پلاگین Rank Math SEO با بیش از 2 میلیون کاربر اخیراً یک آسیبپذیری Stored Cross-Site Scripting را اصلاح کرده است که به مهاجمان اجازه میدهد اسکریپتهای مخرب را آپلود کنند و حملات را انجام دهند.
پلاگین ریاضی رتبه سئو
Rank Math یک افزونه محبوب SEO است که بر روی بیش از 2 میلیون وب سایت نصب شده است. این دارای طیف باورنکردنی از ویژگیهای اعم از ردیابی کلمات کلیدی، ادغام دادههای ساختار یافته Schema.org، ادغام کنسول جستجوی گوگل و آنالیتیکس، مدیر تغییر مسیر و سایر ویژگیهایی است که نیازی به استفاده از افزونههای دیگر برای سئوی فنی یا درون صفحهای ندارد.
یکی از ویژگیهای محبوبی که کاربران دوست دارند این است که یک افزونه ماژولار است، به این معنی که کاربران میتوانند ویژگیهایی را که نیاز دارند انتخاب کنند و آنهایی را که ندارند غیرفعال کنند، که میتواند به سریعتر ، وبسایت کمک کند.
بسیاری به عنوان جایگزینی برای Yoast به Rank Math روی می آورند. مقایسه بین این دو نشان می دهد که Rank Math کوچکتر است (61.1 هزار خط کد در مقابل 97.1 هزار خط برای Yoast) و از منابع سرور کمتری استفاده می کند (+ 0.35 مگابایت حافظه در مقابل +1.62 مگابایت برای Yoast).
اسکریپت نویسی بین سایتی ذخیره شده تایید شده
محققان امنیتی در Wordfence WordPress توصیهای درباره آسیبپذیری در پلاگین Rank Math SEO منتشر کردهاند که ممکن است منجر به آسیبپذیری ذخیرهشده Cross Site Scripting (XSS) شود.
یک آسیبپذیری ذخیرهشده XSS به مهاجم اجازه میدهد تا اسکریپتهای مخرب را آپلود کند و به مرورگرها حمله کند، که میتواند منجر به سرقت کوکیهای جلسه شود که اجازه دسترسی غیرمجاز به وبسایت و به خطر انداختن دادههای حساس را میدهد.
ضدعفونی ناکافی ورودی و اگزوز خروجی ها
منبع آسیبپذیری به دلیل ضدعفونی ناکافی ورودیها و فرسودگی خروجیها است. اینها دلایل رایجی هستند که چرا آسیبپذیریهای XSS در مناطقی از افزونهها رخ میدهند که به کاربران اجازه میدهند دادهها را آپلود یا وارد کنند.
پاک ، داده های ورودی به معنای فیلتر ، انواع ورودی های ناخواسته مانند اسکریپت ها یا HTML است که در آن فقط ورودی های متن مورد انتظار است. خروجی فرار فرآیندی است که آنچه را که توسط وب سایت تولید می شود تأیید می کند تا از رسیدن خروجی های ناخواسته مانند اسکریپت های مخرب به مرورگر وب سایت جلوگیری کند.
Wordfence هشدار داد:
پلاگین Rank Math SEO با AI SEO Tools برای وردپرس به دلیل بررسی ناکافی ورودی و فرار از خروجی در ویژگی های ارائه شده توسط کاربر، در برابر اسکریپت های بین سایتی ذخیره شده از طریق HowTo مسدود ، ویژگی ها در همه نسخه ها تا و از جمله 1.0.214 آسیب پذیر است.
این به مهاجمان احراز هویت شده، با دسترسی سطح مشارکتکننده و بالاتر، اجازه میدهد تا اسکریپتهای وب دلخواه را به صفحاتی تزریق کنند که هر زمان که کاربر به صفحه تزریق شده حرکت کند، اجرا میشوند.
تغییرات بهروزرسانی Rank Math با مسئولیتپذیری آنچه را که در افزونه آنها تغییر کرده و دلیل بهروزرسانی را تأیید میکند. این شفافیت به کاربران افزونه اجازه می دهد تا اهمیت به روز رسانی داده شده را درک کنند و درباره فوریت به روز رسانی تصمیمی آگاهانه بگیرند.
تغییرات لاگ آسیب پذیری وصله شده را شناسایی می کند:
«بهبود: تقویت امنیت بلوک HowTo افزونه برای جلوگیری از سوء استفاده احتمالی توسط کاربران با دسترسی پس از ویرایش. با تشکر از (WordFence)
(https://www.wordfence.com/) برای افشای مسئولانه آن”
اطلاعیه رسمی Wordfence را بخوانید:
رتبه سئو ریاضی با ابزارهای سئو هوش مصنوعی <= 1.0.214 – اسکریپت نویسی بین سایتی ذخیره شده تأیید شده (Contributor+) از طریق ویژگی های HowTo Blocking
همچنین ببینید:
تصویر برجسته توسط Shutterstock/Roman Samborskyi
منبع: https://www.searchenginejournal.com/rank-math-wordpress-seo-plugin-vulnerability-affects-2-million-sites/512168/