儘管WordPress最初只是一個簡單的博客系統,但如今它已發展成為一個完整的內容管理系統(CMS),不僅可以用於博客,而且可以用於幾乎所有內容,數以百萬計的人將其用作個人或企業網站。這主要是由於有數百種可供使用的插件和小部件。 WordPress作為自託管平台所具有的自由性意味著您可以使用它來創建任何網站,無論是簡單的還是複雜的,不同的博客等等,同時還非常易於使用。
為了實現所有這些,WordPress使用了許多不同的插件,尤其是在SEO方面。搜索引擎優化(SEO)是用於增加網站訪問量的最重要工具之一。
SEO最著名的插件之一是Yoast插件。該插件的網站聲稱下載量超過1400萬。人們普遍認為,如果您未安裝WordPress SEO by Yoast插件,則您的WordPress網站將永遠不會有足夠的搜索引擎優化(SEO)。
但是,在此插件中發現了一個巨大的漏洞,該漏洞可能使您的網站處於危險之中,並導致機密數據泄漏。
Yoast的SEO有多安全?
上周,發現了一個重要的Yoast漏洞,該漏洞可能使數百萬個網站面臨受到黑客攻擊的嚴重風險。這個Yoast漏洞是由WordPress漏洞掃描器Ryan Dewhurst的開發人員發現的,它幾乎適用於名為「 WordPress SEO by Yoast」的所有版本的插件。
此漏洞稱為盲SQL注入或SQLi,它可能導致機密信息泄漏,刪除信息或修改重要數據。
根據《黑客新聞》-基本上,在SQLi攻擊中,攻擊者通過客戶端輸入將格式錯誤的SQL查詢插入到應用程序中。」
解釋SQLi攻擊的工作原理!
要知道的重要一點是,並非每個使用Yoast插件的SEO用戶都能成為黑客的受害者。顯然,為了濫用此Yoast漏洞,黑客將需要社會工程學的幫助,以欺騙有權訪問該證書的授權用戶。 ‘admin / class-bulk-editor-list-table.php’ 文件(可在其中找到漏洞)單擊鏈接。可以訪問此文件的授權用戶是Admin,Editor或Author特權用戶。這意味著,黑客可以利用此漏洞的唯一方法是,如果誘使授權用戶單擊鏈接(URL),這將允許黑客創建自己的新管理員帳戶並弄亂或濫用WordPress網站。
如果授權用戶未單擊任何危險的URL,則沒有利用此最新發現的Yoast漏洞的風險。
在大多數以1.7.3.3結尾的版本中都發現了Yoast漏洞。發現兩個Blind SQL注入漏洞的版本。
保護您的WordPress網站的最佳方法是什麼?
當出現類似情況,使數百萬個網站面臨風險時,通常需要快速解決方案。在此信息在整個Internet上傳播之後,立即為用戶提供了許多快速修復方法。
幸運的是,Yoast插件的開發人員團隊迅速發布了新的,固定的和改進的WordPress版本 搜索引擎優化 通過Yoast插件。 Yoast 1.7.4的最新版本WordPress SEO現在可供下載,開發人員保證該版本具有「修復了批量編輯器中可能存在的CSRF和SQL盲注漏洞。」
Yoast和Joost de Valk(yoast.com的所有者和創建者)團隊發布了一份 WordPress SEO安全發布 它指出所有缺陷均已修復。此外,將會有一個 強制自動更新 由於這個問題的嚴重性。免費和高級用戶均可使用此更新。
但是,如果您是WordPress管理員並且禁用了自動更新功能,建議您立即手動通過Yoast插件手動升級WordPress SEO !!!