Слабость в плагине All in One SEO Pack для WordPress — дает возможность овладеть веб-сайтом

3Комментарии

All in One SEO PackВ All in One SEO Pack, одном из часто встречающихся плагинов к WordPress, найдена критическая незащищенность.

Она дает возможность вводить вредоносный шифр в панель администратора и воровать пароли с помощью моносайтового скриптинга. Хоть погрешность сейчас исправлена, громадное множество веб сайтов, как и прежде употребляет уязвимую версию плагина.

Прибавляет в WordPress функции, которые делают сайт больше симпатичным для поисковиков. Согласно официальному проспекту плагинов, число веб сайтов, на которые он поставлен, превышает 1 000 000.

Проблема связана встроенным во All in One SEO Pack блокировщиком ботов (Bot Blocker). Блокировщик ботов наблюдает за тем, как поисковые машины регистрируют странички интернет-сайта. Он хранит во особенном журнальчике сведение о всяком поисковом боте, зашедшем в портал. Пользователь в силах взглянуть этот журнал и воспрепятствовать отдельным поисковикам индексировать портал.

По умолчанию сия функция отключена.

Специалист в области информативной безопасности Дэвид Ваартес подметил, что блокировщик ботов записывает в свой дневник параметры User Agent и Referrer работающих ботами HTTP-запросов, но никак не проверяет их роли.

Для работы данной уязвимости преступник обязан запросить от имени одного из заблокированных ботов и прибавить напоследок строку User Agent и Referrer произвольный HTML и Javascript. Когда юзер раскроет дневник блокировщика, добавленный злодеем адрес очутится встроен в страничку админ панели и будет реализован браузером.

Воспользовавшись сим, преступник в силах ввести в админ панель Javascript, похищающий содержание cookie, которые WordPress применяет для идентификации юзеров, и за счет этого схватить сессию одного из админов интернет-сайта.

Слабость отремонтирована в All in One SEO Pack 2.3.7 и более позднейших изданиях плагина.

Администратор сайта | Сео специалист: определение нужных запросов‚ внутренняя оптимизация‚ накачка внешних факторов.

    • Инга
    • 15.08.2016
    Ответить

    Ура-ура, я у меня стоит плагин от yoast. А что, all on seo на самом деле функциональней, что его столько блогеров используют?

    • Антон Сергиенко
    • 14.08.2016
    Ответить

    Уже не первый раз слышу отрицательные отзывы по работе этого плагина, у меня он на одном сайте стоит, все никак не решусь на другой перейти!

    • Анюта
    • 11.08.2016
    Ответить

    Спасибо за информацию, сейчас посмотрю, какой версии у меня этот плагин для WordPress. Хорошо, что починили.

О нас и этом блоге

Мы являемся компанией с акцентом на оказание помощи нашим клиентам в достижении больших результатов по нескольким ключевым направлениям.

Запросить бесплатную квоту

Мы предлагаем профессиональные SEO услуги , которые помогают улучшить позиции веб-сайта в органическом поиске, чтобы конкурировать за самые высокие рейтинги. Даже когда дело доходит до весьма конкурентоспособных ключевых слов.

Подписывайтесь на нашу новостную рассылку!

Поля, отмеченные звездочкой * обязательны для заполнения.

Больше из нашего блога

Посмотреть все сообщения