WordPress – Yoast SEO Plugin Vulnerabilidade

[ad_1]

Embora WordPress começou como um sistema de blogs simples, hoje ele tornou-se um sistema de gerenciamento de conteúdo completo (CMS) que pode ser usado não só para blogs, mas para praticamente qualquer coisa, com milhões de pessoas a usá-lo como um pessoal ou empresarial site. Isto é principalmente devido às centenas de plugins e widgets que estão disponíveis para uso. A liberdade que o WordPress tem como uma plataforma auto-hospedado significa que você pode usá-lo para criar qualquer site, simples ou complexa, diferentes blogs, e muito mais, enquanto ser incrivelmente fácil de usar.

A fim de conseguir tudo isso, o WordPress utiliza muitos plugins diferentes, especialmente quando se trata de SEO. Search engine optimization (SEO) é uma das mais importantes ferramentas utilizadas para aumentar o tráfego em um site. [1.999.003] [1.999.002] Um dos plugins mais conhecidos para SEO é o plugin Yoast. Este plugin tem mais de 14 milhões de downloads como suas reivindicações site. É uma crença difundida de que seu site WordPress nunca terá o suficiente Search Engine Optimization (SEO), se você não tem o WordPress SEO por Yoast plugin instalado. [1.999.003]

No entanto, uma falha enorme foi descoberto neste plugin que pode colocar o seu site em perigo e causar vazamento de dados confidenciais.

O quão seguro é SEO por Yoast?

Na semana passada, uma vulnerabilidade importante Yoast foi descoberto que poderia ter colocado a milhões de sites em risco crítico de ser atacado por hackers. Esta vulnerabilidade Yoast foi descoberto por um desenvolvedor do scanner de vulnerabilidade WordPress Ryan Dewhurst, e aplica-se a quase todas as versões dos plug-ins que vão pelo nome de “WordPress SEO por Yoast”.

Esta vulnerabilidade é chamado de injeção SQL cego, ou SQLi, o que poderia causar vazamento de informações confidenciais, a exclusão de informações, ou modificar dados importantes

De acordo com The Hacker News -. “ Basicamente no ataque SQLi, um atacante insere uma consulta SQL malformado em um aplicativo via de entrada do lado do cliente. “

Explicando como um ataque SQLi funciona!

Uma coisa importante a saber é que nem todos os utilizadores do SEO por Yoast plugin pode se tornar uma vítima de hackers. Evidentemente, a fim de abusar essa vulnerabilidade Yoast, o hacker vai precisar da ajuda de engenharia social para enganar os usuários autorizados, que têm acesso à ‘admin / class-bulk-editor-list-table.php’ arquivo (isto é onde a vulnerabilidade é encontrada) a clicar em um link. Os utilizadores autorizados que podem acessar este arquivo são do Administrador, Editor, ou autor usuários privilegiados. Isto significa que a única maneira que um hacker pode usar esta falha é se o usuário autorizado é levado a clicar em um link (URL) que permitirá então que o hacker para criar a sua própria nova conta de administrador e estragar ou abusar site do WordPress.

Se o usuário autorizado não clique em nenhum urls perigosas, não há risco de exploração desta vulnerabilidade descoberta recentemente Yoast.

Esta vulnerabilidade Yoast foi encontrado na maioria das versões que terminam com o 1.7.3.3. Versão onde duas vulnerabilidades de injeção de Cegos SQL foram encontrados.

Qual é a melhor maneira de proteger o seu site WordPress?

Quando algo como isto vem à tona que coloca em milhões de risco de sites por aí, uma solução rápida é muitas vezes necessário. Imediatamente após esta informação se espalhou por toda a internet, muitas rápidos fix-ups foram oferecidos para os usuários.

Felizmente, a equipe de desenvolvedores do plugin Yoast conseguiu emitir rapidamente uma nova versão fixa e melhorada do WordPress SEO por Yoast plugin. A última versão do WordPress SEO por Yoast 1.7.4 já está disponível para download e os desenvolvedores prometem que esta versão tem “[1.999.011] [1.999.018] CSRF possível fixo e vulnerabilidades de injeção SQL cegas no editor granel. [1.999.019] [1.999.012]”

A equipe de Yoast e Joost de Valk (o proprietário e criador de yoast.com) emitiram um comunicado WordPress SEO Segurança onde ele afirma que todas as falhas foram corrigidos. Além disso, haverá um atualização automática forçada devido à gravidade desta questão. Esta actualização estará disponível tanto para usuários gratuitos e premium.

No entanto, se você for um administrador WordPress e você tem o recurso de atualização automática desativada, é recomendado que você atualize imediatamente o seu WordPress SEO por Yoast o plugin manualmente !!!

[ad_2]

Source by Dobrica Nastova

About the Author