Plugin SEO Rank Math
Plugin SEO Rank Math là một trong những plugin SEO phổ biến được cài đặt trên hơn 2 triệu trang web. Nó có một loạt các chức năng đáng kinh ngạc bao gồm theo dõi từ khóa, tích hợp dữ liệu cấu trúc Schema.org, tích hợp Google Search Console và Analytics, một quản lý chuyển hướng và các tính năng khác giúp loại bỏ sự cần thiết sử dụng các plugin khác cho SEO kỹ thuật hoặc trên trang.
Một tính năng phổ biến mà người dùng đánh giá cao là nó là một plugin modul, điều này có nghĩa là người dùng có thể chọn chức năng họ cần và tắt những chức năng họ không cần, giúp trang web hoạt động nhanh hơn.
Nhiều người chuyển sang Rank Math như một lựa chọn thay thế cho Yoast. Một so sánh giữa hai plugin cho thấy Rank Math nhỏ hơn (61.1k dòng mã so với 97.1k dòng của Yoast) và sử dụng ít tài nguyên máy chủ hơn (+0.35 MB bộ nhớ so với +1.62 MB của Yoast).
Lỗ Hổng Authenticated Stored Cross-Site Scripting
Các nhà nghiên cứu an ninh của Wordfence đã phát hành một cảnh báo về lỗ hổng trong plugin Rank Math SEO có thể dẫn đến một lỗ hổng Stored Cross Site Scripting (XSS) được xác thực.
Một lỗ hổng Stored XSS cho phép kẻ tấn công tải lên các script độc hại và tấn công vào trình duyệt có thể dẫn đến đánh cắp cookies phiên giúp truy cập trang web trái phép và đánh cắp dữ liệu nhạy cảm.
Thiếu Kiểm Tra Dữ Liệu Đầu Vào và Escaping Đầu Ra
Nguồn gốc của lỗ hổng là do thiếu kiểm tra dữ liệu đầu vào và escaping đầu ra. Đây là những lý do phổ biến dẫn đến các lỗ hổng XSS xảy ra trong các khu vực của plugin cho phép người dùng tải lên hoặc nhập dữ liệu.
Việc kiểm tra dữ liệu đầu vào giống như lọc ra loại dữ liệu không mong muốn như script hoặc HTML nơi chỉ có thể chấp nhận dữ liệu văn bản. Escaping đầu ra là quá trình xác minh những gì được đầu ra bởi trang web để chặn đầu ra không mong muốn như script độc hại từ việc đến trình duyệt trang web.
Wordfence cảnh báo:
'Plugin Rank Math SEO với công cụ SEO AI cho WordPress có lỗ hổng Stored Cross-Site Scripting thông qua các thuộc tính khối HowTo trong tất cả các phiên bản cho đến, và bao gồm, 1.0.214 do thiếu kiểm tra dữ liệu đầu vào và escaping đầu ra trên các thuộc tính được cung cấp bởi người dùng.
Điều này cho phép cho kẻ tấn công được xác thực, với quyền truy cập cấp độ đóng góp và cao hơn, chèn các web script tùy ý vào các trang sẽ thực thi mỗi khi người dùng truy cập vào một trang đã chèn.'
Cập nhật changelog của Rank Math chịu trách nhiệm công nhận những gì đã được thay đổi trong plugin của họ và lý do cho cập nhật. Sự minh bạch này cho phép người dùng plugin hiểu được sự quan trọng của cập nhật cụ thể và đưa ra quyết định có hiểu biết về sự cấp bách của cập nhật.
Changelog xác định lỗ hổng đã được vá:
'Cải thiện: Tăng cường bảo mật của khối HowTo của plugin để ngăn chặn khả năng khai thác tiềm năng bởi người dùng với quyền chỉnh sửa bài viết. Cảm ơn WordFence đã tiết lộ nó một cách có trách nhiệm'
Đọc cảnh báo chính thức từ Wordfence:
Rank Math SEO với công cụ SEO AI <= 1.0.214 - Authenticated (Contributor+) Stored Cross-Site Scripting thông qua các thuộc tính khối HowTo
Xem thêm:
Hướng dẫn An Ninh WordPress để Bảo Vệ Trang Web Của Bạn
Bảo Mật WordPress: 16 Bước để Bảo Vệ & Bảo Vệ Trang Web Của Bạn
Ảnh Đại Diện: Shutterstock/Roman Samborskyi