Уязвимость в WordPress — Yoast SEO Plugin

Хотя WordPress начинался как простая система ведения блогов, сегодня он превратился в полноценную систему управления контентом (CMS), которую можно использовать не только для ведения блогов, но и практически для всего, причем миллионы людей используют ее в качестве личного или делового веб-сайта. Это в основном связано с сотнями плагинов и виджетов, которые доступны для использования. Свобода, которую WordPress имеет в качестве самообслуживаемой платформы, означает, что ее можно использовать для создания любого простого или сложного веб-сайта, различных блогов и многих других элементов, и в то же время чрезвычайно простого в использовании.

Чтобы достичь этого, WordPress использует множество различных плагинов, особенно когда речь идет о SEO. Позиционирование сайта (SEO) является одним из наиболее важных инструментов для увеличения посещаемости сайта.

Одним из самых известных плагинов для SEO является плагин Yoast. Этот плагин имеет более 14 миллионов загрузок, согласно их веб-сайту. Широко распространено убеждение, что на вашем WordPress-сайте никогда не будет достаточно оптимизации для поисковых систем (SEO), если у вас не установлен WordPress SEO после установки плагина Yoast.

Однако этот плагин обнаружил огромную уязвимость, которая может подвергнуть ваш сайт риску и вызвать утечку конфиденциальных данных.

Насколько безопасен SEO через Yoast?

На прошлой неделе в Yoast была обнаружена серьезная уязвимость, которая может стать причиной атаки хакеров на миллионы сайтов с критическим риском. Эта уязвимость в Yoast была обнаружена программистом сканера уязвимостей WordPress Райаном Дьюхерстом и применяется почти ко всем версиям плагинов под названием «WordPress SEO от Yoast».

Эта уязвимость называется внедрением невидимого SQL или SQLi, что может привести к утечке конфиденциальной информации, удалению информации или изменению важных данных.

По сообщению The Hacker News — »По сути, при атаке SQLi злоумышленник вставляет искаженный SQL-запрос в приложение, вводя его на стороне клиента. "

Объясняя действие атаки SQLi!

Важно то, что не каждый пользователь SEO с помощью плагина Yoast может стать жертвой хакеров. Конечно, чтобы воспользоваться этой уязвимостью в Yoast, хакеру понадобится помощь социальной инженерии, чтобы обмануть авторизованных пользователей, имеющих доступ к "admin / class-bulk-editor-list-table.php" файл (здесь была обнаружена уязвимость), чтобы перейти по ссылке. Авторизованными пользователями, имеющими доступ к этому файлу, являются пользователи с правами администратора, редактора или автора. Это означает, что единственный способ, которым хакер может воспользоваться этой уязвимостью, — это разрешить пользователю щелкнуть ссылку (URL), которая позволит хакеру создать новую учетную запись администратора и испортить или злоупотребить сайтом WordPress.

Если авторизованный пользователь не нажимает на какие-либо опасные URL-адреса, нет риска использовать эту недавно обнаруженную уязвимость Yoast.

Уязвимость в Yoast была обнаружена в большинстве версий, заканчивающихся на версии 1.7.3.3. версия, в которой были обнаружены две невидимые дыры для SQL-инъекций.

Каков наилучший способ защитить ваш сайт WordPress?

Когда есть что-то, что угрожает миллионам веб-сайтов, часто требуется быстрое решение. Сразу после распространения этой информации через Интернет пользователям было предложено множество быстрых исправлений.

К счастью, команда программистов плагинов Yoast быстро выпустила новую, улучшенную и улучшенную версию WordPress. SEO через плагин Yoast. Последняя версия WordPress SEO от Yoast 1.7.4 теперь доступна для скачивания, и разработчики обещают, что эта версия имеет "Исправлены возможные уязвимости CSRF и невидимый SQL в накопительном редакторе."

Команда Yoast и Joost de Valk (владелец и создатель yoast.com) выпустили релиз WordPress SEO Security, в котором говорится, что все уязвимости были исправлены. Кроме того, он появится принудительное автоматическое обновление из-за серьезности проблемы. Это обновление будет доступно как для бесплатных, так и для премиум-пользователей.

Однако, если вы являетесь администратором WordPress и у вас отключена функция автоматического обновления, рекомендуется немедленно обновить WordPress SEO с помощью плагина Yoast вручную !!!

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *