Kerentanan All In One SEO WordPress mempengaruhi lebih dari 3 juta situs web – Beragampengetahuan
Kelemahan keamanan telah ditemukan pada plugin WordPress All in One SEO (AIOSEO) yang populer yang memungkinkan pengguna dengan hak istimewa rendah mengakses token akses AI global suatu situs web, sehingga berpotensi memungkinkan mereka menyalahgunakan kemampuan kecerdasan buatan plugin dan berpotensi memungkinkan penyerang menggunakan kredit AIOSEO AI dan fitur AI situs web yang terpengaruh untuk menghasilkan konten atau menggunakan kredit. Plugin ini diinstal di lebih dari 3 juta situs WordPress, sehingga memberikan eksposur yang signifikan.
Contents
Plugin SEO WordPress lengkap (AIOSEO)
All in One SEO adalah salah satu plugin SEO WordPress yang paling banyak digunakan, diinstal di lebih dari 3 juta situs web. Ini membantu pemilik situs web mengelola tugas-tugas SEO seperti menghasilkan metadata, membuat peta situs XML, menambahkan data terstruktur, dan menyediakan alat bertenaga AI untuk membantu menulis judul, deskripsi, postingan blog, FAQ, postingan media sosial, dan menghasilkan gambar.
Fitur AI ini mengandalkan token akses AI di seluruh situs, yang memungkinkan plugin berkomunikasi dengan layanan AI eksternal AIOSEO.
Pemeriksaan kemampuan tidak ada
Menurut Wordfence, kerentanan ini disebabkan oleh hilangnya pemeriksaan izin pada titik akhir REST API tertentu yang digunakan oleh plugin, yang memungkinkan pengguna dengan akses tingkat kontributor untuk melihat token akses AI global.
Dalam konteks situs web WordPress, API (Application Programming Interface) bertindak seperti jembatan antara situs web WordPress dan berbagai aplikasi perangkat lunak (termasuk aplikasi eksternal seperti pembuat konten AI AIOSEO), yang memungkinkan mereka berkomunikasi dan berbagi data satu sama lain dengan aman. Titik akhir REST adalah URL yang memperlihatkan antarmuka fungsional atau data.
Cacatnya ada di titik akhir REST API berikut:
/aioseo/v1/ai/points
Titik akhir ini dirancang untuk mengembalikan informasi tentang penggunaan AI situs dan sisa kredit. Namun, ini tidak dapat memverifikasi bahwa pengguna yang meminta benar-benar diizinkan untuk melihat data. Plugin AIOSEO tidak dapat melakukan pemeriksaan fungsionalitas untuk memverifikasi bahwa seseorang yang login dengan akses tingkat kontributor dapat mengakses data.
Oleh karena itu, setiap pengguna yang masuk dengan tingkat kontributor atau akses lebih tinggi dapat menghubungi titik akhir dan mengambil token akses AI global situs tersebut.
Wordfence menjelaskan kelemahannya sebagai berikut:
“Hal ini memungkinkan penyerang terotentikasi dengan akses tingkat kontributor ke atas untuk membocorkan token akses AI global.”
Masalahnya adalah implementasi REST API endpoint tidak melakukan pemeriksaan izin, yang memungkinkan orang dengan akses tingkat kontributor untuk melihat data sensitif.
Di WordPress, rute REST API harus menyertakan pemeriksaan fungsionalitas untuk memastikan bahwa hanya pengguna resmi yang dapat mengaksesnya. Dalam kasus ini, pemeriksaan tersebut tidak ada, sehingga plugin memperlakukan kontributor sama seperti admin saat mengembalikan token AI.
Mengapa kerentanan ini menjadi masalah
Di WordPress, peran tingkat kontributor adalah salah satu tingkat izin terendah. Banyak situs web memberikan akses tingkat kontributor kepada banyak orang sehingga mereka dapat mengirimkan draf artikel untuk ditinjau dan dipublikasikan.
Dengan memaparkan token AI global kepada para pengguna ini, plugin tersebut mungkin telah secara efektif mendistribusikan kredensial di seluruh situs yang mengontrol akses ke fungsi AI-nya. Token ini dapat digunakan untuk:
1. Penggunaan kecerdasan buatan tanpa izin
Token ini bertindak sebagai kredensial seluruh situs untuk mengotorisasi permintaan AI. Jika penyerang mendapatkannya, mereka dapat menggunakannya untuk menghasilkan konten kecerdasan buatan melalui akun di situs yang terpengaruh, sehingga menguras kredit atau batas penggunaan apa pun yang terkait dengan token tersebut.
2. Kelelahan layanan
Penyerang dapat menggunakan token yang terekspos untuk mengotomatiskan permintaan guna menghabiskan kuota AI yang tersedia di situs web. Hal ini akan mencegah administrator situs web menggunakan fitur AI yang mereka andalkan, yang secara efektif menyebabkan penolakan layanan pada alat AI plugin.
Meskipun kerentanan tidak memungkinkan eksekusi kode langsung, kebocoran token API di seluruh situs masih menimbulkan kemungkinan risiko penagihan.
Bagian dari pola kerentanan yang lebih luas
Ini bukan pertama kalinya All In One SEO mengalami kerentanan terkait kurangnya otorisasi atau akses dengan hak istimewa yang rendah. Menurut Wordfence, plugin tersebut memiliki enam kerentanan yang terungkap pada tahun 2025 saja, banyak di antaranya memungkinkan pengguna tingkat kontributor atau pelanggan mengakses atau mengubah data yang seharusnya tidak dapat mereka akses.
Masalah ini mencakup injeksi SQL, pengungkapan informasi, penghapusan media secara sewenang-wenang, pemeriksaan otorisasi yang hilang, paparan data sensitif, dan skrip lintas situs yang disimpan. Tema yang berulang dalam laporan ini adalah penegakan izin yang tidak tepat untuk pengguna dengan hak istimewa rendah, yang juga merupakan kategori potensi kelemahan yang menyebabkan paparan token AI dalam kasus ini.
Enam kerentanan dalam satu tahun sudah merupakan tingkat tinggi untuk sebuah plugin SEO. Plugin Yoast SEO tidak memiliki kerentanan pada tahun 2025, RankMath memiliki empat kerentanan pada tahun 2025, dan Squirrly SEO hanya memiliki tiga kerentanan pada tahun 2025.
Tangkapan layar enam kerentanan AIOSEO pada tahun 2025

Bagaimana kerentanan diperbaiki
Kerentanan ini mempengaruhi All in One SEO 4.9.2 dan semua versi sebelumnya. Masalah ini telah diatasi pada versi 4.9.3, yang mencakup pembaruan keamanan yang dijelaskan oleh pengembang plugin di log perubahan plugin resmi:
“Meningkatkan perutean API untuk mencegah token akses AI terekspos.”
Perubahan ini secara langsung berhubungan dengan kelemahan REST API yang diidentifikasi oleh Wordfence.
Apa yang harus dilakukan pemilik situs web
Siapa pun yang menjalankan All in One SEO harus memperbarui ke versi 4.9.3 atau lebih tinggi sesegera mungkin. Situs web yang mengizinkan banyak kontributor eksternal sangat rentan, karena akun dengan hak istimewa rendah dapat mengakses token AI situs tersebut pada versi yang rentan.
Gambar unggulan milik Shutterstock/Shutterstock AI Generator
strategi pemasaran
marketing
pemasaran, manajemen pemasaran, kantor pemasaran
, digital marketing, konsep pemasaran, marketing mix, apa itu marketing
#Kerentanan #SEO #WordPress #mempengaruhi #lebih #dari #juta #situs #web