Elementor是領先的WordPress網站構建器,為全球超過1600萬個網站提供支持,使用Elementor能夠構建專業、像素完美的網站。通過直觀的無代碼拖放界面,可以構建任何網站。Elementor是非常牛B的創業者工具,對技術人員來說,是非常和心應手的創作工具。不過,不懂技術的小白使用起來,還是有些門檻的,需要花些時間來學習一下。

Elementor在WordPress官網插件中心有超過500萬個安裝量,是WordPress使用量最大的插件之一,不過Elementor最近也曝出了幾次安全事件,在些提醒各位使用Elementor的兄弟們,Elementor好用,但是一定要記得即時更新到最新版本,如果不能做到即時同步更新,最好不要用。

下面來回顧一下Elementor的幾次安全事件:

2022年4月16日:Elementor遠程代碼執行漏洞

WordPressElementor頁面構建插件發布3.6.3版本,修復了一個遠程代碼執行漏洞。該漏洞可能影響多達50萬個網站。安全研究人員認為,任何登錄到有漏洞網站的用戶都可以利用它,包括普通用戶。未登錄的用戶也可能利用該漏洞,但尚未證實這種情況。攻擊者在存在漏洞的網站上創建一個正常賬戶,可以改變受影響網站的名稱和主題,使其看起來完全不同。

2024年3月31日:安全研究人員發現Elementor Website

Builder及其專業版中存在的六個獨特的XSS漏洞。這些漏洞可能允許攻擊者注入惡意腳本。這六個漏洞都是由于Elementor方面的安全性不足造成的,都是不同的,彼此完全無關。

2024年4月9日:提醒用戶警惕11個Elementor關聯插件的漏洞風險。

這些插件存在存儲跨站腳本(XSS)漏洞,通常是由輸入數據保護方式(輸入清理)以及輸出數據鎖定方式(輸出轉義)方面的缺陷引起的。建議用戶在創建網站內容時,盡可能地避免使用上述插件以免造成不必要的損失。