Rank Math là plugin hỗ trợ SEO WordPress nổi tiếng với hơn 2 triệu người sử dụng. Tại Việt Nam, plugin này cũng được rất nhiều chủ website hoặc người làm SEO cài đặt cho website của mình.
Rank Math gần đây đã vá một lỗ hổng bảo mật Stored Cross-Site Scripting, lỗ hổng này có thể bị tin tặc tấn công bằng cách tải lên các file độc và khởi động các cuộc tấn công.
Để khắc phục lỗi bảo mật này, bạn nên cập nhật lên phiên bản mới nhất hoặc phiên bản từ 1.0.215 trở đi.
Thông tin cụ thể về lỗ hổng được Wordfence.com đưa ra như sau:
- Phiên bản bị ảnh hưởng: Từ phiên bản 1.0.214 trở lui
- Phiên bản vá: 1.0.215
- Cách khắc phục: Cập nhật lên phiên bản 1.0.215 hoặc bản vá mới nhất
Plugin Rank Math SEO
Plugin Rank Math có các tính năng theo modun, người dùng có thể chọn những modun tính năng theo nhu cầu của mình và tắt những modun tính năng không cần thiết, giúp tối ưu tốc độ website WordPress hơn.
Nếu so sánh với plugin Yoast SEO, Rank Math sử dụng ít tài nguyên máy chủ hơn (+0,35 MB bộ nhớ so với +1,62 MB của Yoast).
Lỗ hổng XSS trên plugin Rank Math SEO
Các nhà nghiên cứu bảo mật của Wordfence đã đưa ra lời khuyên về một lỗ hổng trong plugin Rank Math SEO có thể dẫn đến lỗ hổng Cross Site Scripting (XSS).
Lỗ hổng XSS cho phép kẻ tấn công tải lên các file độc và tấn công các trình duyệt, điều này có thể dẫn đến việc đánh cắp cookie, cho phép truy cập website trái phép và xâm phạm dữ liệu nhạy cảm.
Nguồn gốc của lỗ hổng là do việc cấp quyền nhập file đầu vào phân giải ở đầu ra là trình duyệt web, đây là lý do phổ biến khiến lỗ hổng XSS xảy ra tại chức năng plugin cho phép người dùng (Chỉ với quyền truy cập cấp Cộng tác viên trở lên) tải lên hoặc nhập dữ liệu.
Nếu bạn đang sử dụng plugin Rank Math SEO, hãy cập nhật phiên bản mới nhất trong Dashboard WordPress hoặc tải trực tiếp phiên bản mới nhất tại trang chủ WordPress.org.