All in One SEO je populární plugin pro WordPress. Pokud však používáte tento plugin, měli byste zpozornět. All in One SEO aktuálně upozorňuje své uživatele, že některé jeho starší verze obsahují dvě kritické bezpečnostní chyby.
Jedna se týká napadení webu prostřednictvím „SQL injection“ (jde o techniku útočníka, kdy je útok veden na internetové stránky prováděný prostřednictvím neošetřeného formuláře nebo při manipulaci s URL), druhá chyba spočívá v „Eskalaci priveligií“ (technika umožňující využívat nad WordPressem vyšších oprávnění, než jsou aplikaci či uživateli ve skutečnosti svěřena).
Vývojáři pluginu proto 7. prosince vydali novou verzi pluginu 4.1.5.3, která tyto chyby odstraňuje. Dle dostupných statistik však vyplývá, že na internetu k 21. prosinci stále existuje více než 820 000 webů využívajících tento plugin, u kterých není aktualizace na nejnovější verzi provedena.
Obsah
Koho se nutná aktualizace WooCommerce týká.
All in One plugin do Wordpresu ve verzi 4.0.0 – 4.1.5.2.
Oprava chyb byla nasazena ve verzi 4.1.5.3 – používáte-li tedy tuto verzi či novější, je Vaše verze v pořádku.
Co když aktualizaci pluginu neprovedu
V případě, že nedojde k aktualizaci pluginu na vyšší verzi je velmi velká pravděpodobnost, že ve brzy dojde k využití této chyby útočníky, kteří vyhledávají staré neaktualizované verze a zneužijí webovou stránku například k rozesílání spamu nebo šíření phishingové stránky. V rámci využití této bezpečnostní chyby je možné, že dojde ke stažení dalších dat např. zákazníků, jejich nákupů a ostatních citlivých informací. Určitě tak doporučujeme uvedenou chybu nepodceňovat a provést aktualizaci pluginu co nejdříve.
Jak zjistím jakou verzi používám.
Pokud si nejste jistí, jakou verzi All in One SEO používáte, dle následujícího postupu zjistíte, jakou verzi máte nainstalovanou a zda je nutné řešit aktuálně aktualizaci pluginu. Po přihlášení do redakčního systému WordPress, v levém sloupci vyberete Pluginy a poté přehled pluginů. Najdete plugin All in One SEO – v popisu přehledu pluginu je možné nalézt jeho verzi.
Pokud máte neaktuální verzi, tak Vám WordPress přímo nabídne provést aktualizaci tohoto pluginu. Na níže uvedeném snímku si můžete prohlédnout jak vypadá, pokud je verze aktuální a kde je verze pluginu zobrazena.
Automatické aktualizace pluginu.
Pokud máte nastavené provádění automatických aktualizací v redakčním systému, tak Vám WordPress aktualizuje pluginy sám, jakmile bude nalezena nová aktualizace. Automatické nastavení aktualizací pluginu však nastavit nedoporučujeme z důvodu nutného ověření kompatibility s ostatními pluginy před provedením samotné aktualizace s redakčním systémem. Zároveň Vám doporučujeme před provedením aktualizací zálohovat celý redakční systém. Pokud by se samotná aktualizace nepovedla, vykazovala by možné chyby či měla problém s kompatibilitoum můžete se pohodlně vrátit do stavu před aktualizací z provedené zálohy.
Informujeme naše zákazníky.
Provedli jsme kontrolu na našich zákaznických serverech a v případě, že naši zákazníci používají tyto neaktuální a zneužitelné verze All in One pluginu, tak postupně tyto zákazníky kontaktujeme. Zašleme Vám e-mail a SMS zprávu, abychom Vám dali co nejdříve vědět, že je třeba aktualizaci řešit. V případě, že byste si nevěděli rady s provedením aktualizace nebo s nastavením redakčního systému, stačí kontaktovat naši zákaznickou podporu a rádi Vám poradíme. Jsme Vám k dispozici 24 hodin denně, 7 dní v týdnu prostřednictvím telefonu, chatu nebo e-mailu.
Přes 1 400 000 stažení za den.
Po vydání aktualizace uživatelé pluginu začali tento plugin stahovat a aktualizovat ve velkém množství. Jak je patrné z grafu stažení, v den vydání aktualizace zaznamenal plugin rekordní množství stažení během jediného dne, více než 1 400 000 stažení. Tak uvedenou chybu nepodceňujte, zkontrolujte a případně aktualizujte One in all SEO i ve Vašem WordPressu co nejdříve.
