Cercetătorii de securitate de la Jetpack au descoperit două vulnerabilități grave în plugin-ul SEO All In One. Vulnerabilitățile ar putea permite unui hacker să acceseze nume de utilizator și parole și, de asemenea, să efectueze exploatații de execuție a codului de la distanță.
Vulnerabilitățile depind unele de altele pentru a avea succes. Primul se numește Privilege Escalation Attack, care permite unui utilizator cu un nivel scăzut de privilegii de acces la site (precum un abonat) să își ridice nivelul de privilegii la unul cu mai multe privilegii de acces (cum ar fi un administrator de site).
Cercetătorii de securitate de la Jetpack descriu vulnerabilitatea ca fiind gravă și avertizează asupra următoarelor consecințe:
„Dacă este exploatată, vulnerabilitatea SQL Injection ar putea acorda atacatorilor acces la informații privilegiate din baza de date a site-ului afectat (de exemplu, nume de utilizator și parole hashing).”
Escalarea privilegiilor autentificată
Unul dintre exploatări este o vulnerabilitate Authenticated Privilege Escalation care exploatează API-ul REST WordPress, permițând unui atacator să acceseze nume de utilizator și parole.
API-ul REST este o modalitate prin care dezvoltatorii de pluginuri pot interacționa cu instalarea WordPress într-un mod sigur pentru a activa funcționalități care nu compromit securitatea.
Această vulnerabilitate exploatează punctele finale ale API-ului REST WordPress (URL-uri care reprezintă postări etc.). Atacurile asupra API-ului REST sunt din ce în ce mai mult un punct slab al securității WordPress.
Dar nu este vina WordPress, deoarece API-ul REST este conceput pentru securitate.
Vina, dacă degetele trebuie îndreptate, este în întregime a pluginurilor.
În pluginul de optimizare All In One SEO, problema a fost în verificările de securitate care verifică dacă un utilizator care accesează un punct final API avea acreditările de privilegiu potrivite.
Potrivit Jetpack:
„Verificările de privilegii aplicate de All In One SEO pentru a securiza punctele finale REST API conțineau o eroare foarte subtilă care ar fi putut acorda utilizatorilor cu conturi cu privilegii reduse (cum ar fi abonații) acces la fiecare punct final pe care îl înregistrează pluginul.
…Deoarece nu a luat în considerare faptul că WordPress tratează rutele REST API ca șiruri care nu țin cont de majuscule, schimbarea unui singur caracter în majuscule ar ocoli complet rutina de verificare a privilegiilor.”
Cât durează o campanie de SEO?
După cât timp se văd primele rezultate?
Unele schimbări se văd chiar foarte repede, și acestea sunt de obicei schimbările făcute pe site (optimizarea ON Site). Referitor la schimbările în poziționări, acestea încep să apară după primele 3-4 luni, dar nu sunt tot timpul definitive și pot fluctua foarte mult (ex: într-o zi site-ul este pe pagina 2, iar a doua zi sare pe pagina 10), asta datorită faptului ca roboții de la google indexează în continu informații noi despre site. Conform Google, în funcție de vechimea domeniului, articolele postate pot dura între 8 – 38 de săptămâni până sa fie indexate complet; de aceea chiar și după perioada celor 6 luni de optimizare, urmează încă o perioadă de min 3-4 luni până se văd rezultatele finale.
Cât costă o campanie de SEO?
Prețurile diferă de la proiect la proiect. Există unele pachete standard pentru diferite campanii, dar pentru o campanie personalizată, întrebarea nu ar trebuie sa fie ‘Cât costă?’, ci mai degraba ‘Cum și cu cât îmi va crește vânzările?’, astfel vei putea să deduci de la început dacă merită sau nu o campanie SEO.
