Elementor是領先的WordPress網(wǎng)站構建器,為全球超過1600萬個網(wǎng)站提供支持,使用Elementor能夠構建專業(yè)、像素完美的網(wǎng)站。通過直觀的無代碼拖放界面,可以構建任何網(wǎng)站。Elementor是非常牛B的創(chuàng)業(yè)者工具,對技術人員來說,是非常和心應手的創(chuàng)作工具。不過,不懂技術的小白使用起來,還是有些門檻的,需要花些時間來學習一下。

Elementor在WordPress官網(wǎng)插件中心有超過500萬個安裝量,是WordPress使用量最大的插件之一,不過Elementor最近也曝出了幾次安全事件,在些提醒各位使用Elementor的兄弟們,Elementor好用,但是一定要記得即時更新到最新版本,如果不能做到即時同步更新,最好不要用。

下面來回顧一下Elementor的幾次安全事件:

2022年4月16日:Elementor遠程代碼執(zhí)行漏洞

WordPressElementor頁面構建插件發(fā)布3.6.3版本,修復了一個遠程代碼執(zhí)行漏洞。該漏洞可能影響多達50萬個網(wǎng)站。安全研究人員認為,任何登錄到有漏洞網(wǎng)站的用戶都可以利用它,包括普通用戶。未登錄的用戶也可能利用該漏洞,但尚未證實這種情況。攻擊者在存在漏洞的網(wǎng)站上創(chuàng)建一個正常賬戶,可以改變受影響網(wǎng)站的名稱和主題,使其看起來完全不同。

2024年3月31日:安全研究人員發(fā)現(xiàn)Elementor Website

Builder及其專業(yè)版中存在的六個獨特的XSS漏洞。這些漏洞可能允許攻擊者注入惡意腳本。這六個漏洞都是由于Elementor方面的安全性不足造成的,都是不同的,彼此完全無關。

2024年4月9日:提醒用戶警惕11個Elementor關聯(lián)插件的漏洞風險。

這些插件存在存儲跨站腳本(XSS)漏洞,通常是由輸入數(shù)據(jù)保護方式(輸入清理)以及輸出數(shù)據(jù)鎖定方式(輸出轉(zhuǎn)義)方面的缺陷引起的。建議用戶在創(chuàng)建網(wǎng)站內(nèi)容時,盡可能地避免使用上述插件以免造成不必要的損失。