Мы серьезно относимся к безопасности в Yoast и постоянно ищем потенциальные угрозы и уязвимости, которые могут повлиять на наши продукты и клиентов. Вот почему мы были встревожены, когда охранная фирма WordFence найденный XSS-уязвимости в другом SEO-плагине. Тщательно изучив проблемы, мы обнаружили аналогичную, но менее серьезную уязвимость в Yoast SEO, которую решили немедленно исправить.
Пожалуйста, обновитесь до последней версии сегодня, чтобы обеспечить защиту вашего сайта.
Содержание
Я затронут?
Проблема затрагивала только веб-сайты с несколькими пользователями, если у этих пользователей был доступ уровня «участник» или выше. В некоторых случаях эти пользователи могли хранить и выполнять код в нашем редакторе сниппетов, который выполнялся бы для других пользователей. Злоумышленник мог воспользоваться этим, чтобы скомпрометировать других пользователей или соответствующий веб-сайт. Это тип атаки XSS.
Короче говоря, некоторые люди, которым вы дали ограниченное разрешение на публикацию или редактирование контента на вашем сайте, могли бы обойти эти разрешения и причинить вред, если бы захотели.
Что такое XSS-уязвимость?
XSS означает межсайтовый скриптинг, тип атаки, который позволяет злоумышленникам внедрять скрипты в веб-страницы, просматриваемые другими пользователями. Подобная проблема может привести к различным последствиям, таким как перехват пользовательских сеансов, порча веб-сайтов или перенаправление пользователей на вредоносные сайты.
Уязвимости XSS возникают, когда поля ввода пользователя не очищены должным образом (чтобы значения были безопасными и соответствовали ожидаемым форматам и шаблонам) или не были должным образом экранированы (когда специальные символы или код безопасно преобразуются в текст).
Что мне нужно делать?
Если на вашем сайте несколько пользователей, вы может были затронуты. Если это относится к вам, вам следует немедленно обновить плагин Yoast SEO. Мы также рекомендуем провести аудит безопасности (см. наше руководство по безопасности), включить автоматическое обновление для плагинов и регулярно создавать резервные копии.
Если ваш сайт не есть несколько пользователей, вам не нужно беспокоиться. Конечно, вы все равно должны обновить свой плагин в соответствии с рекомендациями.
Что сделал Йост?
Мы гордимся тем, что быстро отреагировали, исправили эту проблему и выпустили исправление в течение 24 часов. Мы также тщательно проверили части Yoast SEO и не обнаружили других проблем с безопасностью. Благодаря этому исправлению Yoast SEO стал более безопасным, чем когда-либо. Наши процессы разработки теперь включают дополнительные проверки, чтобы подобные проблемы больше не повторялись.
Мы можем с гордостью сказать, что наша способность так быстро реагировать, диагностировать и доставлять обновления — будь то исправления безопасности или ответы на изменения в алгоритме Google — отличает нас от других.
Требуется деревня
Хотя этой проблемы вообще не должно было возникнуть, мы рады, что сами обнаружили ее до того, как она стала общеизвестной и представляла больший риск.
Это стало возможным отчасти благодаря большой работе WordFence в раскрытии связанной проблемы в другом плагине и Статья Роджера Монти в Search Engine Journal перекрытие утечки. Мы ценим их профессионализм и опыт в оказании помощи разработчикам плагинов WordPress в повышении их безопасности.
Мы также хотим поблагодарить наших клиентов за их доверие и поддержку. В Yoast мы стремимся предоставить вам лучшие плагины для SEO и будем продолжать их улучшать.
Если у вас есть какие-либо вопросы или опасения по поводу этой проблемы или любого другого вопроса безопасности, пожалуйста, не стесняйтесь обращаться к нам по адресу [email protected]. Вы также можете принять участие в нашей программе безопасности, чтобы помочь нам улучшить нашу работу.
Спасибо за понимание, и имейте в виду, что мы всегда здесь, чтобы помочь.
