В Yoast мы серьезно относимся к безопасности и постоянно исследуем потенциальные угрозы и уязвимости, которые могут повлиять на наши продукты и наших клиентов. Вот почему мы были встревожены, когда охранная компания WordFence находить XSS-уязвимости в другом SEO-плагине. После тщательного изучения проблем мы обнаружили аналогичную, но менее серьезную уязвимость в Yoast SEO, которую решили немедленно исправить.
Пожалуйста, обновитесь до последней версии сегодня, чтобы обеспечить защиту вашего сайта.
Contents
Я обеспокоен?
Проблема затрагивала только веб-сайты с несколькими пользователями, если у этих пользователей был доступ уровня «участник» или выше. В некоторых случаях эти пользователи могут хранить и запускать в нашем редакторе фрагментов код, который был бы запущен для других пользователей. Злоумышленник мог воспользоваться этим, чтобы скомпрометировать других пользователей или рассматриваемый веб-сайт. Это атака типа «XSS».
Короче говоря, некоторые люди, которым вы дали ограниченное разрешение на публикацию или редактирование контента на вашем сайте, могли обойти эти разрешения и причинить вред, если бы захотели.
Что такое XSS-уязвимость?
XSS означает межсайтовый скриптинг, тип атаки, который позволяет злоумышленникам внедрять скрипты в веб-страницы, просматриваемые другими пользователями. Подобная проблема может привести к различным последствиям, таким как перехват пользовательских сеансов, снижение качества веб-сайтов или перенаправление пользователей на вредоносные сайты.
Уязвимости XSS возникают, когда поля пользовательского ввода не очищаются должным образом (гарантируя, что значения безопасны и соответствуют ожидаемым форматам и шаблонам) или не экранированы должным образом (где специальные символы или код безопасно преобразуются в текст).
Что мне нужно сделать?
Если на вашем сайте несколько пользователей, вы может были затронуты. Если это относится к вам, вам следует немедленно обновить плагин Yoast SEO. Мы также рекомендуем провести аудит безопасности (см. наше руководство по безопасности), включить автоматические обновления для плагинов и обеспечить регулярное резервное копирование.
Если ваш сайт не есть несколько пользователей, вам не о чем беспокоиться. Конечно, вы всегда должны обновлять свой плагин в соответствии с рекомендациями.
Что сделал Йост?
Мы гордимся тем, что быстро отреагировали, решили эту проблему и выпустили исправление в течение 24 часов. Мы также тщательно проверили некоторые части Yoast SEO и не обнаружили других проблем с безопасностью. Благодаря этому исправлению Yoast SEO стал более безопасным, чем когда-либо. Наши процессы разработки теперь включают дополнительные проверки, чтобы такие проблемы не повторялись.
Мы можем с гордостью сказать, что наша способность так быстро реагировать, диагностировать и доставлять обновления — будь то исправления безопасности или ответы на изменения алгоритма Google — отличает нас от остальных.
Требуется деревня
Хотя эта проблема вообще не должна была возникнуть, мы рады, что сами обнаружили ее до того, как она стала общеизвестной и представляла больший риск.
Это стало возможным отчасти благодаря отличной работе WordFence раскрытие связанной проблемы в другом плагине и Статья Роджера Монти в Search Engine Journal перекрытие утечки. Мы ценим их профессионализм и опыт в оказании помощи разработчикам плагинов WordPress в повышении их безопасности.
Мы также хотели бы поблагодарить наших клиентов за их доверие и поддержку. В Yoast мы стремимся предоставить вам лучшие плагины для SEO и будем продолжать их улучшать.
Если у вас есть какие-либо вопросы или опасения по поводу этой или любой другой проблемы безопасности, свяжитесь с нами по адресу [email protected]. Вы также можете принять участие в нашей программе безопасности, чтобы помочь нам улучшить нашу работу.
Благодарим вас за понимание и имейте в виду, что мы всегда здесь, чтобы помочь вам.
