Elementor是领先的WordPress网站构建器，为全球超过1600万个网站提供支持，使用Elementor能够构建专业、像素完美的网站。通过直观的无代码拖放界面，可以构建任何网站。Elementor是非常牛B的创业者工具，对技术人员来说，是非常和心应手的创作工具。不过，不懂技术的小白使用起来，还是有些门槛的，需要花些时间来学习一下。

Elementor在WordPress官网插件中心有超过500万个安装量，是WordPress使用量最大的插件之一，不过Elementor最近也曝出了几次安全事件，在些提醒各位使用Elementor的兄弟们，Elementor好用，但是一定要记得即时更新到最新版本，如果不能做到即时同步更新，最好不要用。

下面来回顾一下Elementor的几次安全事件：

2022年4月16日：Elementor远程代码执行漏洞

WordPressElementor页面构建插件发布3.6.3版本，修复了一个远程代码执行漏洞。该漏洞可能影响多达50万个网站。安全研究人员认为，任何登录到有漏洞网站的用户都可以利用它，包括普通用户。未登录的用户也可能利用该漏洞，但尚未证实这种情况。攻击者在存在漏洞的网站上创建一个正常账户，可以改变受影响网站的名称和主题，使其看起来完全不同。

2024年3月31日：安全研究人员发现Elementor Website

Builder及其专业版中存在的六个独特的XSS漏洞。这些漏洞可能允许攻击者注入恶意脚本。这六个漏洞都是由于Elementor方面的安全性不足造成的，都是不同的，彼此完全无关。

2024年4月9日：提醒用户警惕11个Elementor关联插件的漏洞风险。

这些插件存在存储跨站脚本(XSS)漏洞，通常是由输入数据保护方式(输入清理)以及输出数据锁定方式(输出转义)方面的缺陷引起的。建议用户在创建网站内容时，尽可能地避免使用上述插件以免造成不必要的损失。