Lebih satu juta laman web WordPress berisiko kerana cacat dalam plug-in SEO popular

Lebih satu juta laman web WordPress yang menggunakan plug-in yang popular untuk mengoptimumkan hasil enjin carian mereka berisiko digodam jika mereka tidak menggunakan patch yang baru dikeluarkan

Plugin SEO WordPress yang dibangunkan oleh firma pengoptimuman laman web negara Yoast mengandungi kerentanan yang membolehkan penyerang untuk memanipulasi pangkalan data tapak dan menambah akaun pentadbiran yang nakal.

Kelemahan suntikan SQL yang dipanggil blinded oleh Ryan Dewhurst, keselamatan penyelidik dan pemaju bersama pengimbas kerentanan WPScan. Kesilapan memberi kesan kepada versi 1.7.3.3 dan lebih lama dari WordPress SEO oleh Yoast.

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows Anda]

Secara teori, mengeksploitasikan kekurangan memerlukan pengesahan. Walau bagaimanapun, kerana tidak ada perlindungan pemalsuan permintaan silang tapak (CSRF), penyerang boleh memanfaatkan kecacatan itu dengan mengesan pengguna yang disahkan seperti pentadbir, editor atau penulis-untuk mengklik pautan yang dibuat khusus atau untuk melawat halaman berniat jahat, Dewhurst berkata dalam nasihat.

Serangan CSRF melibatkan memaksa penyemak imbas pengguna untuk melaksanakan tindakan yang tidak dibenarkan di laman web pihak ketiga apabila pengguna tersebut melawat laman web yang dikawal oleh penyerang. Laman web mesti melaksanakan mekanisme perlindungan khas untuk mencegah serangan tersebut.

Yoast mengatasi masalah cacat pada hari Rabu dengan melepaskan versi 1.7.4 dari plug-in SEO dan versi 1.5.3 percuma varian komersial produk, yang turut terjejas.

Plugin SEO WordPress percuma telah dimuat turun sebanyak 14.2 juta kali. Menurut statistik rasmi WordPress, ia mempunyai lebih dari 1 juta pemasangan aktif, menjadikannya bukan hanya salah satu pemalam yang paling popular untuk pengoptimuman enjin carian (SEO), tetapi salah satu pemalam WordPress yang paling popular secara keseluruhan.