一个流行的 WordPress 插件的开发者已经更新了他的产品来修复一个关键的漏洞，这个漏洞可能被用来改变网站的外观。

Elementor 作为 WordPress 的一个领先的网站建设平台进行营销，使超过500万用户能够轻松地为自己或他们的业务创建网站，而无需编写任何代码。

然而，上周安全公司 Plugin vulnerability 的研究人员发现了与该插件有关的可疑活动。

该公司解释说: “我们找不到任何近期披露的漏洞可以解释这一点，所以我们开始进行标准检查，以防黑客利用插件中一个无法修复的漏洞。”。

“我们马上发现，插件没有处理基本的安全权利，因为我们发现许多功能缺少功能检查，而这些功能不应该缺少。虽然有些用户无法访问，但我们发现至少有一个可以访问，而且可访问的功能导致了最严重的漏洞类型之一——远程代码执行(RCE)。”

原来这个 bug 是在3月22日发布的3.6.0版本中引入的，这意味着大约有150万用户受到了影响。

插件漏洞警告说: 这个漏洞可以被通过身份验证的攻击者利用，他们可以访问 WordPress 的管理仪表板，但是也有可能被没有登录的威胁者利用。

它似乎使攻击者可以通过改变元素，包括名称、徽标、图像和主题，完全改变目标网站的外观。

幸运的是，Elementor 现在已经发布了3.6.3版本来解决这个问题，用户应该下载这个版本。插件漏洞公布了一个概念验证，使修补更加紧迫。

K2网络安全首席执行官 Pravin Madhani 说，运行 WordPress 网站的组织必须提高安全性。

“ WordPress 驱动了互联网上三分之一的网站，包括一些流量最大的网站和大量的电子商务网站，那么为什么它们不能更好地防御攻击呢?”他争辩道。

“为了获得最大程度的保护，使用 WordPress 的组织应该确保他们在深度上使用安全性，包括应用程序、网络和系统级别的安全性。最后，任何组织都可以做的最简单的事情，以帮助减少漏洞是保持他们的代码更新和修补。”