虽然 WordPress 最初是一个简单的博客系统,但如今它已经发展成为一个完整的内容管理系统 (CMS),不仅可以用于博客,还可以用于几乎所有内容,被数百万人使用 将其用作个人或企业网站。这主要是因为有数百个可用的插件和小部件。 WordPress 作为自托管平台提供的自由意味着您可以使用它来创建任何网站,无论是简单的还是复杂的,不同的博客等,同时都非常易于使用。
为了实现这一切,WordPress 使用了许多不同的插件,尤其是在 SEO 方面。搜索引擎优化 (SEO) 是用于增加网站流量的最重要工具之一。
最著名的 SEO 插件之一是 Yoast 插件。该插件的网站声称下载量超过 1400 万次。人们普遍认为,如果您没有安装 Yoast 插件的 WordPress SEO,您的 WordPress 网站将永远无法获得足够的搜索引擎优化 (SEO)。
但是,在这个插件中发现了一个巨大的漏洞,可能会使您的网站面临风险并导致机密数据泄露。
Yoast 对于 SEO 的安全性如何?
上周,发现了一个严重的 Yoast 漏洞,可能使数百万网站面临被黑客攻击的严重风险。这个 Yoast 漏洞是由 WordPress 漏洞扫描器的开发者 Ryan Dewhurst 发现的,它适用于几乎所有版本的名为“WordPress SEO by Yoast”的插件。
此漏洞称为盲目 SQL 注入或 SQLi,可能导致机密信息泄露、信息删除或重要数据修改。
根据黑客新闻 - 基本上,在 SQLi 攻击中,攻击者通过客户端输入将格式错误的 SQL 查询插入到应用程序中。 "
解释了 SQLi 攻击的工作原理!
重要的是要知道,并不是每个使用 Yoast 插件的 SEO 用户都会成为受害者给黑客。显然,为了利用这个 Yoast 漏洞,黑客需要借助社会工程学来欺骗有权访问证书的授权用户。'admin/class-bulk-editor-list-table .php' 文件(可以找到漏洞的地方)单击链接。可以访问此文件的授权用户是 Admin、Editor 或 Author 特权用户。这意味着,黑客利用此漏洞的唯一方法是 Convince 授权用户单击链接 (URL),这将允许黑客创建自己的新管理员帐户并扰乱或滥用 WordPress 网站。
如果授权用户不单击任何危险的 URL,则存在没有利用这个新发现的 Yoast 漏洞的风险。
在大多数以 1.7.3.3 结尾的版本中发现了 Yoast 漏洞。两个版本 o f 发现了盲 SQL 注入漏洞。
保护 WordPress 站点的最佳方法是什么?
当出现类似情况时,投入数百万美元存在风险的网站,通常需要快速解决方案。 Here 在信息传遍整个 Internet 后,用户立即获得了一些快速修复。
幸运的是,Yoast 插件的开发团队迅速发布了一个新的、修复和改进的 WordPress 版本搜索引擎通过 Yoast 插件优化。最新版 Yoast 1.7.4 WordPress SEO 现已开放下载,开发者承诺该版本“修复了批量编辑器中可能存在的 CSRF 和 SQL 盲注漏洞。 ”
Yoast 和 Joost de Valk(yoast.com 的所有者和创建者)团队发布了 WordPress SEO 安全版本,其中声明所有错误均已修复。此外,还将有一个由于此问题的严重性,强制自动更新。此更新适用于免费和高级用户。
但是,如果您是 WordPress 管理员并且已禁用自动更新功能,建议您立即通过Yoast插件手动升级WordPress SEO!!!
