Saturday , September 23 2017
Home / Vulnerability / Vulnerability Di Plugin WordPress SEO By Yoast

Vulnerability Di Plugin WordPress SEO By Yoast

Vulnerability Yoast

Sebuah vulnerability kritis telah ditemukan dalam plugin yang paling populer dari WordPress (CMS). Ada puluhan Juta website yang menggunakan CMS wordpress dan beresiko di hack oleh para hacker.

Vulnerability ini berada di sebagian besar versi dari plugin yang dikenal sebagai ‘WordPress SEO by Yoast,’ yang memiliki lebih dari 14 juta pengunduh menurut situs Yoast, hal ini menjadikannya salah satu plugin yang paling populer dari WordPress untuk mengoptimalkan website dengan mudah di mesin pencarian atau orang-orang biasa menyebutnya dengan Search engine optimization (SEO).

Vulnerability pada WordPress SEO by Yoast telah ditemukan oleh Ryan Dewhurst, pengembang WordPress vulnerability scanner ‘WPScan’.

Semua versi sebelum 1.7.3.3 dari ‘WordPress SEO by Yoast‘ rentan terhadap Blind SQL Injection web aplikasi.

SQL injection (SQLi) Vulnerability merupakan salah satu vulnerability yang penting karena bisa menyebabkan pelanggaran database dan menyebabkan kebocoran informasi rahasia. Pada dasarnya dalam serangan SQLi, penyerang menyisipkan query SQL ke dalam aplikasi melalui akses client.

Cara Kerja Vulnerability Yoast

Dalam skenario ini, seorang hacker luar tidak dapat memicu vulnerability ini sendiri karena cacat ini sebenarnya berada dalam file ‘admin/class-bulk-editor-list-table.php ‘, yang hanya bisa diakses oleh WordPress Admin, Editor atau Author privileged users saja.

Oleh karena itu, agar berhasil memanfaatkan celah ini, diperlukan pemicu untuk mengeksploitasi dari pengguna yang berwenang saja. Hal ini dapat dicapai dengan bantuan rekayasa sosial, di mana seorang penyerang bisa menipu pengguna yang berwenang atau admin untuk mengklik URL yang memiliki muatan khusus untuk mengeksploitasi.

Jika pengguna WordPress yang berwenang jatuh kedalam tipuan yang dibuat oleh hacker, hal ini dapat memungkinkan seorang hacker untuk mengeksploitasi dan mengeksekusi query SQL secara bebas pada situs web WordPress milik korban, Ryan menjelaskan kepada blogger security Graham Cluley.

Ryan juga merilis bukti muatan Blind SQL Injection vulnerability pada ‘WordPress SEO by Yoast‘, yaitu sebagai berikut:

http://victim-wordpress-website.com/wp-admin/admin.php?page=wpseo_bulk-editor&type=title&orderby=post_date%2c(select%20*%20from%20(select(sleep(10)))a)&order=asc

Patch Untuk Vulnerability Yoast SQLi

Vulnerability SQLi pada Yoast dilaporkan telah ditambal pada versi terbaru dari WordPress SEO by Yoast (1.7.4) oleh pengembang Plugin Yoast WordPress, dan perubahan log menyebutkan bahwa versi terbaru telah “mungkin CSRF dan vulnerability injeksi SQL buta dalam sejumlah besar Editor tetap.”

Administrator WordPress yang menggunakan fitur Auto-update flaw disarankan untuk meng-upgrade SEO WordPress mereka dengan Plugin Yoast terbaru sesegera mungkin atau mereka dapat secara manual men-download versi terbaru dari WordPress Plugin repositori.

Jika Anda telah menginstal WordPress versi 3.7 keatas, maka Anda dapat mengaktifkan sepenuhnya mengotomatisasi pembaruan plugin dan tema dari Mengelola> Plugins & Tema> tab Auto Update.

Incoming search terms:

  • cara deface lewat plugin sen by yoas

Leave a Reply

Your email address will not be published. Required fields are marked *

*

You might also likeclose
Free WordPress Themes - Download High-quality Templates