SEO News #223 – Luki we wtyczkach WordPressa, reklamy w ChatGPT, Personal Intelligence w Gemini

Poważne luki bezpieczeństwa we wtyczkach WordPressa. ChatGPT zaczyna testować reklamy w USA. Google wprowadza Personal Intelligence w Gemini – funkcję łączącą dane z Gmaila, Zdjęć, YouTube i wyszukiwarki (wkrótce trafi do AI Mode). Plus: Gemini w Google Trends, problematyczne cytowanie YouTube w AI Overviews dotyczących zdrowia i Gemini 3 w AIO.

1. Reklamy w ChatGPT

OpenAI rozpoczyna testy reklam w ChatGPT dla użytkowników w Stanach Zjednoczonych. Reklamy pojawią się w wersji darmowej oraz w niedawno wprowadzonym planie ChatGPT Go (za 8 dolarów miesięcznie). Plany Pro, Business i Enterprise pozostają bez reklam.

Reklamy będą wyświetlane poniżej odpowiedzi czatu – podobno tylko wtedy, gdy system uzna, że istnieje odpowiedni, sponsorowany produkt lub usługa powiązana z rozmową.

Mają być wyraźnie oznaczone, oddzielone wizualnie od normalnych odpowiedzi i możliwe do zamknięcia:

Użytkownicy będą mogli też sprawdzić, dlaczego dana reklama się wyświetliła, i całkowicie wyłączyć personalizację reklam, jeśli sobie tego życzą.

Równie ważne jest także to, czego OpenAI nie zrobi. Firma podkreśla, że reklamy nie będą się wyświetlać osobom poniżej 18. roku życia i nie pojawią się przy tematach wrażliwych lub regulowanych, takich jak zdrowie, zdrowie psychiczne czy polityka.

Co ważne, rozmowy nie będą udostępniane reklamodawcom, a dane użytkowników nie będą sprzedawane.

2. Trzy popularne wtyczki do WordPress z poważnymi lukami bezpieczeństwa

W ostatnich dniach wykryto krytyczne luki w trzech popularnych wtyczkach WordPress, które w sumie dotyczą ponad 3 milionów instalacji.

Chodzi o All in One SEO (AIOSEO), Advanced Custom Fields Extended (ACF Extended) oraz NotificationX. W każdym przypadku problem wynika z braku odpowiedniej weryfikacji uprawnień, co otwiera drogę do przejęcia kontroli nad stroną.

All in One SEO – ponad 3 miliony zagrożonych witryn

Wtyczka AIOSEO, którą aktualnie korzysta ponad 3 miliony stron, zawiera lukę umożliwiającą użytkownikom dostęp do globalnego tokenu AI. Problem pojawia się w endpointcie REST API /aioseo/v1/ai/credits, który nie sprawdza, czy osoba wysyłająca żądanie faktycznie ma prawo do tego typu danych.

W praktyce oznacza to, że każdy zalogowany użytkownik strony – nawet z najniższymi uprawnieniami – może wyciągnąć token i wykorzystać go do generowania treści AI na koszt właściciela strony, wyczerpując kredyty albo po prostu ograniczając dostęp do funkcji administratorom.

Problem został naprawiony w wersji 4.9.3 – jeśli korzystasz z tej wtyczki, zaktualizuj ją jak najszybciej.

Advanced Custom Fields Extended – możliwość pełnego przejęcia strony

ACF Extended to rozszerzenie do popularnej wtyczki ACF, zainstalowane na około 100 000 witrynach. Wykryto w nim lukę o ratingu 9.8 (na 10-punktowej skali), która pozwala nieuwierzytelnionym atakującym na rejestrację konta z uprawnieniami administratora.

Całość sprowadza się do braku weryfikacji ról użytkowników w funkcji insert_user. Normalnie WordPress powinien restrykcyjnie kontrolować, jakie role można przypisać podczas rejestracji, ale wtyczka tego nie sprawdzała.

Wystarczyło, że atakujący zmodyfikował wartość w formularzu HTML (np. z role=subscriber na role=administrator) i system przepuszczał taki wpis bez pytania.

Exploit działa tylko wtedy, gdy strona używa formularza front-endowego, który mapuje pole niestandardowe bezpośrednio na rolę użytkownika w WordPressie – ale jeśli taki scenariusz ma miejsce, konsekwencje są dramatyczne.

Problem został załatany w wersji 0.9.2.2.

NotificationX – ataki XSS bez uwierzytelniania

NotificationX to wtyczka do wyświetlania powiadomień i alertów sprzedażowych, używana na ponad 40 000 stronach WooCommerce/WordPress. Wykryto w niej dwie luki, z których jedna (o ratingu 7.2) pozwala na przeprowadzanie ataków DOM-based Cross-Site Scripting (XSS).

W tym wypadku atakujący mogą przygotować złośliwą stronę, która automatycznie przesyła formularz do podatnej witryny, zmuszając przeglądarkę ofiary do wykonania szkodliwych skryptów.

W efekcie osoba atakująca może przejąć sesje zalogowanych administratorów, wykonywać akcje w ich imieniu, przekierowywać odwiedzających na fałszywe strony czy wykradać wrażliwe dane dostępne w przeglądarce.

Druga luka (rating 4.3) dotyczy braku sprawdzania uprawnień w endpointach REST API regenerate i reset. Tutaj ryzyko jest mniejsze: zalogowani użytkownicy mogą resetować statystyki kampanii NotificationX, nawet jeśli nie są ich właścicielami.

Obie luki zostały naprawione w wersji 3.2.1.

Co zrobić?

Jeśli korzystasz z którejkolwiek z tych wtyczek:

• All in One SEO – zaktualizuj do wersji 4.9.3 lub wyższej
• ACF Extended – zaktualizuj do wersji 0.9.2.2 lub wyższej
• NotificationX – zaktualizuj do wersji 3.2.1 lub wyższej

W przypadku braku możliwości natychmiastowej aktualizacji najlepiej tymczasowo wyłączyć wtyczkę, dopóki poprawka nie zostanie wdrożona.

3. Personal Intelligence w Gemini – wkrótce również w AI Mode

Google wprowadza Personal Intelligence w aplikacji Gemini, a funkcja ta trafi wkrótce także do AI Mode w wyszukiwarce.

Personal Intelligence łączy dane z Gmaila, Zdjęć, YouTube i wyszukiwarki Google, by dostarczać użytkownikom spersonalizowane odpowiedzi.

Ma dwie główne możliwości: rozumowanie w oparciu o złożone źródła oraz wyciąganie konkretnych szczegółów z emaili czy zdjęć.

W praktyce znaczy to, Gemini może dzięki niej np. sprawdzić w Gmailu i Zdjęciach, jaki masz samochód, i polecić odpowiednie opony jeśli wpiszesz coś w stylu “znajdź opony letnie do mojego auta”. Nie musisz pisać jakie to auto, wystarczy, że masz gdzieś jego zdjęcia, ale np. e-maila z ubezpieczeniem lub fakturą od mechanika.

Funkcja jest domyślnie wyłączona – użytkownik sam decyduje, które aplikacje chce połączyć.

Całość to na razie wersja beta, dostępna od tego tygodnia w USA, tylko dla subskrybentów Google AI Pro i AI Ultra (web, Android, iOS). Google planuje wkrótce udostępnić ją także użytkownikom darmowej wersji Gemini oraz wprowadzić do AI Mode w wyszukiwarce.

Chcesz zobaczyć jak to ma działać w praktyce? Sprawdź ten wątek Google na X-ie.

4. Gemini w Google Trends

Google przeprojektowało stronę Explore (Odkrywaj) w Google Trends, dodając integrację z Gemini. Nowa funkcja automatycznie identyfikuje i porównuje powiązane trendy wyszukiwania.

Nowy panel boczny wykorzystuje Gemini do automatycznego wyszukiwania powiązanych terminów.

Przykład: badasz popularne rasy psów – system sam wyświetli do ośmiu terminów jak "golden retriever" czy "beagle" na wykresie, plus podsunie powiązane pomysły jak "hypoallergenic dog breeds" czy "large dog breeds".

Panel pokazuje też sugerowane prompty Gemini do dalszej eksploracji tematu. Można dowolnie edytować terminy i używać filtrów kraju, czasu i właściwości.

Nowa funkcja startuje na desktopie i będzie wdrażane stopniowo. Więcej szczegółów znajdziesz na blogu Google.

5. Wyniki AI Overviews dotyczące zdrowia częściej cytują YouTube

SE Ranking przeanalizowało 50 807 zapytań zdrowotnych w Niemczech pod kątem odpowiedzi AI Overviews.

Główne odkrycie: prawie dwie trzecie cytowań w AI Overviews pochodzi ze źródeł bez silnych podstaw medycznych lub opartych na dowodach.

Najważniejsze liczby:

• YouTube był najczęściej cytowaną domeną (4,43% wszystkich cytowań) – znacznie więcej niż inne wiarygodne źródła medyczne jak szpitale, ubezpieczyciele zdrowotni czy stowarzyszenia zdrowotne,
• Tylko 34,45% cytowań pochodziło z bardziej wiarygodnych źródeł medycznych,
• Czasopisma naukowe i rządowe instytucje zdrowia razem stanowiły około 1% wszystkich cytowań w AI Overviews,
• AI Overviews wyraźnie faworyzują treści wideo – YouTube zajął pierwsze miejsce w cytowaniach AI, ale tylko 11. miejsce w tradycyjnych wynikach organicznych,
• Tylko 36% stron cytowanych w AI pojawiło się w top 10 wyników organicznych Google.

Jak to oceniać? No cóż, AI Overviews od Google działają jako pierwsza warstwa informacji zdrowotnych, szczególnie dla tematów YMYL (Your Money or Your Life).

Z kolei 82% zapytań zdrowotnych wywołuje AI Overviews, więc jakość odpowiedzi generowanych przez AI to już właściwie kwestia bezpieczeństwa publicznego.

Czy zatem Google nie powinno być rozliczane z tego samego standardu, jaki od lat nakłada na innych – spełniania rygorystycznych wymagań, których wymaga od wydawców treści YMYL?

6. Gemini 3 Pro w AI Overviews

Google ogłosiło pod koniec piątku, że Gemini 3 Pro zasila teraz AI Overviews, ale tylko wtedy, gdy zapytanie jest wystarczająco złożone.

To aktualizacja wcześniejszego komunikatu z listopada, kiedy Google mówiło o Gemini 3 Pro w AI Mode – teraz jasno potwierdzają, że dotyczy to także AI Overviews.

Wyszukiwarka Google inteligentnie kieruje najtrudniejsze pytania do tego zaawansowanego modelu (tak jak robi to w AI Mode), jednocześnie nadal używając szybszych modeli do prostszych zadań.

Robby Stein z Google potwierdził to na X: "AI Overviews teraz korzystają z Gemini 3 Pro dla złożonych tematów. Za kulisami wyszukiwarka inteligentnie kieruje najtrudniejsze pytania do naszego modelu najnowszej generacji, podczas gdy prostsze zadania nadal obsługują szybsze modele."

Odpowiedzi zasilane Gemini 3 są dostępne globalnie w języku angielskim dla subskrybentów Google AI Pro i Ultra.