擁有超過200萬用戶的Rank Math SEO外掛程式最近修復了一個跨站腳本漏洞,該漏洞允許攻擊者上傳惡意腳本並發動攻擊。
排名數學 SEO 插件
Rank Math 是一個受歡迎的 SEO 插件,安裝在超過 200 萬個網站上。 它具有一系列令人驚嘆的功能,包括關鍵字追蹤、Schema.org 結構化資料整合、Google 搜尋控制台和分析整合、重定向管理器以及其他功能,這些功能使得使用其他不必要的插件進行技術或頁面搜尋引擎優化。
用戶欣賞的一個流行功能是這是一個模組化插件,這意味著用戶可以選擇他們需要的功能並停用他們不需要的功能,這可以幫助網站運行得更快。
許多人轉向 Rank Math 作為 Yoast 的替代品。 兩者之間的比較表明,Rank Math 更小(61.1k 行程式碼,而 Yoast 為 97.1k 行),並且使用更少的伺服器資源(+0.35MB 內存,而 Yoast 則+1, 62 MB)。
經過身份驗證的儲存站點之間的腳本編寫
Wordfence WordPress 安全研究人員發布了關於 Rank Math SEO 外掛程式中存在漏洞的警告,該漏洞可能會導致儲存的跨站腳本 (XSS) 漏洞。
儲存的 XSS 漏洞允許攻擊者上傳惡意腳本並攻擊瀏覽器,導致會話 cookie 被盜,從而允許未經授權存取網站並危及敏感資料。
進出排氣衛生不夠
此漏洞的根源是入站和出站清理不足。 這些是允許使用者上傳或輸入資料的插件區域中發生 XSS 漏洞的常見原因。
清理輸入資料就像過濾掉不需要的輸入類型,例如腳本或 HTML,其中只需要文字輸入。 輸出轉義是驗證網站輸出以阻止不需要的輸出(例如惡意腳本)到達網站瀏覽器的過程。
Wordfence 警告:
「在1.0.214 及之前的所有版本中,帶有AI SEO 工具的WordPress Rank Math SEO 外掛程式很容易受到使用HowTo 區塊屬性儲存的跨網站腳本的影響,因為輸入淨化和轉義輸出到使用者提供的屬性的不足。
這使得具有貢獻者級別及以上訪問權限的經過身份驗證的攻擊者可以將任意 Web 腳本注入到頁面中,每當用戶訪問注入的頁面時就會執行這些腳本。”
Rank Math 的更新變更日誌負責任地承認您的外掛程式中發生的變更以及更新的原因。 這種透明度使插件使用者可以了解給定更新的重要性,並就更新的緊迫性做出明智的決定。
變更日誌標識了已修補的漏洞:
「改進:插件的 HowTo 區塊的安全性得到了加強,以防止具有後期編輯存取權限的使用者潛在的利用。 謝謝 [WordFence]
(https://www.wordfence.com/) 進行負責任的揭露”
閱讀Wordfence官方通知:
使用 AI SEO 工具對數學 SEO 進行排名 <= 1.0.214:使用屬性鎖定驗證儲存的跨站點腳本(貢獻者+)
精選圖片由 Shutterstock/Roman Samborskyi 提供
