Уязвимость в плагине All in One SEO Pack

Иногда привычка читать RSS-записи интересных мне подписок и сайтов раз в неделю может стоить взломанного сайта, если не моего, т.к. моих клиентов или читателей… Есть над чем призадуматься.

31 мая 2014 команда Sucuri во время аудита известнейшего плагина All in One SEO Pack нашла две уязвимости, использование которых может навредить работе вашего сайта очень и очень сильно.

Предлагаю ознакомиться с вольным переводом заметки с их блога.

Уязвимость в плагине All in One SEO Pack

В чём заключается опасность?

Суть простая: если на вашем сайте есть пользователи с ролями «Подписчик», «Автор» или любые другие, имеющие доступ к панели вашего WordPress, тогда ваш сайт в зоне риска. Если на вашем сайте имеется открытая регистрация — то вы в зоне риска тоже.

Обнаруженные уязвимости дают возможность атакующему изменить свои права на вашем сайте и провести XSS-атаку.

В первом случае, авторизованный пользователь на вашем сайте, без наличия соответствующих прав, может добавить или изменить определённые параметры, используемые плагином AIOSP. Это относится к SEO-заголовку, описанию (description) и мета-тегам. Всё это прямым образом может повлиять на позиции вашего сайта в поисковой выдаче.

Как решить проблему?

Всё просто — обновитесь до самой последней версии плагина, в которой эти уязвимости уже исправлены. И я не устаю повторять каждый раз в таких ситуациях — если выходит новая версия плагина, значит нужно обновиться. Но не забывайте о своевременном создании резервных копий вашего WordPress.

Если же вы давно думали о том, чем заменить этот плагин, то рекомендую ознакомиться с моей инструкцией по настройке другого популярного плагина — WordPress SEO by Yoast.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Комментарии

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: