Rank Math – wtyczka dobra, ale dziurawa. Zagrożone 200 000 stron na WordPressie

Jeśli do SEO na swoim WordPressie używasz wtyczki Rank Math, to zalecam szybką aktualizację. W przeciwnym razie, może Cię czekać niemiła niespodzianka.

Rank Math to wtyczka SEO bardzo szybko zdobywająca popularność i mająca swoich gorących zwolenników. Bardzo szybko zaczęła dościgać popularnością Yoast czy All in One SEO.

Twórcom przydarza się jednak już kolejna wpadka w kwestii bezpieczeństwa, tym razem dość poważna.

Zagrożone są wszystkie wersje poniżej 10.0.41.

Luka w bezpieczeństwie pozwala nieuprawnionym użytkownikom m. in. na:

  • nadanie i usunięcie uprawnień admina dowolnemu zarejestrowanemu użytkownikowi
  • tworzenie dowolnych przekierowań 301

W repozytorium dostępny jest już oczywiście update, który należy wykonać jak najszybciej.

W czerwcu zeszłego roku deweloperzy również borykali się z pewnymi problemami z bezpieczeństwem, jednak były one znacznie mniej poważne (pozwalały np. dowolnemu zarejestrowanemu użytkownikowi zresetować ustawienia wtyczki).

Buga wytropił zespół WordFence. I tu ciekawostka – choć szeroko krytykowane, wtyczki odpowiadające za bezpieczeństwo, takie jak WordFence mogą jednak czasem pomóc. Użytkownicy WordFence Premium zostali bowiem zabezpieczeni natychmiast po wykryciu problemu, bez czekania na reakcję deweloperów Rank Math.

Nie żebym zalecał instalację WordFence – w 2014 wtyczka ta sama miała czarną serię, po której okazało się, że była dziurawa jak ser szwajcarski 🙂

Należy oddać sprawiedliwość teamowi Rank Math: reakcja na informację o zagrożeniu była bardzo szybka, a update ukazał się po 24 godzinach. Informacja o zagrożeniu znalazła się też w changelogu wtyczki.


Pomogę Ci wybrać agencję SEO Konsultacja i wycena bez żadnych kosztów
Piotr Samojło

Freelancer działający pod marką Audytorium SEO. Jeśli masz pytania, lub szukasz człowieka od SEO i optymalizacji stron, zapraszam do kontaktu.

FAQ


Co umożliwia luka w bezpieczeństwie wtyczki Rank Math?

Luka umożliwia nadanie i usunięcie uprawnień admina dowolnemu zarejestrowanemu użytkownikowi oraz tworzenie dowolnych przekierowań 301.

Jaka wersja wtyczki naprawia ten błąd?

Update wtyczki wyszedł w wersji 10.0.41.

Zobacz komentarze

  • Krytykujecie Wordfence...OK ale co w zamian?

    Anuluj odpowiedź

    Zostaw komentarz

    Twój adres e-mail nie zostanie upuibliczniony Pola wymagabe*

    • Nie krytykuję, bo nie zajmuję się zawodowo bezpieczeństwem WP. A nie ma nic gorszego niż słuchanie rad osób wszechwiedzących. Po prostu informuję, że były takie wpadki. Ale jeśli już miałbym coś doradzać... https://wpmagus.pl/pliki/prezentacje/wyczaruj-sobie-spokoj/#/

      Anuluj odpowiedź

      Zostaw komentarz

      Twój adres e-mail nie zostanie upuibliczniony Pola wymagabe*

Zostaw komentarz

Twój adres e-mail nie zostanie upuibliczniony Pola wymagabe*

Szybkość strony – poradnik dla początkujących

Co by było, gdybyśmy na szybkość witryny spojrzeli nie pod kątem punktów zdobywanych w teście…

19 godzin temu

People cards – nowa funkcja testowana przez Google

Google testuje na rynku indyjskim nową funkcję, która po głębszym zastanowieniu wydaje się niemal rewolucyjna.…

2 dni temu

Firma prowadzona przez Afroamerykanów – nowe oznaczenie w Google Moja Firma

Google w amerykańskiej wersji Google Moja Firma (Google My Business) wprowadza nowe oznaczenie - Black-owned,…

2 tygodnie temu

Google Guaranteed, czyli jak Google za $50 miesięcznie rozmienia na drobne swoje dziedzictwo

Google (a dokładniej spółka matka Alphabet) to korporacja. Korporacja ma za zadanie zarabiać i pomnażać…

3 tygodnie temu

Rich Results Test wychodzi z bety, ale nie to jest najważniejsze

Google właśnie ogłosiło, że Rich Results Tool, narzędzie do testowania wyników rozszerzonych w SERPie, wyszło…

1 miesiąc temu

Grzeszki stron topowych agencji SEO

Od dłuższego czasu zżerała mnie ciekawość, jak duże agencje SEO radzą sobie z wdrażaniem wytycznych…

2 miesiące temu

Wraca polskojęzyczne forum dla webmasterów

Po ponad roku nieobecności Google postanowiło przywrócić polskojęzyczne forum dla webmasterów. Polska wersja forum dostępna…

3 miesiące temu

Dziura w Google Site Kit pozwala przejąć dostęp do Google Search Console

Jeśli używasz oficjalnej wtyczki do Wordpressa: Google Site Kit, to zanim doczytasz do końca, przejdź…

3 miesiące temu

CSS Containment – nowy standard wspomagający renderowanie witryny

Zaledwie kilka dni temu pisałem o inicjatywie Web Vitals autorstwa Google, polegającej na skupieniu się…

3 miesiące temu

Ta strona używa cookies.

Polityka prywatności