Наша команда-партнер Artmisto
Главный подвиг был обнаруженный в чрезвычайно популярном плагине SEO WordPress, WordPress SEO от Yoast , Все блоги WordPress, которые в настоящее время используют этот плагин SEO, необходимо обновить до последней версии.
это эксплуатировать означает, что блоги, использующие WordPress и этот плагин, уязвимы для слепой инъекции SQL. Этот конкретный эксплойт требует, чтобы пользователь вошел в систему, однако, поскольку другие эксплойты могут сделать сайты уязвимыми для мошеннического пользователя, получившего права администратора, редактора или автора, а также возможность фишинга получить доступ к логину, это означает, что пользователи этого плагина должны обновить это сразу.
Вы затронуты? Все версии WordPress для SEO от Yoast до версии 1.7.3.3 уязвимы для этого эксплойта. Обновленная версия 1.7.4 была вышел сегодня, 11 марта 2015 года, который решает проблему.
Исправление безопасности: исправлены возможные уязвимости CSRF и слепого внедрения SQL в массовом редакторе. Добавлена строгая санитария для order_by и параметров заказа. Добавлены дополнительные проверки nonce для запросов, отправляющих дополнительные параметры. Минимальная возможность, необходимая для доступа к редактору, теперь Редактор. Спасибо Райан Дьюхерст от WPScan за обнаружение и ответственное раскрытие этой проблемы.
Нет никаких признаков того, что этот эксплойт использовался для использования веб-сайтов с помощью этого плагина, однако теперь, когда информация об уязвимости выпущена, это лишь вопрос времени, когда хакеры начнут пытаться воспользоваться теми, кто использует этот плагин, которые не обновил его недавно.
Пользователи, которые используют функцию автоматического обновления для плагинов WordPress, должны проверить, что она была обновлена до версии 1.7.4, или обновить ее вручную, чтобы сделать это.
WordPress SEO от Yoast - один из самых популярных плагинов для SEO, имеющий более миллиона активных установок и почти половина всех сайтов WordPress один из трех самых популярных плагинов SEO , И с Google теперь помечает сайты которые были использованы через уязвимые плагины WordPress, стоит обновить немедленно.
Добавлено: если у вас включено автоматическое обновление, WordPress.org выдвинул автоматическое обновление из-за серьезности проблемы.
Из-за серьезности проблемы команда WordPress.org выпустила принудительное автоматическое обновление (спасибо!). Если вы специально не отключили их, и вы были:
- на 1.7 или выше вы будете автоматически обновлены до 1.7.4.
- Если вы работали на 1.6. *, Вы будете обновлены до 1.6.4.
- Если вы работали на 1.5. *, Вы будете обновлены до 1.5.7.
Если вы используете более старую версию, мы не можем автоматически обновить вас, но вы должны действительно обновить по множеству причин. Конечно, вы должны действительно перейти на 1.7.4, как только сможете.
Следующие две вкладки изменяют содержимое ниже.
Дженнифер Слегг - давний спикер и эксперт по маркетингу в поисковых системах, работающая в отрасли почти 20 лет. Когда она не сидит за письменным столом и не работает, ее можно найти, схватив латте в местном Starbucks или планируя следующую поездку в Диснейленд. Она регулярно выступает в Pubcon, SMX, State of Search, Brighton SEO и др. И более десяти лет выступает на конференциях.
Вы затронуты?