尽管WordPress最初只是一个简单的博客系统,但如今它已发展成为一个完整的内容管理系统(CMS),不仅可以用于博客,而且可以用于几乎所有内容,数以百万计的人将其用作个人或企业网站。这主要是由于有数百种可供使用的插件和小部件。 WordPress作为自托管平台所具有的自由性意味着您可以使用它来创建任何网站,无论是简单的还是复杂的,不同的博客等等,同时还非常易于使用。
为了实现所有这些,WordPress使用了许多不同的插件,尤其是在SEO方面。搜索引擎优化(SEO)是用于增加网站访问量的最重要工具之一。
SEO最著名的插件之一是Yoast插件。该插件的网站声称下载量超过1400万。人们普遍认为,如果您未安装WordPress SEO by Yoast插件,则您的WordPress网站将永远不会有足够的搜索引擎优化(SEO)。
但是,在此插件中发现了一个巨大的漏洞,该漏洞可能使您的网站处于危险之中,并导致机密数据泄漏。
Yoast的SEO有多安全?
上周,发现了一个重要的Yoast漏洞,该漏洞可能使数百万个网站面临受到黑客攻击的严重风险。这个Yoast漏洞是由WordPress漏洞扫描器Ryan Dewhurst的开发人员发现的,它几乎适用于名为“ WordPress SEO by Yoast”的所有版本的插件。
此漏洞称为盲SQL注入或SQLi,它可能导致机密信息泄漏,删除信息或修改重要数据。
根据《黑客新闻》-基本上,在SQLi攻击中,攻击者通过客户端输入将格式错误的SQL查询插入到应用程序中。”
解释SQLi攻击的工作原理!
要知道的重要一点是,并非每个使用Yoast插件的SEO用户都能成为黑客的受害者。显然,为了滥用此Yoast漏洞,黑客将需要社会工程学的帮助,以欺骗有权访问该证书的授权用户。 ‘admin / class-bulk-editor-list-table.php’ 文件(可在其中找到漏洞)单击链接。可以访问此文件的授权用户是Admin,Editor或Author特权用户。这意味着,黑客可以利用此漏洞的唯一方法是,如果诱使授权用户单击链接(URL),这将允许黑客创建自己的新管理员帐户并弄乱或滥用WordPress网站。
如果授权用户未单击任何危险的URL,则没有利用此最新发现的Yoast漏洞的风险。
在大多数以1.7.3.3结尾的版本中都发现了Yoast漏洞。发现两个Blind SQL注入漏洞的版本。
保护您的WordPress网站的最佳方法是什么?
当出现类似情况,使数百万个网站面临风险时,通常需要快速解决方案。在此信息在整个Internet上传播之后,立即为用户提供了许多快速修复方法。
幸运的是,Yoast插件的开发人员团队迅速发布了新的,固定的和改进的WordPress版本 搜索引擎优化 通过Yoast插件。 Yoast 1.7.4的最新版本WordPress SEO现在可供下载,开发人员保证该版本具有“修复了批量编辑器中可能存在的CSRF和SQL盲注漏洞。”
Yoast和Joost de Valk(yoast.com的所有者和创建者)团队发布了一份 WordPress SEO安全发布 它指出所有缺陷均已修复。此外,将会有一个 强制自动更新 由于这个问题的严重性。免费和高级用户均可使用此更新。
但是,如果您是WordPress管理员并且禁用了自动更新功能,建议您立即手动通过Yoast插件手动升级WordPress SEO !!!