Google WordPress插件可能因惡意SEO而被劫持

在Google的官方WordPress插件Site Kit中發(fā)現(xiàn)的一個(gè)關(guān)鍵漏洞可能允許入侵者訪問(wèn)Google Search Console到目標(biāo)站點(diǎn)。

該插件具有40萬(wàn)的安裝量，可用于配置各種Google產(chǎn)品，這些產(chǎn)品可提供洞察力，例如網(wǎng)絡(luò)流量，廣告收入，網(wǎng)站速度以及對(duì)WordPress的優(yōu)化。

現(xiàn)已修復(fù)的Google Search Console特權(quán)升級(jí)漏洞被評(píng)為嚴(yán)重，因?yàn)樗粌H可以使黑客訪問(wèn)Search Console，而且可以修改站點(diǎn)地圖或篡改搜索引擎結(jié)果頁(yè)面(SERP)。

漏洞插件

據(jù)Wordfence的專家介紹，在首次與Search Console連接后，該插件會(huì)生成proxySetupURL，該URL將Web管理員定向到Google OAuth，以利用代理運(yùn)行驗(yàn)證過(guò)程。另一個(gè)“用于驗(yàn)證網(wǎng)站所有權(quán)的驗(yàn)證請(qǐng)求是已注冊(cè)的管理員操作”的問(wèn)題無(wú)法驗(yàn)證該請(qǐng)求的真實(shí)性。這些缺陷加在一起“使訂戶級(jí)用戶有可能在任何受影響的網(wǎng)站上成為Google Search Console所有者，研究人員說(shuō)。

一旦黑客獲得了Google Search Console的訪問(wèn)權(quán)限，他們就可以通過(guò)操縱搜索引擎結(jié)果頁(yè)，注入惡意代碼進(jìn)行非法獲利以及修改站點(diǎn)地圖來(lái)運(yùn)行黑帽SEO廣告系列。它還允許未經(jīng)授權(quán)的訪問(wèn)以查看競(jìng)爭(zhēng)績(jī)效數(shù)據(jù)以及從Google搜索引擎結(jié)果頁(yè)中刪除網(wǎng)頁(yè)。

Google現(xiàn)在通過(guò)添加功能檢查和驗(yàn)證請(qǐng)求是否已在經(jīng)過(guò)身份驗(yàn)證的合法會(huì)話中發(fā)送的功能，發(fā)布了Site Kit插件的補(bǔ)丁版本。此外，無(wú)論何時(shí)將新所有者添加到控制臺(tái)中，它都會(huì)向Search Console所有者發(fā)出警報(bào)，以提高安全性。