WordPress Elementor插件安全加固:修复文件上传漏洞与CVE-2024-5153

本文介绍了针对WordPress平台Startklar Elementor Addons插件的安全分支。该分支修复了CVE-2024-5153以及多个文件上传漏洞,增强了表单上传功能和反垃圾邮件防护,适用于使用Elementor建站的开发者。

GitHub - Sudo-WP/sudowp-dropzone-elementor: Startklar Elementor Addons 的安全分支。已修补 CVE-2024-5153 及文件上传漏洞。

关于项目

这是一个对 Startklar Elementor Addons 插件的安全分支。已修补 CVE-2024-5153 及文件上传漏洞。

插件信息

=== Startklar Elementor Addons ===

标签: Country code, DropZone, Honeypot 贡献者: WEB-SHOP-HOSTING 测试环境: 6.5.2 稳定版本: 1.7.15 最低PHP要求: 5.6.20 最低WordPress要求: 5.6 许可证: GPLv2 or later 许可证链接: http://www.gnu.org/licenses/gpl-2.0.html 捐赠链接: https://www.paypal.com/donate/?hosted_button_id=J2FXPNSYGWLBE

本插件为 Elementor-PRO Forms 构建器扩展了国家代码选择器、DropZone 和高级 Honeypot 功能。

功能描述

本插件为 Elementor-PRO Forms 构建器新增了三个小工具。

  • 电话国家代码 - 根据国家选择电话前缀
  • DropZone - 拖放式多文件上传字段
  • 高级 Honeypot - 改进的最新垃圾邮件过滤功能

电话国家代码

  • 根据国家显示电话前缀。
  • 提供可搜索的电话前缀选择功能。
  • 支持通过前缀号码和国家名称进行搜索。
  • 使用标准的 WP 语言文件,因此可以根据 WP 内部区域设置的更改来翻译选择器。
  • 国家显示中包含国旗图像,使查找更轻松、界面更丰富。当显示空值时,会基于 IP 识别的地理定位自动确定当前国家。

DropZone

  • 文件将在 Elementor -> 提交记录中显示。
  • 文件可以通过电子邮件发送。

高级 Honeypot - reCaptcha 的更好替代方案 我们在 elementor pro 表单中添加了一个高级 honeypot 小工具。 这个小工具与原生 elementor 小工具非常相似,但有几个非常重要的区别。Elementor 表单字段可以是必填或选填。 发送垃圾邮件的蜘蛛会考虑到陷阱的存在并试图绕过它们,例如,它们会检查表单中是否存在必填字段并只填写这些字段,以避免落入 honeypot 垃圾邮件过滤器。 Elementor 提供的 honeypot 字段只能是选填的,因为如果将其设为必填,普通访问者将无法填写它,因为它不在前端显示(被隐藏),并且浏览器将无法提交表单,因为浏览器会检查必填字段(即使是不可见的字段)。 这样一来,蜘蛛为了绕过 honeypot,就不会填写选填字段。我们的 honeypot 实现方式不同:对于蜘蛛,honeypot 字段始终显示为必填,但随后会通过 JavaScript 移除此属性。 蜘蛛只读取 html,看到该字段是必填的并填写它,这会触发垃圾邮件过滤器。对于真实访问者,该字段是不可见的,JavaScript 会移除该字段的必填属性,即垃圾邮件过滤器不会被激活。 此外,原生 honeypot 字段在 input 标签中直接写入了 display: none; 样式,这明确告诉蜘蛛该字段对用户不可见,是一个潜在的陷阱。 在我们的版本中,honeypot 字段是通过位于公共样式块中的样式隐藏的,蜘蛛很难找到我们的陷阱字段。

安装说明

插件安装。 安装过程与 WordPress 标准安装相同。需要注意的是,必须事先安装并激活 “Elementor” 和 “Elementor PRO” 插件。

插件设置。 设置界面尽可能简单直观。

使用。 插件的使用与在 Elementor Forms 构建器中使用其他表单字段没有区别。

常见问题解答

为什么需要这个插件?Elementor PRO 没有这样的功能吗? Elementor PRO 有制作选择器的功能,但它不包含国家国旗,也不知道如何通过 IP 进行地理定位。此外,我们的插件还实现了自动完成功能。

更新日志

= 1.7.15 =

  • 修复了与 PHP 文件上传相关的漏洞。

= 1.7.14 =

  • 修复了与任意文件上传相关的漏洞。

= 1.7.13 =

  • 新增:实现了新的电话前缀格式化功能。
  • 新增:实现了在后续电话字段中识别电话前缀的功能。

= 1.7.12 =

  • 新增:包含在弹出窗口中利用国家代码选择器的配置。
  • 修复:解决了与 Elementor 中表单数据提交相关的问题。

= 1.7.11 =

  • 新增:在插件描述中添加了导航链接。
  • 新增:在拖放国家选择器配置中添加了直观的图标。

= 1.7.10 =

  • 解决了附件电子邮件发送和文件名编码不一致的问题。

= 1.7.9 =

  • 修正了电话前缀选择器元素在不同表单中的行为。
  • 解决了先前在 Elementor 中编辑时阻碍更改立即可见性的错误。

= 1.7.8 =

  • 新增:添加了隐藏电话号码前缀选择器滚动条的功能。
  • 解决了 Elementor 表单中用于自定义电话号码前缀选择器样式的控制部分的问题。

= 1.7.7 =

  • 新增:添加了对选择器中国家选项进行拖放重新排序的功能。
  • 修复了针对 localhost 的国家/地区判定问题。
  • 新增:添加了用于自定义 Elementor 表单中电话号码前缀选择器样式的控制部分。
  • 解决了电话前缀选择器默认值问题以及文件名中空格编码的问题。
  • 修复了显示为所选项目弹出窗口的标题生成问题。

= 1.7.6 =

  • 小修复

= 1.7.5 =

  • 修复了 Elementor 原生样式覆盖电话前缀选择器的问题。
  • 新增:添加了通过 Elementor 表单字段样式控制面板管理选择器样式的功能。

= 1.7.4 =

  • 新增:添加了以旧格式显示电话前缀的功能(0088 而非 +88)。
  • 新增:添加了在下拉列表中隐藏国旗或国家名称的功能。
  • 新增:添加了指定默认值的功能。
  • 错误修复。

= 1.7.3 =

  • 修复了重复文件命名错误。修复了表单的重新初始化问题。

= 1.7.2 =

  • 名称更改为 Startklar Elementor Addons。
  • 新增:DropZone 和国家代码选择器的视频说明。

= 1.7.1 =

  • 新增:Honeypot 的视频说明。

= 1.7 =

  • 新增:增加了高级 Honeypot 小工具。

= 1.6 =

  • 新增:引入通过电子邮件附加文件的功能。

= 1.5 =

  • 修复了 Dropzone 预览面板中删除按钮消失的问题。

= 1.4 =

  • 修复了阻止服务器端文件上传的错误。

= 1.3 =

  • 在 Elementor Forms 构建器中添加了新的 DropZoneJs 小工具,用于上传文件。

= 1.2 =

  • 样式和小工具显示的微小更改。

= 1.1 =

  • 更新描述和一些链接。

= 1.0 =

  • 首次发布。
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次