Nhiều lỗ hổng nghiêm trọng đã được phát hiện trong phần nổi tiếng nhất ‘Gói SEO tất cả trong một‘ cho WordPress, khiến hàng triệu trang web WordPress gặp rủi ro.
WordPress rất dễ cài đặt và sử dụng, đó là lý do tại sao nhiều người thích nó. Nhưng nếu bạn hoặc công ty của bạn đang sử dụng ‘Gói SEO tất cả trong một“ Plugin wordpress để tối ưu hóa thứ hạng website trên công cụ tìm kiếm thì bạn hãy cập nhật ngay plugin SEO của mình lên phiên bản mới nhất Gói SEO tất cả trong một 2.1.6.
Hôm nay, Gói SEO tất cả trong một nhóm plugin đã phát hành một bản cập nhật bảo mật khẩn cấp vá hai lỗ hổng leo thang đặc quyền quan trọng và một lỗ hổng cross-site scripting (XSS), được phát hiện bởi các nhà nghiên cứu bảo mật tại Sucuri, một dịch vụ giám sát web và dọn dẹp phần mềm độc hại.
Hơn 73 triệu trang web trên Internet chạy trang web của họ trên nền tảng xuất bản WordPress và hơn 15 triệu trang web hiện đang sử dụng Gói SEO tất cả trong một để tối ưu hóa công cụ tìm kiếm.
Theo Sucuri, các lỗ hổng leo thang đặc quyền được báo cáo cho phép kẻ tấn công thêm và sửa đổi thông tin meta của trang web WordPress, điều này có thể gây hại tiêu cực cho xếp hạng của công cụ tìm kiếm.
“Trong trường hợp đầu tiên, người dùng đã đăng nhập, không sở hữu bất kỳ loại đặc quyền quản trị nào (như tác giả của người đăng ký), có thể thêm hoặc sửa đổi một số tham số nhất định được plugin sử dụng. Nó bao gồm tiêu đề SEO, mô tả và thẻ meta từ khóa của bài viết.” Sucuri nói.
Ngoài ra, lỗ hổng tập lệnh chéo trang được báo cáo có thể bị tin tặc lợi dụng để thực thi mã JavaScript độc hại trên bảng điều khiển của quản trị viên. “Điều này có nghĩa là kẻ tấn công có khả năng tiêm bất kỳ mã JavaScript nào và thực hiện những việc như thay đổi mật khẩu tài khoản của quản trị viên để để lại một số cửa hậu trong các tệp trên trang web của bạn để thực hiện các hoạt động “xấu xa” hơn sau này.” Bài đăng trên blog Sucuri cho biết.
Lỗ hổng trong plugin WordPress là nguyên nhân gốc rễ của phần lớn việc khai thác WordPress và đây là một trong những công cụ chính trong kho vũ khí của tin tặc web. Các lỗ hổng plugin có thể bị khai thác để truy cập thông tin nhạy cảm, xóa trang web, chuyển hướng khách truy cập đến bất kỳ trang web độc hại nào hoặc để thực hiện các cuộc tấn công DDoS.
Cho đến nay, chúng tôi chưa thấy bất kỳ cuộc tấn công web nào được thực hiện bằng cách khai thác các lỗ hổng này, nhưng chủ sở hữu trang web WordPress được khuyến nghị cập nhật Gói SEO tất cả trong một Plugin WordPress lên phiên bản mới nhất ngay lập tức.
