Une faille de sécurité majeure a été découverte dans le plugin SEO Rank Math, mettant en péril la sécurité de plus de deux millions de sites WordPress. Implications et les mesures à prendre.
Ce qu'il faut retenir :
- Une vulnérabilité de type Stored Cross-Site Scripting (XSS) a été repérée dans le plugin Rank Math SEO, permettant aux hackers d'injecter des scripts malveillants ;
- Rank Math a rapidement réagi en publiant une mise à jour pour corriger cette faille. Mettez rapidement à jour ce plugin vers la dernière version pour sécuriser vos sites.
Mettez à jour votre plugin Rank Math SEO
Le plugin Rank Math, plébiscité par plus de deux millions d'utilisateurs de WordPress pour ses fonctionnalités SEO, est au cœur d’un problème de sécurité. Un Stored Cross-Site Scripting (XSS) a été découvert : il s’agit d’une vulnérabilité assez répandue, qui permet aux hackers d’injecter un code malveillant via les paramètres d’entrée côté client sur des sites web. Les hackers peuvent ainsi exécuter un malware, altérer des contenus ou des données, rediriger l’utilisateur, etc.
La faille a été identifiée par les experts en sécurité de Wordfence. Cela provient d’un manque de filtre des entrées indésirables. Voici l’alerte de Wordfence :
“Le plugin Rank Math SEO avec AI SEO Tools pour WordPress est vulnérable aux Stored Cross-Site Scripting via les attributs de blocage HowTo dans toutes les versions jusqu'à la 1.0.214 incluse en raison d'une vérification insuffisante des encodages en entrée et en sortie sur les attributs fournis par l'utilisateur.
Cela permet aux hackers authentifiés, avec un accès au niveau contributeur et plus, d'injecter des scripts web arbitraires dans des pages qui s'exécuteront chaque fois qu'un utilisateur accède à une page injectée.”
Réponse rapide de Rank Math
Rank Math a rapidement adressé cette vulnérabilité en publiant une mise à jour qui renforce la sécurité de son bloc "HowTo", en remerciant Wordfence pour avoir révélé la faille. Cette mise à jour est nécessaire pour prévenir toute exploitation potentielle par des utilisateurs malveillants ayant accès à l'édition de posts.
Tous les utilisateurs de Rank Math doivent mettre à jour immédiatement le plugin à la dernière version pour protéger leurs sites contre cette faille de sécurité.
Popularité de Rank Math
Utilisé par plus de 2 millions de sites, le plugin SEO WordPress Rank Math est reconnu pour son large éventail de fonctionnalités, incluant le suivi de mots-clés, l’ajout de données structurées Schema.org, ainsi que des intégrations avec Google Search Console et Analytics.
Il reste néanmoins moins utilisé que son concurrent Yoast SEO, installé sur plus de 12 millions de sites web. D’autres extensions existent comme SEOKEY, SEOPress ou All in One SEO.
>> A lire sur Réacteur : Comparatif de 5 extensions pour WordPress (en 2 parties)
Merci pour l’info, j’ai patché mon site en conséquence.