元素插件及其终极扩展出现Bug可能会给一百万网站带来风险

WordPress元素插件Elementor是一款可视化编辑器,支持前端编辑,提供了许多元素,用户无需代码经验即可完成网站编辑工作,结合其终极扩展Ultimate Addons for Elementor,无需专业的网站设计师都可以做出专业水准的网站。正因如此,今年早些时候Elementor获得首轮1500万美元融资。

目前Elementor用户已超过400万用户,但是日前元素插件及其终极扩展出现Bug,这可能会给一百万网站带来风险。

两个WordPress插件Elementor和Ultimate Addons for Elementor出现Bug

Wordfence的研究人员在两个单独但相关的WordPress插件中发现了安全漏洞。如观察到的,同时利用两个插件中的错误可能会导致巨大的网络攻击。 研究人员在博客文章中详细说明了这些问题,并强调指出Elementor Pro插件中存在严重的严重漏洞。利用该漏洞可以进行远程代码执行攻击,因为任何注册用户都可以上传任意文件。正如研究人员所解释的:

能够远程执行您站点上代码的攻击者可以安装后门或Webshel​​l来维护访问权限,获得对WordPress的完全管理访问权,甚至完全删除您的站点。

这是一个Zero-day(零日漏洞,即安全补丁与瑕疵曝光的同一日内,相关的恶意程序就出现,并对漏洞进行攻击)漏洞,如不引起重视,该漏洞具有极大的破坏性。

黑客可以通过注册登录直接在网站上利用该漏洞。即使在关闭用户注册选项,黑客还可以通过Ultimate Addons for Elementor绕开注册进行攻击。

元素插件及其终极扩展出现Bug可能会给一百万网站带来风险

补丁推出

Wordfence已经评估了对该漏洞的影响情况,估计约一百万网站受到影响。他们甚至检查了一些受感染的网站,以确认威胁。如他们的帖子所述, 由于这是主动攻击,因此我们应该引起重视,以便您可以采取步骤保护您的网站。目前插件开发者已经修复了此bug。因此,用户应确保将其网站上的插件更新为Elementor Pro 2.9.4版以及Elementor 1.24.2或更高版本的Ultimate Addons。 此外,研究人员还建议采取以下措施,以确保网站不受损害。

-检查您网站上是否有未知的订阅级别用户。

–检查名为“ wp-xmlrpc.php”的文件。

–删除在/ wp-content / uploads / elementor / custom-icons /目录中找到的所有未知文件或文件夹。

人已赞赏
WordPress教程

WordPress教程之不用插件使用七牛云存储加速网站

2020-7-8 11:25:32

WordPress教程

如何选择WordPress用户管理插件

2020-8-25 18:13:58

下载说明

  • 1、微码盒所提供的压缩包若无特别说明,解压密码均为weimahe.com
  • 2、下载后文件若为压缩包格式,请安装7Z软件或者其它压缩软件进行解压;
  • 3、文件比较大的时候,建议使用下载工具进行下载,浏览器下载有时候会自动中断,导致下载错误;
  • 4、资源可能会由于内容问题被和谐,导致下载链接不可用,遇到此问题,请到文章页面进行反馈,以便微码盒及时进行更新;
  • 5、其他下载问题请自行搜索教程,这里不一一讲解。

站长声明

本站大部分下载资源收集于网络,只做学习和交流使用,版权归原作者所有;若为付费资源,请在下载后24小时之内自觉删除;若作商业用途,请到原网站购买;由于未及时购买和付费发生的侵权行为,与本站无关。本站发布的内容若侵犯到您的权益,请联系本站删除,我们将及时处理!
0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索