專門提供WordPress網站安全服務的Wordfence本周指出,他們發現了Google所提供的WordPress外掛程式Site Kit by Google,含有一安全漏洞,允許任何經過認證的使用者,成為Google搜尋控制臺(Google Search Console)的所有人。

Site Kit是一個可在WordPress的儀表板上部署、管理及檢視所有Google工具的外掛程式,支援搜尋控制臺、分析工具Analytics、AdSense廣告服務、檢視網頁效能的PageSpeed Insights、管理標籤的Tag Manager,以及最佳化工具Optimize,現有30萬個WordPress網站安裝了Site Kit。

根據Wordfence的說法,Site Kit的作法是先連結Google的搜尋控制臺帳號,之後再提供其它能力以連結 Analytics、AdSense、PageSpeed Insights、Optimize與Tag Manager。

為了建立Site Kit與搜尋控制器之間的連結,Site Kit外掛程式會產生一個proxySetupURL以將網站管理員導至Google OAuth,並執行網站所有人驗證程序,由於缺乏對admin_enqueue_scripts行動的能力檢查,使得proxySetupURL在管理員頁面上以HTML原始碼的方式呈現,而曝露在任何經過授權且存取/wp-admin儀表板的使用者面前。

一旦成為搜尋控制臺的所有人,就能變更網站地圖、從Google搜尋結果中移除頁面,或是用非法手段來提高網站排名(Black Hat SEO)。幸好Google有個安全機制,若有新增的搜尋控制臺所有人,就會寄出郵件通知,讓既有的所有人有所警愓。

Wordfence是在今年的4月21日發現該漏洞,同一天就通報了Google,Google已於5月7日更新Site Kit。


Advertisement

更多 iThome相關內容