In dem Blog von Easywebtutorials werden WordPress Templates angeboten, die suchmaschinenoptimiert sein sollen.

Aber vorsicht, zumindest am heutigen Tage und scheinbar auch zuvor (zumindest ist mir das bei einem Review des öfteren begegnet, habe ich Templates in diesem Theme gefunden, die für eine XSS-Attacke anfällig sind.

Die betreffende Stelle müßte sich in der sidebar bzw. im header finden.

Dort steht im Suchformular:

<form id=”searchform” method=”get” action=”<?php echo $_SERVER['PHP_SELF']; ?>”>

wodurch bei eingeschaltete mod_rewrite-Funktion Codeüber die URL eingeschleust werden kann.

Auf jeden Fall ist bei bestimmten Serverkonfigurationen so das Einschleusen von Javascript-Code möglich, ggf. könnten auchBacklink-Injections funktionieren – ei echter SEO-Vorteil

Abhilfe schafft das Ändern der entsprechenden zeile bzw. das Umwandeln der URL mit Hilfe von htmlentities und dem zweiten Parameter ENT_QUOTES:

<form id=”searchform” method=”get” action=”<?php echo htmlentities($_SERVER['PHP_SELF'], ENT_QUOTES); ?>”>

ENT_QUOTES bewirkt, dass sowohl einfache, als auch doppelte Anführungszeichen in HTML-Code umgewandelt werden und HTML/Script-Einschleusungen so nicht mehr möglich sind.