Falha no plug-in Jetpack de SEO do WordPress coloca mais de 1 milhão de sites em risco.
Vulnerabilidade no plug-in Jetpack pode ser explorada para injetar códigos maliciosos nos comentários. Proprietários de sites baseados em WordPress devem atualizar o plug-in Jetpack assim que possível devido a uma falha séria que pode expor seus usuários a ataques.
O Jetpack é um plug-in popular que oferece otimização gratuita para sites, como SEO, gerenciamento e recursos de segurança. Ele foi desenvolvido pela Automatic, a companhia por trás do WordPress.com e pelo projeto open-source WordPress, e conta com mais de 1 milhão de instalações ativas.
Pesquisadores da empresa de segurança Sucuri encontraram uma vulnerabilidade do tipo cross-site scripting (XSS) que afeta todos os Jetpack lançados desde 2012, começando com a versão 2.0.
O problema está localizado no módulo Shortcode Embeds Jetpack que permite usuários incorporarem vídeos externos, imagens, documentos, tweets e outras fontes em seu conteúdo. Ele pode ser facilmente explorado para injetar código JavaScript malicioso nos comentários.
Desde que o código Java é persistente, ele será executado nos browsers de usuários no contexto do site afetado toda vez que eles visualizarem o comentário malicioso. Isso pode ser usado para roubar cookies de autenticação, incluindo a sessão de administrador, para redirecionar visitantes a exploits ou injetar spam de otimização de busca.
“A vulnerabilidade pode ser facilmente explorada via comentários wp e nós recomendamos que todos atualizem, caso você não o tenha feito ainda”, disse o pesquisador da Sucuri, Marc-Alexandre Montpas.
Sites que não têm o módulo Shortcode Embeds ativados não são afetados, mas este módulo fornece uma funcionalidade popular, então muitos sites podem tê-lo ativado. Os desenvolvedores do Jetpack têm trabalhado com o time de segurança do WordPress para disponibilizar atualizações para todas as versões afetadas através do sistema de auto-atualização do WordPress. Versões Jetpack 4.0.3 ou mais recentes contém o reparo.
Caso usuários não queiram atualizarem para a última versão, os desenvolvedores Jetpack também fizeram lançamentos pontuais para todas as 21 vulnerabilidades do código Jetpack: 2.0.7, 2.1.5, 2.2.8, 2.3.8, 2.4.5, 2.5.3, 2.6.4, 2.7.3, 2.8.3, 2.9.4, 3.0.4, 3.1.3, 3.2.3, 3.3.4, 3.4.4, 3.5.4, 3.6.2, 3.7.3, 3.8.3, 3.9.7, e 4.0.3.
A importância de uma gestão eficiente de SEO para sua empresa
Fica mais do que claro identificar que não são plug-ins do WordPress que farão com que teu site venha ser o mais visitado ou que tenha um bom ranqueamento, é necessário expertise, estudo e conhecimento de causa para que realmente seja realizado um trabalho de qualidade de SEO.
Como escolher a Agência de SEO para otimizar o site de sua empresa?
Temos certeza que você já fez essa pergunta e estamos aqui para ajudá-lo. A primeira coisa a ser pensada é em relação ao valor que deverá ser pago para a gestão de SEO, não é mesmo? Mas existem outros aspectos que são necessários verificar, onde demonstramos que esse fator é um dos menos relevantes! Entenda: acesse aqui e tire todas as suas dúvidas sobre SEO.