Elementor研究人员已针对 11 个独立的 Elementor 附加插件发布了安全建议,其中包含 15 个漏洞。这些漏洞可能使黑客能够上传恶意文件,其中一个被评为高威胁漏洞,因为它可以让黑客绕过访问控制、执行脚本并获取敏感数据。
![图片[1]-Elementor附加插件中的安全漏洞并如何保护你的WordPress网站-光子波动网 | 专业WordPress修复服务,全球范围,快速响应](https://www.361sale.com/wp-content/uploads/2024/06/2024061302243633.jpg)
两种不同类型的漏洞
1. 存储跨站脚本 (XSS)
XSS 漏洞是 WordPress 插件和主题中最常见的漏洞形式之一。它们通常是由输入数据保护方式(输入清理)以及输出数据锁定方式(输出转义)方面的缺陷引起的。
2. 本地文件包含漏洞
本地文件包含漏洞是一种利用不安全的用户输入区域的漏洞,允许攻击者将文件“包含”到输入中。简单来说,这种漏洞允许攻击者“包含”各种代码,从而能够绕过对网站上可以执行的操作和/或允许访问的任何限制。
![图片[2]-Elementor附加插件中的安全漏洞并如何保护你的WordPress网站-光子波动网 | 专业WordPress修复服务,全球范围,快速响应](https://www.361sale.com/wp-content/uploads/2024/06/2024061309002658.jpg)
易受攻击的 Elementor 附加插件列表
总共有 11 个 Elementor 附加插件报告了漏洞,其中一些插件存在多个漏洞。以下是按从最新到最早的降序排列的插件列表及其漏洞情况:
- ElementsKit Elementor addons (x2)
- Unlimited Elements For Elementor
- 140+ Widgets | Best Addons For Elementor
- Better Elementor Addons
- Elementor Addon Elements (x2)
- Master Addons for Elementor
- The Plus Addons for Elementor (x2)
- Essential Addons for Elementor (x2)
- Element Pack Elementor Addons
- Prime Slider – Addons For Elementor
- Move Addons for Elementor
![图片[3]-Elementor附加插件中的安全漏洞并如何保护你的WordPress网站-光子波动网 | 专业WordPress修复服务,全球范围,快速响应](https://www.361sale.com/wp-content/uploads/2024/06/2024061309005586.jpg)
高严重性漏洞
在 WordPress 的 ElementsKit Elementor Addons 插件中发现的高严重性漏洞尤为令人担忧,因为它可能使超过一百万个网站面临危险。该漏洞的评级为 8.8(评分范围为 1-10)。该插件受欢迎的原因在于其一体化特性,允许用户轻松修改页眉、页脚和菜单中的几乎任何页面设计功能。
受影响的 WordPress 网站
这些漏洞可能影响超过 300 万个网站。仅其中两个插件的活跃安装总数就达到了 300 万。以下是按安装数量列出的易受攻击插件列表:
- Essential Addons for Elementor – 2 Million
- ElementsKit Elementor addons – 1 Million
- Unlimited Elements For Elementor – 200k
- Elementor Addon Elements – 100k
- The Plus Addons for Elementor – 100k
- Element Pack Elementor Addons – 100k
- Prime Slider – Addons For Elementor – 100k
- Master Addons for Elementor – 40k
- 140+ Widgets | Best Addons For Elementor – 10k
- Move Addons for Elementor – 3k
- Better Elementor Addons – Unknown – Closed By WordPress
![图片[4]-Elementor附加插件中的安全漏洞并如何保护你的WordPress网站-光子波动网 | 专业WordPress修复服务,全球范围,快速响应](https://www.361sale.com/wp-content/uploads/2024/06/2024061309013883.jpg)
建议操作
尽管许多中等严重性漏洞要求黑客获得贡献者级别的身份验证才能发起攻击,但不应低估其他插件或安装的主题所带来的风险。这些插件或主题可能会授予攻击者发起这些特定攻击的能力。以下是一些建议的操作步骤:
- 更新插件和主题:
- 确保所有 Elementor 附加插件和主题都更新到最新版本。
- 在将更新推送到实时站点之前,测试更新的主题和插件。
- 清除缓存和 Cookie:
- 定期清除浏览器缓存和 Cookie,以避免潜在的安全漏洞。
- 使用安全模式:
- 启用 Elementor 的“安全模式”,将 Elementor 核心与可能导致问题的主题和插件分开。
- 检查服务器连接:
- 确保互联网连接稳定,必要时联系托管服务提供商。
- 启用 CDN:
- 使用内容传送网络 (CDN) 将网站内容分布到全球服务器上,减轻主服务器的负担。
- 寻求专业支持:
- 如果无法解决问题,可以联系 Elementor 支持团队寻求帮助。
通过采取这些措施,可以有效减少因 Elementor 附加插件漏洞带来的安全风险,保障网站的安全性和稳定性。
© 版权声明
THE END
![表情[tuosai]-光子波动网 | 专业WordPress修复服务,全球范围,快速响应](https://www.361sale.com/wp-content/themes/zibll/img/smilies/tuosai.gif)
路过
![表情[xia]-光子波动网 | 专业WordPress修复服务,全球范围,快速响应](https://www.361sale.com/wp-content/themes/zibll/img/smilies/xia.gif)
暂无评论内容