O plugin de SEO Matemática de Rank, que possui mais de 2 milhões de usuários, recentemente resolveu uma falha de segurança que permitia aos atacantes enviar scripts maliciosos e realizar ataques.
Plugin de SEO Rank Math
Rank Math é um plugin amplamente utilizado para otimização de mecanismos de busca, presente em mais de 2 milhões de websites. Suas diversas funcionalidades incluem rastreamento de palavras-chave, integração de dados estruturados Schema.org, conexão com Google Search Console e Analytics, um gerenciador de redirecionamento, entre outras ferramentas que tornam dispensável o uso de outros plugins para aprimorar o SEO técnico ou on-page.
Uma característica apreciada pelos usuários é a modularidade do plugin, que permite que escolham quais recursos desejam e desativem aqueles que não são necessários, contribuindo para a melhoria da velocidade do site.
Muitas pessoas consideram o Rank Math como uma opção ao Yoast. Uma análise dos dois revela que o Rank Math possui menos código (61.1k linhas em comparação com as 97.1k do Yoast) e consome menos recursos do servidor (+0.35 MB de memória em comparação com +1.62 MB do Yoast).
Cross-Site Scripting autenticado armazenado.
Especialistas em segurança da Wordfence WordPress divulgaram um relatório sobre uma falha no plugin Rank Math SEO que poderia resultar em uma vulnerabilidade de Cross Site Scripting (XSS) armazenada.
Uma falha de segurança do tipo XSS armazenada possibilita que um invasor envie scripts maliciosos e navegadores de ataque para o site, podendo resultar no roubo de cookies de sessão e, assim, proporcionar acesso não autorizado e comprometer informações sigilosas.
Higienização e falta de saída de entrada adequada.
A falta de uma adequada sanitização de entrada e saída é a origem da vulnerabilidade. Essa é uma causa frequente de vulnerabilidades de XSS que surgem em plugins que possibilitam aos usuários carregar ou inserir dados.
Limpar os dados de entrada envolve a remoção de tipos indesejados de entrada, como scripts ou HTML, permitindo apenas entradas de texto. O processo de saída valida a saída do site para evitar que scripts maliciosos alcancem o navegador.
Wordfence emitiu um aviso.
O plugin Rank Math SEO com AI SEO Tools para WordPress apresenta uma vulnerabilidade de Cross-Site Scripting armazenada nos atributos de bloqueio HowTo em todas as versões até a 1.0.214, devido à falta de limpeza adequada da entrada e da saída dos atributos fornecidos pelo usuário.
Isso permite que invasores autenticados, com privilégios de contribuinte ou superiores, insiram scripts web arbitrários em páginas que serão executados toda vez que um usuário acessar uma página injetada.
O registro de alterações da Rank Math na atualização do plugin apresenta de maneira transparente as mudanças realizadas e o motivo da atualização. Essa transparência permite que os usuários compreendam a relevância de cada atualização e possam decidir de forma informada sobre a necessidade de atualizar.
O changelog indica a falha de segurança que foi corrigida.
Melhorado: A segurança do plugin HowTo Block foi reforçada para prevenir possíveis explorações por usuários com acesso pós edição. Agradeço ao WordFence por divulgar essa informação de maneira responsável.
Leia a declaração oficial da Wordfence.
Rank Math SEO com ferramentas de SEO AI <= 1.0.214 - Script Cross-Site armazenado autenticado (Contributor+) via bloqueio de atributos HowTo.
Confira também:
- Dicas para garantir a segurança do seu site no WordPress.
- Como proteger efetivamente seu site do WordPress em 16 etapas.
A imagem principal é fornecida por Roman Samborskyi através do Shutterstock.