12 декабря 2018 г.
Еще 25 октября специалистами RipsTech была выявлена уязвимость в популярном плагине для WordPress All in One SEO Pack. Из-за вывода неочищенных значений переменных непосредственно в HTML-разметку стала возможным XSS-атака, позволяющая злоумышленнику внедрить свой код в веб-страницу и получить доступ к панели управления сайтом либо к базе данных.
По данным RipsTech, сразу же после обнаружения уязвимости данные были направлены разработчику плагина. В тот же день был получен ответ, касательно того, что разработчик исследует проблему и устранит недочет. Однако спустя месяц никаких сведений от разработчиков не поступало, и в версии плагина 2.10, выпущенной 6 декабря 2018 года, сведений об устранении данной уязвимости нет.
В соответствии с общепринятой практикой, RipsTech опубликовал в общем доступе сведения о данной уязвимости спустя 1 календарный месяц, отведенный разработчикам на устранение. Поэтому с 25 ноября все сайты, на которых работает All in One SEO Pack, подвергаются дополнительному риску. Вебмастерам рекомендуется предпринять повышенные меры предосторожности, особенно в вопросах безопасного хранения пользовательских данных. Также следует обратить внимание на достаточную сложность и регулярную смену администраторских паролей.
На сегодняшний день All in One SEO Pack является одним из наиболее популярных SEO-плагинов для вордпресс, предлагающих поисковую оптимизацию «под ключ». Этот инструмент позволяет настраивать многочисленные параметры, включая МЕТА-теги, XML карту сайта, микроразметку для социальных сетей и прочие параметры, помогающие улучшить индексируемость и видимость сайта в поисковых системах. Однако из-за проблем с безопасностью следует задуматься о целесообразности применения данного инструмента, по крайней мере до выпуска разработчиками соответствующего патча.