B

Kuratiert von

Organic Growth Strategist, Muria Agency
Technical SEO · · Quelle: Yoast SEO Blog

Yoast SEO Premium: Sicherheitslücke im Redirect Manager

In Yoast SEO Premium steckte eine Sicherheitslücke, die in bestimmten Konstellationen Remote Code Execution ermöglicht hätte. Konkret: Ein authentifizierter Nutzer mit edit_posts-Berechtigung konnte über manipulierte Redirect-Felder beliebige Konfigurationen in die .htaccess-Datei einschleusen. Das Spektrum reichte vom Site-Crash bis zur vollständigen Übernahme des Servers.

Die gute Nachricht: Die Mehrheit der Yoast-Nutzer ist nicht betroffen. Die Lücke greift nur, wenn drei Bedingungen gleichzeitig erfüllt sind. Erstens muss Yoast SEO Premium, Yoast WooCommerce SEO oder Yoast SEO AI+ aktiv sein. Zweitens muss der Server auf Apache laufen und die Redirect-Methode manuell auf .htaccess umgestellt worden sein. Drittens muss ein Nutzer mit edit_posts-Rechten Zugang zur Website haben. Wer PHP-basierte Redirects nutzt (die Standardeinstellung), ist nicht gefährdet.

Der Patch in Version 27.6.1 setzt auf drei Schutzebenen: Input-Sanitization entfernt Steuerzeichen aus Redirect-Feldern vor dem Speichern, ein ungenutzter Endpunkt wurde vollständig entfernt, und ein neues In-Plugin-Warning meldet sich proaktiv, wenn ungewöhnliche Einträge in Redirects oder .htaccess erkannt werden. Bisher gibt es keine bekannten Fälle, in denen die Lücke aktiv ausgenutzt wurde.

Für WordPress-Sites im Agentur- oder E-Commerce-Umfeld ist das trotzdem relevant. Gerade dort arbeiten oft mehrere Nutzer mit unterschiedlichen Berechtigungen, und Apache-Server mit manuell konfigurierten .htaccess-Redirects sind keine Seltenheit. Ein Update, das in unter zwei Minuten erledigt ist, sollte hier keine Diskussion auslösen.

Was das für deine Website bedeutet

1. Sofort updaten: Öffne das WordPress-Backend unter Plugins, suche Yoast SEO Premium (oder Yoast WooCommerce SEO / Yoast SEO AI+) und aktualisiere auf Version 27.6.1. Das dauert unter zwei Minuten und ist für alle Nutzer empfohlen, unabhängig von der Konfiguration.

2. Prüfe deine Redirect-Methode: Rufe in deinem WordPress-Backend die URL [deine-domain.de]/wp-admin/admin.php?page=wpseo_redirects#/redirect-method auf. Siehst du dort .htaccess als aktive Methode, bist du potenziell betroffen und das Update ist dringend. Siehst du PHP-basierte Redirects, besteht kein akutes Risiko.

3. Nutzerrechte überprüfen: Gehe in WordPress unter Benutzer und prüfe, welche Accounts edit_posts-Rechte haben. Entferne Berechtigungen von inaktiven oder nicht mehr benötigten Accounts. Das reduziert die Angriffsfläche unabhängig von diesem spezifischen Patch.

4. Apache-Konfiguration dokumentieren: Falls du auf Apache mit .htaccess-Redirects arbeitest, halte diese Konfiguration schriftlich fest. So erkennst du bei zukünftigen Sicherheitsmeldungen sofort, ob du betroffen bist, ohne erst suchen zu müssen.

5. Staging-Sites nicht vergessen: Viele Agencies und Entwickler haben Staging-Umgebungen mit identischer Plugin-Konfiguration. Auch dort sollte das Update eingespielt werden, besonders wenn Kunden oder externe Mitarbeiter Zugang haben.

Original-Artikel auf Yoast SEO Blog:

Security patch: Yoast SEO Premium 27.6.1 ↗
#Yoast SEO #WordPress Security #Redirect Manager #Plugin Update #Technical SEO

Steht deine Website auch in ChatGPT?

Buch dir einen 15-Min Call — wir zeigen dir live wo deine Seite in Google + AI Search aktuell unsichtbar ist.