משתמשים ב-Rank Math לצרכי SEO? רוצו לעדכן גרסה

כמה מילים על Rank Math, למי שלא מכיר:

Rank Math נכנס לחיינו בסערה כאלטרנטיבה איכותית לתוסף קידום האתרים הפופולרי יוסט (Yoast) ששלט בשוק בצורה כמעט אבסולוטית והיה לפלאגין המועדף עבור כל מי שעסק בקידום אתרי וורדפרס.

היתרון המובהק של ראנק מת' הוא העובדה שמדובר בתוסף חינמי לחלוטין אשר מציע אפשרויות פרימיום מתקדמות, כדוגמת: אינטגרציה מלאה עם Google Search Console, מעקב אחר שגיאות 404, ניהול הפניות (פיצ'ר שלימים יהפוך לחור אבטחה רציני), עבודה מלאה עם Schema ועוד מגוון רחב של אפשרויות מתקדמות.
כמו כן, ראוי לציין שראנק מת' מציע כלי לייבוא נתונים מ- Yoast SEO ו- All in One SEO, מה שסייע לו להגיע ללמעלה מ-200,000 התקנות.

חורי האבטחה שהתגלו

בתאריך 23.03.2020 קבוצת חוקרים מחברת Defiant (אשר אחראית בין היתר על התוסף Wordfence המסייע באבטחת אתרי וורדפרס) גילו 2 פריצות אבטחה קריטיות המאיימות על למעלה מ-200,000 אתרים שמשתמשים בתוסף בגרסאות שמתחת ל- 1.0.40.2 כולל.
צוות החוקרים יצרו קשר עם המפתחים של התוסף ועידכנו אותם בממצאים המלאים ואלו הוציאו עידכון תוך 24 שעות.

אז… מה היה לנו שם ומהן האפשרויות של התוקף הפוטנציאלי?

1. השתלטות מלאה על האתר
   חור האבטחה הראשון והקריטי ביותר שהתגלה איפשר לעדכן Metadata באמצעות REST API ללא בדיקת הרשאות.
   מבלי להלאות בפרטים ובנתונים מעייפים: זה מאפשר לתוקף פוטנציאלי, בין היתר, להפוך כל משתמש באתר לאדמין, להסיר הרשאות לאדמינים קיימים ולשבש נתונים.
2. יצירת הפניות ללא בדיקת הרשאות
   חור האבטחה השני שהתגלה (קריטי גם כן ובעל השלכות ממשיות על ה-SEO של האתר המותקף) מאפשר לתוקף ליצור הפניות (301,302,307,410,451) לכל URL שהתוקף יבחר כמעט מכל עמודי האתר, חוץ מעמוד הבית, תיקיות קיימות וקבצים; ז"א שניתן לבחור כל עמוד פנימי/פוסט באתר ולבצע ממנו 301 לאתר אחר או אפילו להחזיר 410 המסמל כי העמוד הוסר לחלוטין.

כיצד מתגוננים?

כאמור, כל שעליכם לעשות בשלב זה הוא לעדכן את התוסף לגרסה האחרונה שלו ולוודא במקביל שלא התווספו משתמשים ו/או הפניות שאינן רצויות.
בנוסף, מומלץ לנקוט בפעולות אבטחה נוספות כדוגמת חסימה מוחלטת של REST-API בוורדפרס, אולם לכך יש השלכות נרחבות וזהו נושא מורכב למאמר נפרד לחלוטין.