Yoast SEO 9.1 Güvenlik Açığı Açıklandı
20 Kasım 2018’de Yoast, bir güvenlik açığını gidermek için bir güvenlik güncelleştirmesi yayımladı. Bu güncelleme Yoast blogunda ilan edilmedi. Güvenlik açığı, yalnızca SEO Yöneticisi rolünün etkin olduğu kullanıcıları etkiler. Yoast SEO’nun tüm kullanıcılarını etkilemez.
Bununla birlikte, Yoast kullanıcılarının% 77’si 9.2’ye yükseltme yapmamış ve bu güvenlik açığından haberdar olamıyor olabilir.
Bu makalemizde, kullanıcılara güvenlik açığının mevcut olduğunu fark etmelerini sağlayarak yardım etmeyi ve sorumlu bir şekilde yükseltmelerini teşvik etmeyi amaçlamaktayız.
Yoast Güvenlik Açığı Hakkında
Bir güvenlik uzmanı bu güvenlik açığını keşfetti ( Yarış Koşulu olarak adlandırıldı ) ve Yoast ile güvenlik topluluğunu uyardı . Yoast hemen harekete geçti ve bu güvenlik açığını hemen düzeltti.
Güvenlik açığı, yarış durumu güvenlik açığı olarak adlandırılan karmaşık bir sorun oldu.
Temel olarak, bir yazılımın bir işlemin belirli bir sırada gerçekleşmesini beklediği bir durumdur. Güvenlik açığı, bu sıra değiştiğinde gerçekleşir. Bu, bir saldırının olabileceği bir açıklığa neden olur.
Yoast Güvenlik Açığı Web Sitelerini Nasıl Etkiler?
Yoast 9.1 güvenlik açığı, bir web sitesinin Yoast SEO Yöneticisi rolünün etkin olmasını gerektirir. Bu güvenlik açığının tüm kullanıcıları etkilememesinin nedeni budur.
Hangi Yoast Sürümünü Etkiler?
Yoast 9.1 versiyonunun ve altında SEO Yöneticisi rolünün etkilendiği bildiriliyor. Bu güvenlik açığını tespit eden güvenlik araştırmacısı şunları söyledi:
“Yoast 9.1 ve 9.0.3 ile test ettim.”
Yoast 9.1 Güvenlik Açığı Nasıl Çalışır?
Güvenlik araştırmacısına güvenlik açığının nasıl çalıştığını sordum ve saldırganın SEO Yöneticisi rolü etkin olarak Yoast yüklemelerini hedefleyebileceğini ve ardından kod yürütme istismarları gerçekleştirebileceğini söyledi.
İşte söylediği:
“SEO Yöneticisinde olan şey, bu rolün WordPress’e eklenti, tema vb. Yükleyememesi, ancak saldırganın komut yürütmesini gerçekleştirebilmesi.”
Komut işleminin amacı web sitesinde istenmeyen değişiklikler yapmaktır.
Bu, SEO Yöneticisi Rolü Etkin Olmayan Siteleri Etkiliyor mu?
Güvenlik araştırmacısına, SEO Yöneticisi rolüne sahip olmayan sitelerin savunmasız olup olmadığını sordum. Rol etkinleştirilmemişse, bu nedenle saldırı ihtimalinin uzak olduğunu belirtti. SEO Yöneticisi rolü etkinleştirilmişse, olasılık artar.
“SEO Yöneticisi’niz yoksa ve zip arşivi yalnızca WordPress yöneticisi tarafından yüklenebiliyorsa, etkisi çok düşük.”
SEO Yöneticisi Rolü Etkin Değilse?
Genel olarak, eklentilerinizin en son sürümlerine güncellemek iyi bir uygulamadır. Bir sorun olana ve web trafiği çökene kadar güvenlik asla bir sorun değildir.
Yoast SEO 9.1 veya daha önceki bir sürümünü kullanıyorsanız, güncellemek iyi bir fikir olabilir. Eklentileri güncel tutmak en iyi güvenlik yöntemidir.