You are here: Home » WordPress » Zranitelný plugin All in One SEO Pack

Zranitelný plugin All in One SEO Pack

Podle některých odhadů používá WordPress až 73 milionů webových stránek a z toho celých 20 % (14,6 milinů) má nainstalovaný oblíbený plugin All in One SEO Pack, který patří mezi pět nejoblíbenějších a nejpoužívanějších pluginů pro WordPress vůbec. Marc-Alexandre Montpas ze společnosti Sucuri oznámil, že našli v kódu nebezpečnou díru, díky které je možné vložit přímo do vašich stránek škodlivý kód. Detailně je vše rozepsáno na stránkách jejich blogu.

Za vše může nedostatečně zabezpečený formulář. Pokud používáte plugin All in One SEO Pack máte možnost vylepšit title, meta description a meta keywords. Bohužel prostřednictvím těchto položek formuláře lze také vložit škodlivý kód, který se pak zobrazí i na stránkách.

Přeštěte si   Chyba ve WordPress - Dočasný adresář neexistuje

Samozřejmě takovýto úkon může udělat pouze uživatel s úrovní administrátor, redaktor a spolupracovník a šéfredaktor. Takže pokud nedáváte možnost přispívat cizím lidem na váš WordPress, tak vám nebezpečí zneužití nehrozí.

Poškozená reputace blogu, například vložením kódu, který zaviruje návštěvníkovy počítač či jej přesměruje jinam je jedna věc a dá se na to poměrně rychle přijít a vše napravit. Ovšem podle lidí ze Securi lze také zobrazit škodlivý kód přímo v administraci a to už zavání velkým problémem, protože pomocí útoku XSS (cross site scripting) teoreticky je možné přes přihlášeného administrátora provést nějaký úkon. Například mu změnit heslo, přiřadit práva anebo udělat jinou věc na kterou má právo jen administrátor. Záleží samozřejmě na dalších okolnostech a nainstalovaných pluginech. Největší hrozbou je samozřejmě možnost, že útočník nainstaloval do zasaženého WordPress nějaký backdoor.

Přeštěte si   Problém s obrázky u WordPress

Naštěstí tvůrci pluginu All in One SEO Pack okamžitě vydali bezpečnostní záplatu (verze 2.1.6), takže pokud používáte tento plugin neváhejte a aktualizujte si jej.

Ačkoliv je plugin hojně využíván, vzhledem k povaze problému není nebezpečí zas tak vážně. Jen málo webmástrů pouští do svého WordPress cizí lidi. V ohrožení jsou tak spíše služby na publikování článků, kde se může každý registrovat a hned psát články.

Share Button

Programuju v PHP už několik let spíše pro zábavu. Baví mě WordPress, protože tak lenivým lidem jako jsem já ušetří spoustu času. A rád sbírám reklamní flash disky. Tento blog používám pro utřídění myšlenek.

http://n-host.cz

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *