Et populært WordPress plugin SEO By Yoast, har haft et stort sikkerhedshul med blind SQL injection som har kunnet give en angriber af ens side komplet kontrol af server og webhotel.
Det er pt. usikkert hvor mange WordPress hjemmeside der bruger SEO by Yoast og hvor mange af dem som er meget angrebet, men selve pluginet er blevet installeret over 14 millioner gange og er dermed et af de allermest brugte plugins til WordPress - så potentielt er rigtig mange WordPress-hjemmesider i fare.
Den usikre version af pluginet gjorde det mulig at køre SQL queries. Fejlen i systemet gjorde det muligt, at hvis en sorteper kunne få en administrator, redaktør eller forfatter af WordPress-siden til at klikke på et link, så kunne sorteper oprette en administrator-bruger i databasen og derved give sig selv 100% kontrol over hjemmesiden.
Ryan Dewhurst som er freelance security tester opdagede fejlen i SEO by Yoast version 1.7.3.3 d. 10 marts. Samme dag blev fejlen bekræftet af Christian Mehlma fra WPScan og udviklerne bag SEO by Yoast blev underrettet med det samme. Allerede dagen efter d. 11 marts havde udviklerne rettet fejlen iog udgivet version 1.7.4 af deres plugin.
Vi tager hatten af for, at SEO by Yoast var så hurtige til at rette op på fejlen. Det er nu op til os som webmastere og ejere af WordPress-hjemmesider at sikre os, at vi er up to date med vores SEO by Yoast plugin og derfor ikke kører med en version som har dette sikkerhedshul. Du kan opdatere dit SEO by Yoast under Plugins i dit WordPress kontrolpanel, eller downloade den nyeste version og installere det i WordPress.
Kilde: https://yoast.com/wordpress-seo-security-release/
