Yoast SEO 9.1漏洞解释

 

 

2018年11月20日，Yoast发布了一个安全更新来修复漏洞。此更新未在Yoast博客上公布。 此漏洞仅影响启用了SEO Manager角色的用户。它不会影响Yoast SEO的所有用户。

尽管如此，77％的Yoast用户尚未升级到9.2版本，可能不知道该漏洞。

77％的Yoast用户可能容易受到Yoast 9.1黑客攻击漏洞的攻击。这是来自Yoast SEO插件的官方WordPress页面的图表截图。

本文旨在帮助用户了解漏洞存在并负责任地鼓励他们升级。

Nuance关于Yoast漏洞

一位安全专家发现了漏洞 （称为竞争条件），并向Yoast和安全社区发出警告。 Yoast立即采取行动并立即修复了漏洞。 

该漏洞是一个复杂的问题，称为竞争条件漏洞。

它基本上是软件期望操作在特定序列内发生的情况。更改该序列时会发生此漏洞。这导致可能发生攻击的开放。

TechTarget定义了一个像这样的竞争条件:

＆ldquo;竞争条件是当设备或系统同时尝试执行两个或多个操作时发生的不良情况，但由于设备或系统的性质，操作必须按照正确的顺序进行做得正确。＆rdquo;

Yoast漏洞如何影响网站？

Yoast 9.1漏洞要求网站启用Yoast SEO Manager角色。 这就是此漏洞不会影响所有用户的原因。 

哪个版本的Yoast会影响这个？

据报道，Yoast版本9.1及其下有SEO经理角色受到影响。发现漏洞的安全研究员称为:

＆ldquo;我用Yoast 9.1和9.0.3测试过。＆rdquo;

Yoast 9.1漏洞如何运作？

我问安全研究员这个漏洞是如何工作的，他说攻击者可以在启用了SEO Manager角色的情况下定位Yoast安装，然后执行代码执行漏洞。

这就是他所说的:

＆ldquo; SEO经理的事情是这个角色无法在WordPress上安装插件，主题等，但是攻击者可以执行命令执行。＆rdquo;

命令执行的目标是对网站进行不必要的更改。

这是否影响没有启用SEO管理器角色的站点？

我问安全研究员，如果没有启用SEO管理员角色的网站容易受到攻击。他建议，如果没有启用该角色，因此被黑客攻击的可能性很小。如果启用了SEO Manager角色，则可能性会上升。

＆ldquo;如果您没有SEO经理，并且只能由WordPress管理员上传zip存档，则影响非常低。＆rdquo;

种族脆弱性是否常见？

我问安全研究员这是否是一个可以预防的漏洞。他回答了:

＆ldquo;我会说很多开发者都不知道竞争条件问题。＆rdquo;

如果您没有启用SEO Manager角色怎么办？

一般来说，更新到Zui新版本的插件是一种很好的做法。安全性永远不会成为问题，直到它出现问题并且网络流量崩溃。为什么要成为竞争对手的一个对象课程呢？

如果您使用Yoast SEO 9.1或更早版本，更新它可能是个好主意。保持插件更新是一种安全性Zui佳实践。

更多ResourcesStudy显示Web安全直接影响SEOSEO＆amp;网络安全: SEO行业如何看待RelationshipYoast SEO插件7.0 Bug导致排名下降

图像由Shutterstock提供，由AuthorScreenshots作者修改，由作者修改

CategoryNewsSEO