Wykryto naruszenie bezpieczeństwa w wtyczce WordPress SEO by Yoast!
Optymalizacja pod kątem wyszukiwarek internetowych, znana SEO , umożliwia Google wyświetlanie naszej strony internetowej przed innymi setkami milionów witryn. Dlatego redaktorzy blogów korporacyjnych i osobistych tak bardzo martwią się o widoczność.
Jeśli używasz WordPressa, prawdopodobnie zainstalujesz „ WordPress SEO by Yoast ”, najsłynniejszą wtyczkę, która obsługuje to zadanie i ma ponad 14 milionów pobrań. Niezbędne narzędzie dla każdego blogera, pomaga wyświetlać słowa kluczowe postu, nagłówek i intro, ułatwiając wyszukiwarce i robotowi indeksowanie stron do przeczytania.
Jeśli masz to, powinieneś wiedzieć, że niedawno odkryto pewne luki, które mogą zostać wykorzystane przez każdego napastnika, aby dostać się na twój blog. Jeśli myślisz teraz o odinstalowaniu lub zmiana haseł , ponieważ nie możesz zrobić nic innego, nie martw się: już rozwiązali problem. Teraz oczywiście będziesz musiał pobrać aktualizację wkrótce!
Ekspert ds. Bezpieczeństwa Ryan Dewhurst ostrzegł o problemie kilka dni temu. Pracuje dla WPScan , narzędzia bezpieczeństwa o otwartym kodzie źródłowym, które pozwala specjalistom ds. Bezpieczeństwa i administratorom sieci oceniać luki w zabezpieczeniach WordPress .
Dewhurst stwierdził, że cyberprzestępca może złamać bezpieczeństwo bazy danych i uzyskać poufne informacje poprzez atak SQL injection w wersji 1.7.4. (wersja 1.5.3. dla tych, którzy opłacili abonament premium). Ponadto wszystkie poprzednie wersje były również podatne na ataki.
Luka bezpieczeństwa , w najprostszym ujęciu, umożliwiłaby odpytywanie bazy danych bloga, co naraziłoby przechowywane informacje (na przykład nazwy użytkowników i hasła autorów i subskrybentów). Nawet ta luka może zostać wykorzystana do zainfekowania użytkowników witryny za pomocą złośliwego oprogramowania.
Eksperci ds. Bezpieczeństwa wtyczek rozwiązali ten problem w ciągu 90 minut od jego uzyskania. Poprawili lukę i zaoferowali aktualizację w wersji 1.7.4. który przychodzi bez tej cholernej luki bezpieczeństwa i możesz go pobrać ręcznie ze swojej strony internetowej.
Ludzie odpowiedzialni za „ WordPress SEO by Yoast ” podziękowali Dewhurstowi za opublikowanie swoich odkryć i poprosili użytkowników o jak najszybsze pobranie tej aktualizacji, aby zachować bezpieczeństwo.
Ponadto istnieje znacznie wygodniejszy sposób aktualizacji wszystkich wersji bez konieczności patrzenia. Jeśli masz już zainstalowany program WordPress w wersji 3.7 lub nowszej, możesz zamówić wtyczki do automatycznej instalacji aktualizacji, dzięki czemu nie musisz się o nie martwić. Możesz to zrobić za pomocą „ Zaawansowane aktualizacje automatyczne " opcja.