Google WordPress插件可能因惡意SEO而被劫持

在Google的官方WordPress插件Site Kit中發(fā)現(xiàn)的一個關(guān)鍵漏洞可能允許入侵者訪問Google Search Console到目標(biāo)站點(diǎn)。

該插件具有40萬的安裝量，可用于配置各種Google產(chǎn)品，這些產(chǎn)品可提供洞察力，例如網(wǎng)絡(luò)流量，廣告收入，網(wǎng)站速度以及對WordPress的優(yōu)化。

現(xiàn)已修復(fù)的Google Search Console特權(quán)升級漏洞被評為嚴(yán)重，因為它不僅可以使黑客訪問Search Console，而且可以修改站點(diǎn)地圖或篡改搜索引擎結(jié)果頁面(SERP)。

漏洞插件

據(jù)Wordfence的專家介紹，在首次與Search Console連接后，該插件會生成proxySetupURL，該URL將Web管理員定向到Google OAuth，以利用代理運(yùn)行驗證過程。另一個“用于驗證網(wǎng)站所有權(quán)的驗證請求是已注冊的管理員操作”的問題無法驗證該請求的真實(shí)性。這些缺陷加在一起“使訂戶級用戶有可能在任何受影響的網(wǎng)站上成為Google Search Console所有者，研究人員說。

一旦黑客獲得了Google Search Console的訪問權(quán)限，他們就可以通過操縱搜索引擎結(jié)果頁，注入惡意代碼進(jìn)行非法獲利以及修改站點(diǎn)地圖來運(yùn)行黑帽SEO廣告系列。它還允許未經(jīng)授權(quán)的訪問以查看競爭績效數(shù)據(jù)以及從Google搜索引擎結(jié)果頁中刪除網(wǎng)頁。

Google現(xiàn)在通過添加功能檢查和驗證請求是否已在經(jīng)過身份驗證的合法會話中發(fā)送的功能，發(fā)布了Site Kit插件的補(bǔ)丁版本。此外，無論何時將新所有者添加到控制臺中，它都會向Search Console所有者發(fā)出警報，以提高安全性。