آسیب پذیری پلاگین سئوی رتبه ریاضی وردپرس بیش از 2 میلیون سایت را تحت تأثیر قرار می دهد

پلاگین Rank Math SEO با بیش از 2 میلیون کاربر اخیراً یک آسیب‌پذیری Stored Cross-Site Scripting را اصلاح کرده است که به مهاجمان اجازه می‌دهد اسکریپت‌های مخرب را آپلود کنند و حملات را انجام دهند.

پلاگین ریاضی رتبه سئو

Rank Math یک افزونه محبوب SEO است که بر روی بیش از 2 میلیون وب سایت نصب شده است. این دارای طیف باورنکردنی از ویژگی‌های اعم از ردیابی کلمات کلیدی، ادغام داده‌های ساختار یافته Schema.org، ادغام کنسول جستجوی گوگل و آنالیتیکس، مدیر تغییر مسیر و سایر ویژگی‌هایی است که نیازی به استفاده از افزونه‌های دیگر برای سئوی فنی یا درون صفحه‌ای ندارد.

یکی از ویژگی‌های محبوبی که کاربران دوست دارند این است که یک افزونه ماژولار است، به این معنی که کاربران می‌توانند ویژگی‌هایی را که نیاز دارند انتخاب کنند و آن‌هایی را که ندارند غیرفعال کنند، که می‌تواند به سریع‌تر ، وب‌سایت کمک کند.

بسیاری به عنوان جایگزینی برای Yoast به Rank Math روی می آورند. مقایسه بین این دو نشان می دهد که Rank Math کوچکتر است (61.1 هزار خط کد در مقابل 97.1 هزار خط برای Yoast) و از منابع سرور کمتری استفاده می کند (+ 0.35 مگابایت حافظه در مقابل +1.62 مگابایت برای Yoast).

اسکریپت نویسی بین سایتی ذخیره شده تایید شده

محققان امنیتی در Wordfence WordPress توصیه‌ای درباره آسیب‌پذیری در پلاگین Rank Math SEO منتشر کرده‌اند که ممکن است منجر به آسیب‌پذیری ذخیره‌شده Cross Site Scripting (XSS) شود.

یک آسیب‌پذیری ذخیره‌شده XSS به مهاجم اجازه می‌دهد تا اسکریپت‌های مخرب را آپلود کند و به مرورگرها حمله کند، که می‌تواند منجر به سرقت کوکی‌های جلسه شود که اجازه دسترسی غیرمجاز به وب‌سایت و به خطر انداختن داده‌های حساس را می‌دهد.

ضدعفونی ناکافی ورودی و اگزوز خروجی ها

منبع آسیب‌پذیری به دلیل ضدعفونی ناکافی ورودی‌ها و فرسودگی خروجی‌ها است. اینها دلایل رایجی هستند که چرا آسیب‌پذیری‌های XSS در مناطقی از افزونه‌ها رخ می‌دهند که به کاربران اجازه می‌دهند داده‌ها را آپلود یا وارد کنند.

پاک ، داده های ورودی به معنای فیلتر ، انواع ورودی های ناخواسته مانند اسکریپت ها یا HTML است که در آن فقط ورودی های متن مورد انتظار است. خروجی فرار فرآیندی است که آنچه را که توسط وب سایت تولید می شود تأیید می کند تا از رسیدن خروجی های ناخواسته مانند اسکریپت های مخرب به مرورگر وب سایت جلوگیری کند.

Wordfence هشدار داد:

پلاگین Rank Math SEO با AI SEO Tools برای وردپرس به دلیل بررسی ناکافی ورودی و فرار از خروجی در ویژگی های ارائه شده توسط کاربر، در برابر اسکریپت های بین سایتی ذخیره شده از طریق HowTo مسدود ، ویژگی ها در همه نسخه ها تا و از جمله 1.0.214 آسیب پذیر است.

این به مهاجمان احراز هویت شده، با دسترسی سطح مشارکت‌کننده و بالاتر، اجازه می‌دهد تا اسکریپت‌های وب دلخواه را به صفحاتی تزریق کنند که هر زمان که کاربر به صفحه تزریق شده حرکت کند، اجرا می‌شوند.

تغییرات به‌روزرسانی Rank Math با مسئولیت‌پذیری آنچه را که در افزونه آنها تغییر کرده و دلیل به‌روزرسانی را تأیید می‌کند. این شفافیت به کاربران افزونه اجازه می دهد تا اهمیت به روز رسانی داده شده را درک کنند و درباره فوریت به روز رسانی تصمیمی آگاهانه بگیرند.

تغییرات لاگ آسیب پذیری وصله شده را شناسایی می کند:

«بهبود: تقویت امنیت بلوک HowTo افزونه برای جلوگیری از سوء استفاده احتمالی توسط کاربران با دسترسی پس از ویرایش. با تشکر از (WordFence)
(https://www.wordfence.com/) برای افشای مسئولانه آن”

اطلاعیه رسمی Wordfence را بخوانید:

رتبه سئو ریاضی با ابزارهای سئو هوش مصنوعی <= 1.0.214 – اسکریپت نویسی بین سایتی ذخیره شده تأیید شده (Contributor+) از طریق ویژگی های HowTo Blocking

همچنین ببینید:

تصویر برجسته توسط Shutterstock/Roman Samborskyi