Correctifs de sécurité proactifs dans Yoast SEO (mise à jour vers v20.2.1) • Yoast

Publié le par


Chez Yoast, nous prenons la sécurité au sérieux et recherchons en permanence les menaces et vulnérabilités potentielles susceptibles d’affecter nos produits et nos clients. C’est pourquoi nous avons été alarmés lorsque la société de sécurité WordFence trouvé Vulnérabilités XSS dans un autre plugin SEO. Après avoir soigneusement examiné les problèmes, nous avons trouvé une vulnérabilité similaire mais moins grave dans Yoast SEO, que nous avons choisi de corriger immédiatement.

Veuillez mettre à jour la dernière version aujourd’hui pour vous assurer que votre site est protégé.

Suis-je concerné ?

Le problème ne concernait que les sites Web avec plusieurs utilisateurs, où ces utilisateurs avaient un accès de niveau « contributeur » ou supérieur. Dans certains cas, ces utilisateurs pourraient stocker et exécuter du code dans notre éditeur d’extraits de code, qui aurait été exécuté pour d’autres utilisateurs. Une personne malveillante aurait pu en profiter pour compromettre d’autres utilisateurs ou le site Web en question. Il s’agit d’une attaque de type ‘XSS’.

En bref, certaines des personnes à qui vous aviez accordé une autorisation limitée pour publier ou modifier du contenu sur votre site auraient pu contourner ces autorisations et nuire si elles l’avaient souhaité.

Qu’est-ce qu’une vulnérabilité XSS ?

XSS signifie script intersite, un type d’attaque qui permet à des acteurs malveillants d’injecter des scripts dans des pages Web consultées par d’autres utilisateurs. Un problème comme celui-ci peut entraîner diverses conséquences, telles que le détournement de sessions utilisateur, la dégradation de sites Web ou la redirection d’utilisateurs vers des sites malveillants.

Les vulnérabilités XSS se produisent lorsque les champs de saisie de l’utilisateur ne sont pas correctement filtrés (garantissant que les valeurs sont sûres et conformes aux formats et modèles attendus) ou ne sont pas correctement échappés (où les caractères spéciaux ou le code sont convertis en texte en toute sécurité).

Qu’est-ce que je dois faire?

Si votre site compte plusieurs utilisateurs, vous peut ont été touchés. Si cela s’applique à vous, vous devez mettre à jour votre plugin Yoast SEO immédiatement. Nous vous recommandons également d’effectuer un audit de sécurité (voir notre guide de sécurité), d’activer les mises à jour automatiques pour les plugins et de vous assurer que vous disposez de sauvegardes régulières.

Si votre site n’a pas avez plusieurs utilisateurs, vous n’avez pas à vous inquiéter. Bien sûr, vous devez toujours mettre à jour votre plugin dans le cadre des meilleures pratiques.

Qu’a fait Yoast ?

Nous sommes fiers d’avoir réagi rapidement, résolu ce problème et publié un correctif dans les 24 heures. Nous avons également examiné en profondeur certaines parties de Yoast SEO et n’avons trouvé aucun autre problème de sécurité. Grâce à ce correctif, Yoast SEO est désormais plus sécurisé que jamais. Nos processus de développement incluent désormais des vérifications supplémentaires pour s’assurer que de tels problèmes ne se reproduisent plus.

Nous pouvons dire avec fierté que notre capacité à réagir, diagnostiquer et fournir des mises à jour aussi rapidement – qu’il s’agisse de correctifs de sécurité ou de réponses aux modifications de l’algorithme de Google – nous distingue des autres.

Il faut un village

Bien que ce problème n’aurait jamais dû se produire en premier lieu, nous sommes heureux de l’avoir découvert nous-mêmes avant qu’il ne devienne une connaissance commune et un risque plus important.

Cela a été rendu possible en partie grâce à l’excellent travail de WordFence en divulguant le problème connexe dans un autre plugin et en Article de Roger Montti dans Search Engine Journal couvrant la fuite. Nous apprécions leur professionnalisme et leur expertise pour aider les développeurs de plugins WordPress à améliorer leur sécurité.

Nous tenons également à remercier nos clients pour leur confiance et leur soutien. Chez Yoast, nous nous engageons à vous fournir les meilleurs plugins SEO et continuerons à les améliorer.

Si vous avez des questions ou des préoccupations concernant ce problème ou tout autre problème de sécurité, n’hésitez pas à nous contacter à [email protected]. Vous pouvez également participer à notre programme de sécurité pour nous aider à améliorer notre travail.

Merci de votre compréhension et gardez à l’esprit que nous sommes toujours là pour vous aider.

Derek Hermann

Derek est notre CTO. Il a une formation en génie logiciel et en architecture. Chez Yoast, il est chargé de s’assurer que nous continuons à développer des logiciels de classe mondiale.