Dictée CP – CE1 autonome de mots : Les sons é ê è # 24
超过一百万个使用流行插件优化其搜索引擎结果的WordPress网站在未应用新发布的补丁时有被黑客攻击的危险
由荷兰网站优化公司Yoast开发的WordPress SEO插件包含一个漏洞,允许攻击者操纵网站的数据库并添加流氓管理帐户。
所谓的盲目SQL注入漏洞由Ryan Dewhurst发现,一种安全性WPScan漏洞扫描器的研究员和合作开发人员。这个漏洞影响Yoast的WordPress搜索引擎优化版本1.7.3.3和更高版本。
[进一步阅读:如何从Windows PC删除恶意软件]理论上,利用漏洞需要身份验证。但是,由于没有跨站请求伪造(CSRF)保护,攻击者可以通过欺骗经过身份验证的用户(如管理员,编辑或作者)来利用此漏洞以单击特制链接或访问恶意页面, Dewhurst在一份通报中说道。
当用户访问攻击者控制的网页时,CSRF攻击涉及迫使用户的浏览器在第三方网站上执行未经授权的操作。
Yoast周三发布了免费的WordPress插件版本1.7.4以及产品商业版本1.5.3版本,这也受到了影响,因此必须实施特殊的保护机制。
免费的WordPress搜索引擎插件已经下载超过1420万次。根据官方的WordPress统计数据,它有超过100万的活动安装,使其不仅是搜索引擎优化(SEO)最受欢迎的插件之一,而且是最受欢迎的WordPress插件之一。
