我还没有找到替代者,但对安全问题并不满意。所以我做了一个补丁。请注意,以下补丁可能会破坏某些高级短代码选项。我不使用它们中的任何一个,所以我所做的就是清理每个HTML。
从插件的/includes/class-widget-shortcode.php中的第144行开始。
“before_widget”=>“<”。esc_html($container_tag)。'id=“'.esc_html($container_id).'”class=“'.esco_html,“before_title”=>“<”。esc_html($title_tag)。'class=“'.esc_html($title_class).'”>',“after_title”=>“</”。esc_html($title_tag).'>',“after_widget”=>“</”。esc_html($container_tag).'>',
如您所见,我用esc_html函数包装了每个短代码选项,以从输入中去除任何html。如果你在css_class中使用html,它会破坏一切。但是如果你只使用插件在你的站点上放置具有基本短代码结构的小部件,比如[widget id=“text-2”],那么它仍然可以工作并且是安全的。
如果您这样做,我还建议您编辑主文件init.php中的版本号,以便站点扫描不会显示易受攻击的版本号。
