8 stata rilasciata da Elementor Ltd il 22 Marzo, chiudendo questa falla di sicurezza.<\/p>\n\n\n\n<p>Oggi \u00e8 stato notato un attacco di grandi dimensioni usando questa falla, e quindi \u00e8 il momento di correre ai ripari.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"soluzione\">Soluzione<\/h2>\n\n\n\n<p>La soluzione, per evitare che il tuo sito possa venire bucato, \u00e8 di aggiornare Elementor Pro il prima possibile.<\/p>\n\n\n\n<p>Dal momento che la falla di sicurezza \u00e8 stata risolta con la versione 3.11.7 del plugin, non devi far altro che aggiornare il plugin all&#8217;ultima versione per dormire sonni tranquilli.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"causa-del-problema\">Causa del problema<\/h2>\n\n\n\n<p>Questa vulnerabilit\u00e0 tocca soltanto la versione Pro di Elementor, se usi Elementor free il tuo sito \u00e8 al sicuro e non hai niente di cui preoccuparti.<\/p>\n\n\n\n<p>Quando WooCommerce \u00e8 attivato Elementor carica il file \u201celementor-pro\/modules\/woocommerce\/module.php\u201d che aggiunge 2 azioni ajax:<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">\/**\n * Register Ajax Actions.\n *\n * Registers ajax action used by the Editor js.\n *\n * @since 3.5.0\n *\n * @param Ajax $ajax\n *\/\npublic function register_ajax_actions( Ajax $ajax ) {\n   \/\/ `woocommerce_update_page_option` is called in the editor save-show-modal.js.\n   $ajax-&gt;register_ajax_action( 'pro_woocommerce_update_page_option', [ $this, 'update_page_option' ] );\n   $ajax-&gt;register_ajax_action( 'pro_woocommerce_mock_notices', [ $this, 'woocommerce_mock_notices' ] );\n}<\/pre>\n\n\n\n<p>L&#8217;azione <code>pro_woocommerce_update_page_option<\/code> \u00e8 usata dall&#8217;editor di elementor.<\/p>\n\n\n\n<p>Quest&#8217;azione chiama la funzione <code>update_option<\/code> che viene usata per modificare le opzioni di WordPress nel database:<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">\/**\n * Update Page Option.\n *\n * Ajax action can be used to update any WooCommerce option.\n *\n * @since 3.5.0\n *\n * @param array $data\n *\/\npublic function update_page_option( $data ) {\n   update_option( $data['option_name'], $data['editor_post_id'] );\n}<\/pre>\n\n\n\n<p>Come vedi questa funzione modifica l&#8217;opzione sul database usando due valori inviati dall&#8217;utente.<\/p>\n\n\n\n<p>Questa funzione serve all&#8217;amministratore o allo shop manager di modificare alcune impostazioni di WooCommerce nel database.<\/p>\n\n\n\n<p>Il problema \u00e8 che non viene fatto un controllo sui dati inseriti dall&#8217;utente, n\u00e9 viene fatto un controllo sul ruolo che deve avere l&#8217;utente per usare questa funzione.<\/p>\n\n\n\n<p>Elementor usa un suo hadler ajax per la maggior parte delle sue chiamate ajax, quindi anche per <code>pro_woocommerce_update_page_option<\/code>.<\/p>\n\n\n\n<p>Questo handler lo troviamo nel file \u201celementor\/core\/common\/modules\/ajax\/module.php\u201d:<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">\/**\n * Handle ajax request.\n *\n * Verify ajax nonce, and run all the registered actions for this request.\n *\n * Fired by `wp_ajax_elementor_ajax` action.\n *\n * @since 2.0.0\n * @access public\n *\/\npublic function handle_ajax_request() {\n   if ( ! $this-&gt;verify_request_nonce() ) {\n      $this-&gt;add_response_data( false, esc_html__( 'Token Expired.', 'elementor' ) )\n         -&gt;send_error( Exceptions::UNAUTHORIZED );\n   }\n   [...]<\/pre>\n\n\n\n<p>Questa funzione fa un check del nonce, per evitare che un malitenzionato possa sfruttare una vulnerabilit\u00e0.<\/p>\n\n\n\n<p>Elementor free carica tutti gli script javascript usando l&#8217;hook <code>admin_enqueue_scripts<\/code> col file \u201celementor\/core\/common\/app.php\u201d:<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">add_action( 'admin_enqueue_scripts', [ $this, 'register_scripts' ] );<\/pre>\n\n\n\n<p>Quindi se usi Elementor free dalla console js del browser puoi usare:<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">alert( elementorCommon.ajax.getSettings(\"nonce\") );<\/pre>\n\n\n\n<p>Per vedere il nonce in questo modo:<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"358\" src=\"https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2023\/03\/elementor-exposes-nonce-1024x358.png\" alt=\"Elementor Exposes Nonce\" class=\"wp-image-41222\" srcset=\"https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2023\/03\/elementor-exposes-nonce-1024x358.png 1024w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2023\/03\/elementor-exposes-nonce-300x105.png 300w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2023\/03\/elementor-exposes-nonce-768x268.png 768w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2023\/03\/elementor-exposes-nonce-120x42.png 120w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2023\/03\/elementor-exposes-nonce.png 1200w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Ho controllato e questo \u00e8 stato risolto nell&#8217;ultima versione di Elementor.<\/p>\n\n\n\n<p>Un attaccante pu\u00f2 in questo modo recuperare il nonce, e fare una chiamata ajax, il tutto dalla console del browser e modificare le impostazioni di WordPress.<\/p>\n\n\n\n<p>A questo punto dipende solo dalla creativit\u00e0 dell&#8217;attaccante decidere cosa fare.<\/p>\n\n\n\n<p>Ad esempio \u00e8 possibile modificare l&#8217;impostazione <code>users_can_register<\/code> per abilitare le nuove registrazioni ed impostare il nuovo ruolo come amministratore usando l&#8217;impostazione <code>admin_email<\/code> per poi registrarsi tramite il form di WordPress ed essere amministratore.<\/p>\n\n\n\n<p>Oppure sarebbe possibile modificare l&#8217;impostazione <code>siteurl<\/code> per redirigere tutto il traffico su un altro sito.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"soluzione-alternativa\">Soluzione alternativa<\/h2>\n\n\n\n<p>Come ho spiegato sopra la soluzione \u00e8 aggiornare Elementor Pro il prima possibile.<\/p>\n\n\n\n<p>In alcuni casi \u00e8 possibile che l&#8217;utente che usa WooCommerce e ElementorPro sia impossibilitato ad aggiornare Elementor Pro.<\/p>\n\n\n\n<p>Non voglio in alcun modo favorire chi usa Elementor Pro senza licenza e quindi non pu\u00f2 aggiornare direttamente dall&#8217;area amministratore di WordPress.<\/p>\n\n\n\n<p>Questa soluzione vuole essere una toppa per quegli utenti che usano versioni vecchie a causa di incompatibilit\u00e0 tra addon o altri plugin. Una cosa assolutamente non raccomandata, e che consiglierei di risolvere il prima possibile per poter tenere il tutto aggiornato correttamente.<\/p>\n\n\n\n<p>Puoi applicare una modifica al file \u201celementor-pro\/modules\/woocommerce\/module.php\u201d di Elementor Pro.<\/p>\n\n\n\n<p>Cerca questa parte:<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">\/**\n * Update Page Option.\n *\n * Ajax action can be used to update any WooCommerce option.\n *\n * @since 3.5.0\n *\n * @param array $data\n *\/\npublic function update_page_option( $data ) {\n   update_option( $data['option_name'], $data['editor_post_id'] );\n}<\/pre>\n\n\n\n<p>E sostituisci con:<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">\t\/**\n\t * Update Page Option.\n\t *\n\t * Ajax action can be used to update any WooCommerce option.\n\t *\n\t * @since 3.5.0\n\t *\n\t * @param array $data\n\t *\/\n\tpublic function update_page_option( $data ) {\n\t\t$is_admin = current_user_can( 'manage_options' );\n\t\t$is_shop_manager = current_user_can( 'manage_woocommerce' );\n\t\t$is_allowed = $is_admin || $is_shop_manager;\n\n\t\tif ( ! $is_allowed ) {\n\t\t\treturn new \\WP_Error( 401 );\n\t\t}\n\n\t\t$allowed_options = [\n\t\t\t'woocommerce_checkout_page_id',\n\t\t\t'woocommerce_cart_page_id',\n\t\t\t'woocommerce_myaccount_page_id',\n\t\t\t'elementor_woocommerce_purchase_summary_page_id',\n\t\t];\n\n\t\t$option_name = $data['option_name'];\n\t\t$post_id = absint( $data['editor_post_id'] );\n\n\t\tif ( ! in_array( $option_name, $allowed_options, true ) ) {\n\t\t\treturn new \\WP_Error( 400 );\n\t\t}\n\n\t\tupdate_option( $option_name, $post_id );\n\t}<\/pre>\n\n\n\n<p class=\"note\">In pratica fa le stesse cose, ma controlla che l&#8217;utente abbia i permessi per modificare le opzioni, e permette la modifica soltanto di alcune opzioni.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"una-nota-sulla-modifica-dei-plugin\">Una nota sulla modifica dei plugin<\/h3>\n\n\n\n<p>Questa \u00e8 una pratica sbagliata, e sono io il primo a sconsigliare la modifica di temi e plugin.<\/p>\n\n\n\n<p>Mentre coi temi abbiamo la possibilit\u00e0 di creare un <a href=\"https:\/\/supporthost.com\/it\/tema-child\/\" data-type=\"post\" data-id=\"23609\">tema child<\/a>, coi plugin questo non \u00e8 possibile.<\/p>\n\n\n\n<p>In questo caso specifico sto parlando dell&#8217;impossibilit\u00e0 di aggiornare Elementor Pro, quale che sia il motivo. Inoltre sto applicando lo stesso codice della versione 3.11.7 di Elementor Pro che risolve questa vulnerabilit\u00e0.<\/p>\n\n\n\n<p>In pratica stiamo modificando il codice di un plugin che non possiamo aggiornare. E se lo aggiorniamo la nuova versione ha la stessa modifica, quindi di fatto il problema \u00e8 ridotto al minimo.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"soluzioni-non-risolutive\">Soluzioni non risolutive<\/h2>\n\n\n\n<p>Ci sono alcune soluzioni in rete, che non considero risolutive. Vediamo quali sono e perch\u00e9 non vanno bene.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"bloccare-il-range-di-ip\">Bloccare il range di IP<\/h3>\n\n\n\n<p>\u00c8 stato consigliato di bloccare il range di IP 193.169.194.**<\/p>\n\n\n\n<p>Questa \u00e8 una toppa che aveva senso fino a quando non era stato capito cosa stava succedendo, visto che gli attaccanti stavano usando quel range di IP.<\/p>\n\n\n\n<p>Ovviamente non ci vuole tanto a cambiare IP, quindi \u00e8 una misura che protegge, ma come puoi capire protegge entro certi limiti.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"impostare-il-changelog-in-404\">Impostare il changelog in 404<\/h3>\n\n\n\n<p>\u00c8 stato consigliato di impostare il changelog di elementor pro in 404, \u00e8 possibile farlo con una semplice direttiva .htaccess<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">RewriteRule \/wp-content\/plugins\/elementor-pro\/changelog.txt - [L,R=404]<\/pre>\n\n\n\n<p>Anche questa \u00e8 una soluzione, anche se non definitiva.<\/p>\n\n\n\n<p>L&#8217;attacco viene fatto in maniera automatizzata, quindi se il bot vede un 404 per questo file (che presumibilmente usa per vedere che versione di elementor stai usando) potrebbe passare al prossimo sito.<\/p>\n\n\n\n<p>Ma nulla vieta che il bot controlli le risorse della pagina, basta cercare qualcosa di questo tipo:<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">https:\/\/dominio.it\/wp-content\/plugins\/elementor-pro\/assets\/js\/nav-menu.bb5cce0a50480cdf695d.bundle.min.js<\/pre>\n\n\n\n<p>Per capire che il sito sta usando Elementor Pro e provare lo stesso l&#8217;attacco.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"sintomi-di-un-sito-attaccato\">Sintomi di un sito attaccato<\/h2>\n\n\n\n<p>Finora sono stati notati questi sintomi nei siti attaccati, se noti una di queste cose \u00e8 possibile che il tuo sito sia stato attaccato:<\/p>\n\n\n\n<ul>\n<li>Il sito fa redirect su un altro sito. Potrebbe non essere visibile per via della cache, quindi aggiungi un parametro casuale all&#8217;url, tipo dominio.it?exsrcdtfvbgy=rdcftvbgy<\/li>\n\n\n\n<li>Nelle impostazioni di WordPress vedi che chiunque pu\u00f2 registrarsi e il ruolo di default non \u00e8 subscriber:<\/li>\n<\/ul>\n\n\n\n<figure class=\"wp-block-image size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"808\" height=\"232\" src=\"https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2023\/03\/vulnerabilita-elementor-pro-impostazioni.png\" alt=\"Vulnerabilita Elementor Pro Impostazioni\" class=\"wp-image-41230\" style=\"width:606px;height:174px\" srcset=\"https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2023\/03\/vulnerabilita-elementor-pro-impostazioni.png 808w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2023\/03\/vulnerabilita-elementor-pro-impostazioni-300x86.png 300w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2023\/03\/vulnerabilita-elementor-pro-impostazioni-768x221.png 768w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2023\/03\/vulnerabilita-elementor-pro-impostazioni-120x34.png 120w\" sizes=\"auto, (max-width: 808px) 100vw, 808px\" \/><\/figure>\n\n\n\n<ul>\n<li>Vedi degli utenti che non riconosci, al 99% amministratori.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"esempio-di-attacco-log-del-server\">Esempio di attacco: log del server<\/h2>\n\n\n\n<p>Sotto riporto cosa abbiamo trovato nei log del server dopo un tentativo di attacco:<\/p>\n\n\n\n<pre class=\"wp-block-preformatted pre-full-width\">\/var\/log\/apache2\/domlogs\/hidden\/hidden.net.hidden.it:193.169.194.63 - - [30\/Mar\/2023:14:35:05 +0200] \"GET \/ HTTP\/1.1\" 301 707 \"-\" \"Mozilla\/5.0 (Windows NT 10.0; WOW64) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/84.0.4147.125 Safari\/537.36\"\n\/var\/log\/apache2\/domlogs\/hidden\/hidden.net.hidden.it-ssl_log:193.169.194.63 - - [30\/Mar\/2023:14:35:05 +0200] \"GET \/ HTTP\/2\" 200 51892 \"http:\/\/hidden.net\" \"Mozilla\/5.0 (Windows NT 10.0; WOW64) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/84.0.4147.125 Safari\/537.36\"\n\/var\/log\/apache2\/domlogs\/hidden\/hidden.net.hidden.it-ssl_log:193.169.194.63 - - [30\/Mar\/2023:14:35:06 +0200] \"POST \/\/wp-admin\/admin-post.php HTTP\/2\" 200 20 \"-\" \"Mozilla\/5.0 (Windows NT 10.0; WOW64) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/84.0.4147.125 Safari\/537.36\"\n\/var\/log\/apache2\/domlogs\/hidden\/hidden.net.hidden.it-ssl_log:193.169.194.63 - - [30\/Mar\/2023:14:35:07 +0200] \"GET \/\/wp-content\/plugins\/elementor-pro\/changelog.txt HTTP\/2\" 200 25778 \"-\" \"Mozilla\/5.0 (Windows NT 10.0; WOW64) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/84.0.4147.125 Safari\/537.36\"\n\/var\/log\/apache2\/domlogs\/hidden\/hidden.net.hidden.it-ssl_log:193.169.194.63 - - [30\/Mar\/2023:14:35:08 +0200] \"GET \/ HTTP\/2\" 200 51892 \"-\" \"Mozilla\/5.0 (Windows NT 10.0; WOW64) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/84.0.4147.125 Safari\/537.36\"\n\/var\/log\/apache2\/domlogs\/hidden\/hidden.net.hidden.it-ssl_log:193.169.194.63 - - [30\/Mar\/2023:14:35:09 +0200] \"GET \/\/wp-login.php?action=register HTTP\/2\" 302 20 \"-\" \"Mozilla\/5.0 (Windows NT 10.0; WOW64) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/84.0.4147.125 Safari\/537.36\"\n\/var\/log\/apache2\/domlogs\/hidden\/hidden.net.hidden.it-ssl_log:193.169.194.63 - - [30\/Mar\/2023:14:35:10 +0200] \"GET \/wp-login.php?registration=disabled HTTP\/2\" 200 2839 \"https:\/\/hidden.net\/\/wp-login.php?action=register\" \"Mozilla\/5.0 (Windows NT 10.0; WOW64) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/84.0.4147.125 Safari\/537.36\"\n\/var\/log\/apache2\/domlogs\/hidden\/hidden.net.hidden.it-ssl_log:193.169.194.63 - - [30\/Mar\/2023:14:35:11 +0200] \"GET \/\/my-account HTTP\/2\" 301 20 \"-\" \"Mozilla\/5.0 (Windows NT 10.0; WOW64) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/84.0.4147.125 Safari\/537.36\"\n\/var\/log\/apache2\/domlogs\/hidden\/hidden.net.hidden.it-ssl_log:193.169.194.63 - - [30\/Mar\/2023:14:35:11 +0200] \"GET \/my-account\/ HTTP\/2\" 200 31322 \"https:\/\/hidden.net\/\/my-account\" \"Mozilla\/5.0 (Windows NT 10.0; WOW64) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/84.0.4147.125 Safari\/537.36\"\n\/var\/log\/apache2\/domlogs\/hidden\/hidden.net.hidden.it-ssl_log:193.169.194.63 - - [30\/Mar\/2023:14:35:12 +0200] \"GET \/\/my-account HTTP\/2\" 301 20 \"-\" \"Mozilla\/5.0 (Windows NT 10.0; WOW64) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/84.0.4147.125 Safari\/537.36\"\n\/var\/log\/apache2\/domlogs\/hidden\/hidden.net.hidden.it-ssl_log:193.169.194.63 - - [30\/Mar\/2023:14:35:13 +0200] \"GET \/my-account\/ HTTP\/2\" 200 31322 \"https:\/\/hidden.net\/\/my-account\" \"Mozilla\/5.0 (Windows NT 10.0; WOW64) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/84.0.4147.125 Safari\/537.36\"\n\/var\/log\/apache2\/domlogs\/hidden\/hidden.net.hidden.it-ssl_log:193.169.194.63 - - [30\/Mar\/2023:14:35:14 +0200] \"GET \/my-account\/ HTTP\/2\" 200 31322 \"https:\/\/hidden.net\/my-account\/\" \"Mozilla\/5.0 (Windows NT 6.1; Win64; x64; rv:81.0) Gecko\/20100101 Firefox\/81.0\"\n\/var\/log\/apache2\/domlogs\/hidden\/hidden.net.hidden.it-ssl_log:193.169.194.63 - - [30\/Mar\/2023:14:35:15 +0200] \"POST \/ HTTP\/2\" 200 52314 \"-\" \"Mozilla\/5.0 (Windows NT 6.1; Win64; x64; rv:81.0) Gecko\/20100101 Firefox\/81.0\"\n\/var\/log\/apache2\/domlogs\/hidden\/hidden.net.hidden.it-ssl_log:193.169.194.63 - - [30\/Mar\/2023:14:35:17 +0200] \"POST \/ HTTP\/2\" 200 52297 \"-\" \"Mozilla\/5.0 (Windows NT 10.0; WOW64) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/84.0.4147.125 Safari\/537.36\"\n\/var\/log\/apache2\/domlogs\/hidden\/hidden.net.hidden.it-ssl_log:193.169.194.63 - - [30\/Mar\/2023:14:37:07 +0200] \"POST \/ HTTP\/2\" 200 51845 \"-\" \"Mozilla\/5.0 (Windows NT 10.0; WOW64) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/84.0.4147.125 Safari\/537.36\"<\/pre>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"come-controllare-il-log\">Come controllare il log<\/h2>\n\n\n\n<p>cPanel offre uno strumento: Raw access log, Accesso non elaborato nella versione italiana.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"325\" src=\"https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2023\/03\/vulnerabilita-elementor-log-1024x325.png\" alt=\"Vulnerabilita Elementor Log\" class=\"wp-image-41239\" srcset=\"https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2023\/03\/vulnerabilita-elementor-log-1024x325.png 1024w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2023\/03\/vulnerabilita-elementor-log-300x95.png 300w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2023\/03\/vulnerabilita-elementor-log-768x244.png 768w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2023\/03\/vulnerabilita-elementor-log-120x38.png 120w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2023\/03\/vulnerabilita-elementor-log.png 1200w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Da qui vedi un lista dei siti sul tuo account, basta cliccare sul nome del log da scaricare, probabilmente dovrai scaricare la versione che indica SSL tra parentesi:<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"530\" src=\"https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2023\/03\/vulnerabilita-elementor-log-scarica-1024x530.png\" alt=\"Vulnerabilita Elementor Log Scarica\" class=\"wp-image-41240\" srcset=\"https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2023\/03\/vulnerabilita-elementor-log-scarica-1024x530.png 1024w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2023\/03\/vulnerabilita-elementor-log-scarica-300x155.png 300w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2023\/03\/vulnerabilita-elementor-log-scarica-768x397.png 768w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2023\/03\/vulnerabilita-elementor-log-scarica-120x63.png 120w, https:\/\/supporthost.com\/it\/wp-content\/uploads\/sites\/2\/2023\/03\/vulnerabilita-elementor-log-scarica.png 1200w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Scompatti il file, lo apri con un editor di testo e cerchi la stringa:<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">\/wp-content\/plugins\/elementor-pro\/changelog.txt<\/pre>\n\n\n\n<p>Oppure gli IP che iniziano per:<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">193.169.194.<\/pre>\n\n\n\n<p>Nota che l&#8217;IP potrebbe cambiare, se noti che vengono usati IP diversi avvisaci per poter aggiornare questo articolo.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"conclusioni\">Conclusioni<\/h2>\n\n\n\n<p>Il tuo sito \u00e8 a rischio solo se usi WooCommerce ed Elementor Pro in versione inferiore o uguale alla 3.11.6<\/p>\n\n\n\n<p>Puoi risolvere la vulnerabilit\u00e0 aggiornando Elementor Pro.<\/p>\n\n\n\n<p>Se non puoi aggiornare Elementor Pro per qualche motivo puoi controllare la soluzione alternativa e modificare alcuni files di Elementor Pro.<\/p>\n\n\n\n<p>Questo articolo ti \u00e8 stato utile? Hai dubbi, domande o consigli per migliorare questo articolo ed evitare che altri siti vengano bucati? Fammelo sapere in un commento!<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Attenzione, c&#8217;\u00e8 una vulnerabilit\u00e0 di Elementor Pro in versione minore o uguale a 3.11.6, che potrebbe risultare nel tuo sito WordPress bucato. Se usi Elementor pro aggiorna subito, assicurandoti di avere almeno la versione 3.11.7. Se usi Elementor free il tuo sito \u00e8 al sicuro. Oggi c&#8217;\u00e8 stato un attacco sfruttando questa falla, gli amici [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":63700,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"inline_featured_image":false,"footnotes":""},"categories":[29],"tags":[],"class_list":["post-41220","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sicurezza"],"acf":[],"_links":{"self":[{"href":"https:\/\/supporthost.com\/it\/wp-json\/wp\/v2\/posts\/41220","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/supporthost.com\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/supporthost.com\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/supporthost.com\/it\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/supporthost.com\/it\/wp-json\/wp\/v2\/comments?post=41220"}],"version-history":[{"count":3,"href":"https:\/\/supporthost.com\/it\/wp-json\/wp\/v2\/posts\/41220\/revisions"}],"predecessor-version":[{"id":63701,"href":"https:\/\/supporthost.com\/it\/wp-json\/wp\/v2\/posts\/41220\/revisions\/63701"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/supporthost.com\/it\/wp-json\/wp\/v2\/media\/63700"}],"wp:attachment":[{"href":"https:\/\/supporthost.com\/it\/wp-json\/wp\/v2\/media?parent=41220"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/supporthost.com\/it\/wp-json\/wp\/v2\/categories?post=41220"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/supporthost.com\/it\/wp-json\/wp\/v2\/tags?post=41220"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}