Vor kurzem wurde ein Sicherheitsupdate für das WordPress All in One SEO Pack-Plugin veröffentlicht. Dieses Update ist eine Folge einer schwerwiegenden Sicherheitsanfälligkeit im All-in-One-SEO-Pack-Plug-In , mit der Benutzer Berechtigungen eskalieren können.
Wenn Sie dieses Plugin verwenden, aktualisieren Sie die neue Version so schnell wie möglich, um Sicherheitsprobleme in Ihrem WordPress-Blog zu vermeiden.
Beschreibung der Sicherheitslücke im All in One SEO Pack für WordPress Plugin
Grundsätzlich betrifft das Sicherheitsproblem nur die WordPress-Blogs, die Abonnenten, Autoren, Mitbearbeiter usw. haben. Mit anderen Worten, es betrifft die Blogs, die jedem Benutzer den Zugriff auf wp-admin , z. B. die Blogs mit der öffentliche Aufzeichnungen aktiviert. Wenn in Ihrem Fall die Datensätze geschlossen sind und Sie keine Redakteure oder Mitarbeiter haben, sollten Sie keine Probleme haben, aber dennoch ist es ratsam, zu aktualisieren.
Bei der Prüfung des Plugin-Codes wurden zwei Sicherheitslücken gefunden, die es ermöglichen, sie durch XSS-Angriffe und die Eskalation von Berechtigungen auszunutzen .
Im ersten Fall kann jeder Benutzer mit Zugriff auf wp-admin , unabhängig davon, ob ein Abonnent, Autor, Mitbearbeiter usw. (es ist nicht erforderlich, über Administratorrechte zu verfügen), einige Parameter ändern, die vom Plugin für Einträge verwendet werden, z. SEO-Titel, etc … Wenn dies von einem böswilligen Benutzer gemacht würde, würde dies zum Verlust von Suchmaschinenpositionen führen .
Mit der zweiten Sicherheitslücke können Sie böswilligen Javascript-Code einschleusen , um beispielsweise das Administratorkennwort zu ändern, und nach dem Zugriff auf den WordPress-Desktop andere Aktivitäten ausführen (Dateien löschen oder ändern, Malware einschleusen, Befehle auf dem Server ausführen usw.).
Abschließende Empfehlungen
Um eine gewisse Sicherheitslücke im All-in-One-SEO-Pack-Plugin zu vermeiden, ist die Aktualisierung des Plugins die einzig zuverlässige Möglichkeit.
Wieder einmal stoßen wir in WordPress auf ein Sicherheitsproblem, das von einem Plugin eingeführt wurde, und diesmal auf ein bekanntes Plugin, das sogar eine kostenpflichtige Version hat. Dies zeigt einmal mehr, dass die Plugins, die eine Premium- oder eine kostenpflichtige Version haben, keine umfassenderen Sicherheitskontrollen haben als die kostenlosen und Open-Source-Plugins.
Es ist wahr, dass jedes SEO-Plugin seine Anhänger und Kritiker hat, aber ich nutze die Gelegenheit, um das SEO-Plugin zu empfehlen, das wir in Vozidea, WordPress SEO by Yoast, verwenden . Dieses Plugin ist kostenlos und wenn wir es mit einer guten SEO OnPage kombinieren, werden gute Ergebnisse erzielt.