Se você estiver usando uma versão do popular plugin para WordPress SEO Yoast anterior a versão 1.7.3.3, você e seu site estão vulneráveis a um ataque de injeção SQL.
Mais de um milhão de sites WordPress que usam um plugin popular para otimizar seus resultados de busca estão correndo o risco de serem hackeadas caso não usarem um novo patch.
O plugin WordPress SEO desenvolvido pela empresa holandesa Yoast contém uma vulnerabilidade que permite aos invasores manipularem a base de dados de um site e adicionar contas administrativas falsas.
A vulnerabilidade, chamada de injeção cega de SQL, foi descoberta pelo pesquisador de segurança Ryan Dewhusrt. A falha afeta as versões 1.7.3.3 e mais antigas do WordPress SEO da Yoast.
Na teoria, a exploração da falha exige autenticação. No entanto, como não há proteção CSRF (cross-site request forgery), um criminoso poderia explorar a falha ao enganar um usuário autenticado – como um administrador, editor ou autor – para clicar em um link criado especificamente ou para visitar uma página maliciosa, afirmou Dewhurst.
Um ataque CSRF envolve forçar o navegador de um usuário a executar uma ação não-autorizada em um site de terceiros quando o usuário visitar uma página controlada pelo invasor. Os sites devem implementar mecanismos especiais de proteção para evitar tais ataques.
O Yoast solucionou a falha nesta quarta-feira, 11/3, ao liberar a versão 1.7.4 do plugin gratuito WordPress SEO e a versão 1.5.3 da versão paga do produto, que também foi afetada.
O plugin gratuito WordPress SEO já foi baixado mais de 14,2 milhões de vezes. Segundo estatísticas do WordPress, a ferramenta possui mais de 1 milhão de instalações ativas, o que a torna um dos plugins mais populares no WordPress.
Relacionado
Rayonni Teixeira - Gerente de Contas & Suporte Sênior III
Sobre o blog
Este Blog tem o objetivo de divulgar as novidades da WebinHost e compartilhar notícias sobre hosting, servidores, empreendedorismo e todo universo tecnológico.