Ponad milion witryn WordPress zagrożonych z powodu usterki popularnego wtyczki SEO

Ponad milion witryn WordPress, które używają popularnej wtyczki do optymalizacji wyników wyszukiwania, może zostać zhakowany, jeśli nie zastosuje nowo wydanej poprawki.

Wtyczka SEO WordPress opracowana przez holenderską firmę optymalizującą witrynę Yoast zawiera lukę, która umożliwia atakującym manipulowanie bazą danych witryny i dodawanie nieuczciwych kont administracyjnych.

Luka Dewhurst wykryła tak zwaną lukę niewidocznego SQL injection badacz i współtwórca skanera podatności WPScan. Wada ma wpływ na wersje 1.7.3.3 i starsze WordPress SEO firmy Yoast.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Teoretycznie wykorzystanie tej usterki wymaga uwierzytelnienia. Ponieważ jednak nie ma ochrony przed fałszowaniem żądań między witrynami (CSRF), osoba atakująca może wykorzystać tę lukę, nakłaniając uwierzytelnionego użytkownika, takiego jak administrator, redaktor lub autor, do kliknięcia specjalnie spreparowanego linku lub odwiedzenia złośliwej strony. Dewhurst powiedział w poradniku.

Atak CSRF zmusza przeglądarkę użytkownika do wykonania nieautoryzowanego działania na stronie trzeciej, gdy ten użytkownik odwiedza stronę internetową kontrolowaną przez atakującego. Strony internetowe muszą wdrażać specjalne mechanizmy zabezpieczające przed takimi atakami.

Yoast zajął się wadą w środę, wypuszczając wersję 1.7.4 darmowej wtyczki SEO WordPressa i wersję 1.5.3 wersji komercyjnej produktu, która również została naruszona.

Bezpłatna wtyczka SEO WordPress została pobrana ponad 14,2 miliona razy. Według oficjalnych statystyk WordPressa, ma ponad 1 milion aktywnych instalacji, co czyni go nie tylko jedną z najpopularniejszych wtyczek do optymalizacji pod kątem wyszukiwarek (SEO), ale także jedną z najpopularniejszych wtyczek WordPress.