Valitettavasti aivan hiljattain on löytynyt XSS (cross site scripting) haavoittuvuus, joka koskee kolmea suosittua WordPress pluginia: : Formidable Forms, Duplicator ja Yoast SEO. Löydöksen takana ovat suomalaiset: Jouko Pynnönen ja Klikki Oy.

XSS-haavoittuvuus mahdollistaa koodin syöttämisen, ja sen avulla mahdollisesti tunkeutumisen verkkosivulle.

Hakukoneoptimointimielessä tärkein näistä on tietysti Yoast-lisäosa, jonka osalta haavoittuvuus on korjattu 5.8 versiossa. Kääntäen siis kaikissa vanhemmissa lisäosan versioissa tuo Yoast XSS-haavoittuvuus on olemassa.

Mikä avuksi, jos sinulla on WordPress-sivusto jossa on Yoast-lisäosa?

Apu on sama tuttu, kuin usein WordPressissä: päivitä lisäosasi.

Yoast SEO lisäosa (plugin) on XSS-haavoittuva 5.7.1 versioon asti

Kuvassa yllä tälläkin sivustolla oli vielä hetki sitten versio 5.7.1, mutta se piti päivittää haavoittuvuuden korjaamiseksi. Kuvassa alla näkyy versio 5.8, joka on ensimmäinen turvallinen versio Yoastista.

Yoast SEO lisäosa (plugin) on XSS-haavoittuvuuden osalta korjattu alkaen v5.8

Ylipäätään WordPressin lisäosia näkee koko ajan haavoittuvuuslistoilla ja se ei ole sinänsä huono asia, vaan ehkäpä paremminkin merkki siitä, että niitä tutkitaan aktiivisesti ja virheitä löytyy koko ajan. Parempi, että viat ovat tiedossa, jotta ne voidaan päivityksillä korjata. Näin on aivan taatusti nimenomaan Yoast SEo -lisäosan kanssa, koska se on suuren osan hakukoneoptimoijia suosiossa.

Lue aiempi kirjoitus phishingistä ja sen vaikutuksesta hakukoneoptimointiin

Lue lisää tästä Yoast SEO -haavoittuvuudesta:

https://klikki.fi/adv/formidable.html
https://www.wordfence.com/blog/2017/11/vulnerabilities-yoast-seo-formidable-forms-duplicator-wordpress-plugins/