9/05/2016 Wordpress 3598
Vulnerabilità in Yoast SEO 3.2.4 su WordPress

Leggo da Wordfence, uno dei portali che si occupano di sicurezza su CMS Wordpress, che è stato riscontrata una vulnerabilità su Yoast SEO alla versione 3.2.4

In particolare questa falla di sicurezza permette agli utenti registrati su un sito WP, con livello di accesso “sottoscrittore” (senza la possibilità di accedere ai dati di configurazione del plugin dedicato all’ottimizzazione SEO), di effettuare un export delle impostazioni di Yoast grazie all’uso di un exploit.

Questa vulnerabilità è stata corretta nella versione 3.2.5 di Yoast, rilasciata il 6 maggio 2016 e si consiglia l’aggiornamento a questa versione per tutti quei siti, realizzati in Wordpress, che hanno diversi utenti con permessi diversi. Nel caso di monoutenza il problema, pur essendo presente, non influisce sulla sicurezza.

Vulnerabilità in Yoast #SEO 3.2.4 su #Wordpress, corretta da un nuovo aggiornamento Condividi il Tweet

Quali dati è possibile recuperare sfruttando la falla di sicurezza di Yoast 3.2.4

Sfruttando la vulnerabilità è possibile scaricare tutte le impostazioni di configurazione di Yoast e le focus keyword dei singoli post e delle pagine. Per chi non leconoscesse, le focus keywords sono le parole chiave che inseriamo per effettuare l’analisi automatica del contenuto da parte di Yoast.

Chiaramente questa falla di sicurezza potrebbe essere utilizzata per analizzare nel dettaglio le impostazioni a livello di SEO, di un sito e replicarle in prodotti similari.

La vulnerabilità nel dettaglio

Wordfence spiega precisamente la vulnerabilità di Yoast alla versione 3.2.4 e in particolare un utente malintenzionato, registrato come utente sottoscrittore in una piattaforma Wordpress che usa questo plugin per la SEO, potrebbe utilizzare le seguenti azioni AJAX per recupera i dati:

  • wpseo_export
  • get_focus_keyword_usage
  • get_term_keyword_usage

In teoria queste azioni AJAX dovrebbero essere accessibili solamente agli utenti con livello amministrativo, ma utilizzando un exploit è possibile utilizzare le funzioni per recuperare i dati altrimenti non accessibili.

Condividi:
pino

Nato con la passione per l'informatica da mamma Access e papà ASP nel 2002 rinnego repentinamente la mia paternità facendomi adottare da papà PHP e mamma SQL.
Allevo HTML e correlati fiori in CSS mentre vedo i frutti del mio orticello SEO crescere grazie alla passione e alla dedizione della coltura biodinamica; perchè il biologico è fin troppo artificiale.
Realizzo siti internet a tempo pieno, nei restanti momenti mi occupo di redigere articoli per questo sito e saltuariamente far esperimento nel mare che è internet.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *


Approfondimenti correlati
Scopri di piùLeggi di piùScopri di più

Audit SEO: automatizzare il controllo del tag title

In occasione del compleanno di posizionamento-seo.com (5 anni di presenza in rete dominio acquistato 14 ottore 2013 ma sito salito…

Scopri di piùLeggi di piùScopri di più

Guida all’ottimizzazione dei link interni

I link interni, ovvero quei link che collegano tra loro le pagine dello stesso sito, costituiscono un elemento molto importante…

Scopri di piùLeggi di piùScopri di più

Yoast, 5 trucchi per migliorare l’ottimizzazione SEO

Da pochissimo è stata rilasciata la nuova versione di Yoast SEO, la 6.2 per l’esattezza, che promette un’analisi della leggibilità…

Scopri di piùLeggi di piùScopri di più

Google Search Console e le schede informative: analisi del markup strutturato

All'interno di Google Search Console mi sembra che recentemente sia stata aggiunta una nuova scheda per l'analisi delle schede informative,…