ما امنیت را در Yoast جدی می گیریم و به طور مداوم به دنبال تهدیدها و آسیب پذیری های بالقوه ای هستیم که می تواند بر محصولات و مشتریان ما تأثیر بگذارد. به همین دلیل است که وقتی شرکت امنیتی WordFence را پیدا کرد، نگران شدیم آسیب پذیری های XSS در یکی دیگر از افزونه های سئو. پس از بررسی دقیق مشکلات، آسیبپذیری مشابه اما کمتر شدیدی را در Yoast SEO پیدا کردیم که تصمیم گرفتیم فوراً آن را اصلاح کنیم.
لطفاً امروز به آخرین نسخه به روز رسانی کنید تا مطمئن شوید که سایت شما محافظت می شود.
آیا من متاثر هستم؟
این مشکل فقط وبسایتهایی را تحت تأثیر قرار میدهد که چندین کاربر دارند، جایی که این کاربران دسترسی سطح «مشارکتکننده» یا بالاتر داشتند. در برخی موارد، آن کاربران میتوانند کد را در ویرایشگر قطعه ما ذخیره و اجرا کنند، که برای سایر کاربران اجرا میشد. یک شخص مخرب می توانست از این برای به خطر انداختن سایر کاربران یا وب سایت مورد نظر استفاده کند. این یک نوع حمله ‘XSS’ است.
به طور خلاصه، برخی از افرادی که به آنها اجازه محدودی برای انتشار یا ویرایش محتوا در سایت خود داده بودید، ممکن است بتوانند این مجوزها را دور بزنند و اگر می خواستند آسیبی به آنها وارد شود.
آسیب پذیری XSS چیست؟
XSS مخفف اسکریپت بین سایتی، نوعی حمله است که به عوامل مخرب اجازه می دهد تا اسکریپت ها را به صفحات وب که توسط سایر کاربران مشاهده می شوند تزریق کنند. چنین مشکلی می تواند منجر به عواقب مختلفی مانند ربودن جلسات کاربر، تخریب وب سایت ها یا هدایت مجدد کاربران به سایت های مخرب شود.
آسیبپذیریهای XSS زمانی رخ میدهند که فیلدهای ورودی کاربر بهدرستی پاکسازی نشده باشند (با اطمینان از ایمن بودن مقادیر و مطابقت با قالبها و الگوهای مورد انتظار) یا بهدرستی فرار نکنند (جایی که کاراکترها یا کدهای خاص به طور ایمن به متن تبدیل میشوند).
چه کاری باید انجام دهم؟
اگر سایت شما چندین کاربر دارد، شما ممکن است تحت تاثیر قرار گرفته اند. اگر این برای شما صدق می کند، باید فورا افزونه Yoast SEO خود را به روز کنید. ما همچنین توصیه میکنیم که یک ممیزی امنیتی انجام دهید (به راهنمای امنیتی ما مراجعه کنید)، بهروزرسانی خودکار افزونهها را فعال کنید، و اطمینان حاصل کنید که پشتیبانگیری منظم دارید.
اگر سایت شما نمی کند چندین کاربر داشته باشید، لازم نیست نگران باشید. البته، همچنان باید افزونه خود را به عنوان بخشی از بهترین شیوه ها به روز کنید.
Yoast چه کرد؟
ما مفتخریم که به سرعت واکنش نشان دادیم، این مشکل را برطرف کردیم و یک پچ را ظرف 24 ساعت منتشر کردیم. ما همچنین بخشهایی از Yoast SEO را بهطور کامل بررسی کردیم و هیچ مشکل امنیتی دیگری را پیدا نکردیم. به لطف این اصلاح، Yoast SEO اکنون امن تر از همیشه است. فرآیندهای توسعه ما اکنون شامل بررسیهای اضافی است تا اطمینان حاصل شود که چنین مسائلی دوباره تکرار نمیشوند.
میتوانیم با افتخار بگوییم که توانایی ما برای واکنش، تشخیص و ارائه بهروزرسانیها به این سرعت – چه اصلاحات امنیتی باشد و چه پاسخ به تغییرات الگوریتم Google – ما را از دیگران متمایز میکند.
یک دهکده طول می کشد
در حالی که این موضوع از ابتدا نباید اتفاق می افتاد، ما خوشحالیم که قبل از اینکه به یک دانش عمومی تبدیل شود و خطر بزرگی شود، خودمان آن را کشف کردیم.
این تا حدودی به دلیل کار بزرگ WordFence در افشای موضوع مرتبط در افزونه دیگر و مقاله راجر مونتی در Search Engine Journal که نشت را پوشش میدهد، ممکن شد. ما از حرفه ای بودن و تخصص آنها در کمک به توسعه دهندگان افزونه وردپرس برای بهبود امنیت خود قدردانی می کنیم.
همچنین می خواهیم از اعتماد و حمایت مشتریان خود تشکر کنیم. در Yoast، ما متعهد هستیم که بهترین افزونه های SEO را در اختیار شما قرار دهیم و به بهبود آنها ادامه خواهیم داد.
اگر در مورد این مشکل یا هر موضوع امنیتی دیگری سؤال یا نگرانی دارید، لطفاً با ما در [email protected] تماس بگیرید. شما همچنین می توانید در برنامه امنیتی ما شرکت کنید تا به ما در بهبود کار کمک کنید.
از درک شما متشکریم و به خاطر داشته باشید که ما همیشه برای کمک کردن اینجا هستیم.
درک مدیر ارشد فناوری ماست. او سابقه ای در مهندسی نرم افزار و معماری دارد. در Yoast، او مسئول اطمینان از ادامه توسعه نرمافزار در سطح جهانی است.
