SEO By RankMath, un plugin SEO populaire a récemment corrigé plusieurs vulnérabilités. L'un des problèmes résolus a permis à un abonné de réinitialiser les paramètres du plug-in. Les éditeurs Web sont invités à mettre à jour leur plugin.
Description de SEO par RankMath Vulnerability Fix
La base de données de vulnérabilités WordPress (WPVULNDB) a annoncé la vulnérabilité dans le référencement par RankMath dans un post.
Selon WPVULNDB:
« Permet à n'importe quel utilisateur authentifié (avec un rôle aussi bas que l'abonné) de réinitialiser les paramètres du plug-in. »
Il y avait aussi un séparé Problème de Cross Site Scripting qui a été corrigé.
Une vulnérabilité de type Cross Site Scripting est un problème relativement courant qui permet à un attaquant d'exploiter une partie interactive d'un site (comme un formulaire) et de soumettre du code permettant (entre autres choses) d'obtenir des informations sur les cookies, ainsi que de télécharger des données ou des scripts sur le site. .
RankMath renforce la sécurité
Les problèmes de sécurité ci-dessus ont été corrigés dans la version 1.0.27 du plug-in du 21 juin 2019. Le 23 juin, RankMath a publié une autre mise à jour (1.0.27.2) qui renforçait encore la sécurité.
Selon le SEO par RankMath changelog:
“Amélioration de la désinfection dans le plugin”
Assainissement signifie une couche supplémentaire de codage qui empêchera une entrée inattendue de casser un script et de permettre un exploit.
Par exemple, si un script attend des données sans espaces, une entrée avec des espaces pourrait, dans cet exemple, interrompre le script. La désinfection est une étape supplémentaire dans le code qui anticipe une entrée malveillante et fermera cet espace pour empêcher l'exploit de se produire.
RankMath informe de manière responsable les utilisateurs
Un journal des modifications est un enregistrement de ce qu'une mise à jour modifie et corrige. Pour chaque mise à jour, un développeur de plugins WordPress publie un journal des modifications qu'un utilisateur peut lire.
Il est important de noter que RankMath a agi comme il convient et a informé les utilisateurs via leur journal des modifications que cette mise à jour contenait un correctif de sécurité.
De nombreux éditeurs de plug-in ne préviennent pas les utilisateurs qu'une mise à jour contient un correctif de sécurité.
Les développeurs de plugins craignent peut-être de nuire à leur marque en reconnaissant l'existence d'une vulnérabilité. Ainsi, ils cachent le correctif sans s’annoncer, sans le mentionner dans leur journal des modifications.
Il se peut que certains développeurs de plugins espèrent que personne ne remarquera que le plugin contient une vulnérabilité. À mon avis, c'est irresponsable. Cela amène l'utilisateur à ignorer l'urgence de mettre à jour un plugin.
RankMath a abordé cette mise à jour de sécurité de manière honorable et transparente. Leur journal des modifications note avec précision la mise à jour de sécurité. C’est le signe d’un développeur de confiance.
Bien sûr, tous les plugins doivent être mis à jour dès qu'une mise à jour est disponible. Les mises à jour de sécurité doivent toujours être appliquées immédiatement.