WordPress SEO by Yoast dính lỗi Blind SQL Injection .
Lỗ hổng bảo mật Blind SQL Injection đã được phát hiện trên một trong những WordPress plugins phổ biến nhất hiện nay – WordPress SEO by Yoast, vào ngày hôm qua. WPScan Vulnerability Database chính là đơn vị đã công bố lỗ hổng này đến các tác giả của plugin, kèm theo các khuyến cáo giúp xử lý sự cố:
The latest version at the time of writing (1.7.3.3) has been found to be affected by two authenticated (admin, editor or author user) Blind SQL Injection vulnerabilities.
The authenticated Blind SQL Injection vulnerability can be found within the ‘admin/class-bulk-editor-list-table.php’ file. The orderby and order GET parameters are not sufficiently sanitized before being used within a SQL query.
Yoast đã nhanh chóng có phản hồi khi gần như ngay lập tức phát hành phiên bản 1.7.4 để vá lỗi bảo mật kể trên:
Fixed possible CSRF and blind SQL injection vulnerabilities in bulk editor. Added strict sanitation to order_by and order params. Added extra nonce checks on requests sending additional parameters. Minimal capability needed to access the bulk editor is now Editor. Thanks Ryan Dewhurst from WPScan for discovering and responsibly disclosing this issue.
Nếu bạn đang sử dụng phiên bản gần đây nhất của WordPress SEO by Yoast, bạn nên tiến hành cập nhật nó ngay lập tức để đảm bảo an toàn, bằng cách truy cập vào Dashboard => Updates. Nếu bạn đang sử dụng Jetpack trên tất cả các trang web WordPress của mình, bạn có thể cùng lúc cập nhật cho toàn bộ chúng bằng cách truy cập https://wordpress.com/plugins/wordpress-seo.
Một plugin rất nổi tiếng khác là Akismet cũng đã tung ra phiên bản 3.1 để cải thiện khả năng bảo mật dữ liệu cho người dùng vào hôm nay. Các bạn có thể xem thông tin chi tiết về cập nhật này tại đây.
Cuối cùng, nếu bạn thích bài viết này, hãy subscribe blog của tôi để thường xuyên cập nhật những bài viết hay nhất, mới nhất qua email nhé. Cảm ơn rất nhiều. :)
Hôm qua nâng cấp hết rồi :D
Đọc nhanh thế thím. :P
Tớ đọc lướt. Mấy cái plugin nó cũng thông báo nên nâng cấp luôn rồi, h đọc qua xem có gì hot ko ấy
Nâng cấp rồi, không biết liệu có bị dính chưởng chưa nữa.
Chắc hacker chưa kịp làm gì đâu. :D
E dùng cái Duo Security cho website của mình, mỗi lần đăng nhập đều phải xác thực bằng phone, có cài iThemes Security. Gmail, Facebook đều bật xác thực 2 bước, mỗi cái domain với hosting thì không có cái đó, plugin update đầy đủ, thế này đã đủ an toàn chưa bác nhỉ, chứ cái nạn hacker này làm e lo quá
Về cơ bản là khá an toàn rồi đấy bạn ạ. Tuy nhiên hacker có thể sử dụng nhiều phương pháp khác nhau để hack trang web của bạn. Đến web của chính phủ họ còn hack được cơ mà. :D
Bác nói thế thì e cũng đỡ lo rồi :)), chắc web e chẳng có cơ hội đc các hacker cao thủ hack website chính phủ vào nghịch đâu :D
Mới vừa cập nhật xong, trang web của mình cùi chắc không ai hack làm gì
Cái này chưa chắc đâu nha. Đã hack thì không phân biệt cùi hay nổi tiếng. :D
Cảm ơn ông bạn, đã cập nhật ngay và luôn :)