流行WordPress SEO插件曝高危SQL注入漏洞

标签: 漏洞 资讯 WordPress SEO 高危漏洞 | 发表时间:2015-03-12 09:16 | 作者:cindy
出处:http://www.freebuf.com

最新消息,全球最流行的CMS应用WordPress插件WordPress SEO by Yoast曝高危SQL注入漏洞,该插件使用频率相当高,用户高达可达千万。

漏洞简述

WordPress SEO by Yoast插件是WordPress平台下非常流行的SEO插件,看其在Yoast网站上高达1400万次的下载量就知道了。

该漏洞是WordPress漏洞扫描器“WPScan”开发者Ryan Dewhurst发现——1.7.3.3之前版本的WordPress SEO by Yoast都会受到SQL盲注web应用程序漏洞的影响。SQL注入漏洞之所以被标记为高危漏洞,是因为它可能会导致大量数据和敏感信息泄露。通常,在SQL注入攻击中,攻击者会通过客户端在应用程序中输入一个畸形的SQL请求。

攻击详情

该漏洞仅影响WordPress内部用户,因为该漏洞存在于admin/class-bulk-editor-list-table.php文件中,而此文件只有WordPress管理员、编辑和特权作者才能访问。

为了成功利用这一漏洞,攻击者需要从授权用户(管理员、编辑、作者)处利用该漏洞。当然授权用户是不会乖乖帮你攻击东家的,这就需要社会工程学的帮助了,攻击者可以欺骗用户进入一个精心编写的URL中,如果授权用户成为了此次攻击的受害者,那么攻击者就可利用此漏洞在受害者的WordPress网站上执行任意SQL请求。

漏洞利用POC

Ryan提供了一个SQL盲注漏洞的poc:

http://victim-wordpress-website.com/wp-admin/admin.php?page=wpseo_bulk-editor&type=title&orderby=post_date%2c(select%20*%20from%20(select(sleep(10)))a)&order=asc

修复补丁

1.7.4版本的WordPress SEO by Yoast(最新版)已经修复了该漏洞,顺便还修复了其中的CSRF漏洞。

最新版本的WordPress已经废除了自动更新插件的功能,建议用户尽快手动更新WordPress SEO by Yoast。

[参考来源 thehackernews ,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)]

相关 [流行 wordpress seo] 推荐:

WordPress SEO 宝典

- luckerme - 我爱水煮鱼
最基本的搜索引擎优化(SEO)是很简单的,而 WordPress 程序本身的一些优势使得 SEO 变得更加容易,比如我爱水煮鱼有超过 70% 的流量来自搜索引擎,所以做好 SEO 就是流量的保证,这篇文章就给大家介绍下在 WordPress 博客中最基本的一些 SEO 要求,希望能够帮助到你. 简单来说 SEO 分为页面优化和链接建设两大部分,页面优化是基础,而链接建设则是重点,两者缺一不可.

流行WordPress SEO插件曝高危SQL注入漏洞

- - FreeBuf.COM | 关注黑客与极客
最新消息,全球最流行的CMS应用WordPress插件WordPress SEO by Yoast曝高危SQL注入漏洞,该插件使用频率相当高,用户高达可达千万. WordPress SEO by Yoast插件是WordPress平台下非常流行的SEO插件,看其在Yoast网站上高达1400万次的下载量就知道了.

WordPress的SEO优化技巧

- - 氪星人
随着搜索引擎大兴, 排列在前的网站引入大量流量. 无论是搜索页面的广告还是查出来的结果, 与搜索者的目标匹配度都比较高 (如果搜索引擎足够智能), 所以通过搜索引擎而来的访客很可能会从网站上得到他想要的东西, 并记住这个网站. 也就是说, 搜索引擎会带来很多有价值的流量, 所以花点时间针对搜索引擎优化一下 WordPress 博客也是值得的.

WordPress 博客怎么对百度进行 SEO 优化

- - 我爱水煮鱼
百度给站长的建站建议,在相当程度上代表了百度的态度,通读下对你的建站还有比较大的帮助的. 这份建议在相当程度上代表了百度的态度,通读下对建站还是有比较大的帮助的. 下面我讲讲 WordPress 博客针对这些建议,应该如何进行 SEO 优化的技巧:. 为每个网页添加合适的标题,如果是网站首页,则标题建议使用站点名称或者站点代表的公司、机构名称;其余的内容页面,标题建议做成与正文内容的提炼和概括,这可以让您的潜在用户通过搜索引擎结果中的标题快速访问到您的页面.

SEO 技巧:通过赞助 WordPress 主题快速提高网站排名

- - 我爱水煮鱼
现在网上有很多免费的 WordPress 主题下载,这些免费主题中的一大部分是含有付费链接的,并且 footer.php 是加密的,这些链接就是 WordPress 主题赞助商链接. 通过赞助 WordPress 主题,快速增加网站反链,可以对网站进行搜索引擎优化(SEO),提高网站在搜索引擎中的排名.

SEO已死

- - 网站运营优化
  美国知名财经杂志《福布斯》近日刊登营销专家家肯·克罗格(Ken Krogue)的分析文章称,传统意义上的搜索引擎优化(SEO)的做法已经过时,在SEO产业经过转型后,目前已到社交、实时内容大行其道之时.   今年3月,我曾在犹他州同业界知名SEO专家亚当·托基尔德森(Adam Torkildson)共进午餐.

WordPress 技巧

- - CSDN博客互联网推荐文章
WordPress字体设置方法详解.          WordPress开源程序功能越来越强大,未来我们不仅仅可以使用wordpress制作个人博客,还可以使用wordpress程序制作CMS内容管理系统. 很多 Wordpress主题SEO优化的非常好,而且还附带了一些adsense广告位置,让不懂SEO以及代码修改的朋友轻松解决博客优化以及广告位放置问题.

【seo经验分享】seo的思维

- - 人人都是产品经理
思维决定着出路,seo的思维决定着我们优化的最终成败. 用户体验度以及搜索引擎蜘蛛体验,才是我们思维中应放在第一位的内容. 面对着搜索引擎的不断变化,中文搜索引擎优化工作越来越难作. 百度,一个善变的搜索引擎平台,让许多作中文搜索引擎优化的个人或是公司吃尽了苦头. 2012年一年,百度让更多的作搜索引擎营销的人们不再相信seo,认为作seo不稳定,不能很好的给他们带来流量.

HTML5的SEO探索

- Amo - HTML5研究小组
所有现代浏览器对HTML5的支持问题不大. HTML5被智能手机浏览器和越来越多的网站广泛的采用,甚至作为最优的选择. 但是,Googlebot,Bidubot等其他搜索引擎呢. 引擎是否会由于HTML5这任何额外因素,在搜索结果中优先推荐您的网站吗. 另一方面,少数搜索引擎会认为所有这些额外的H1标记的是垃圾网站吗.