ГлавнаябезопасностьПлагин Google WordPress: Немедленное обновление, если не хотите "закидывать" сайт ...

Плагин Google WordPress: Мгновенное обновление, если вы не хотите «закидывать» свой сайт!

Плагин Google WordPress: в официальном плагине Google WordPress с 300.000 XNUMX активных установок он был признан критическим ошибка, что может позволить хакерам получить доступ владельца к их целевому сайту Google Search Console.

Site Kit - это плагин WordPress, разработанный Google для предоставления владельцам веб-сайтов подробной информации о том, как посетители находят или используют свой веб-сайт. Он получает информацию через официальную статистику, собранную из различных инструментов Google и отображенную непосредственно на его панели управления. WordPress.

Плагин Google WordPress: Немедленное обновление, если вы не хотите «бросать» свой сайт!

Это также облегчает настройку и настройку основных инструментов Google, таких как Search Console, Analytics, Tag Manager, PageSpeed ​​Insights, Optimize и AdSense.

Повышение привилегий в консоли поиска Google

21 апреля команда Wordfence Threat Intelligence обнаружила уязвимость в масштабировании привилегий консоли поиска Google и передала ее в службу безопасности. Google На следующий день.

Ошибка была вызвана раскрытием proxySetupURL в исходном коде HTML страниц администратора. URL-адрес используется для связи Site Kit с Google Search Console через Google OAuth.

Уязвимость была связана с другой проблемой: запрос аутентификации, используемый для подтверждения права собственности на веб-сайт, был зарегистрированным действием администратора - он не разрешал запросы от сертифицированного пользователя WordPress. «Эти два недостатка позволили пользователям на уровне подписчиков стать владельцами консоли поиска Google на каждом сайте. Более конкретно, они могут быть использованы, чтобы помочь конкуренту, который хочет повредить рейтинг и репутацию сайт»По словам Вордфенс.

Способы их использования в интересах хакеров различны, в списке указаны следующие:

  • Содействие кампаниям Black Hat Seo на страницах результатов поиска
  • Внедрение вредоносного кода для нелегальной монетизации
  • Удалить страницы со страниц результатов поисковой системы Google (SERPs)
  • Модификация файлов сайта
  • Просмотр данных о конкурентных показателях

Google принял к сведению эту проблему и будет автоматически уведомлять владельцев веб-сайтов каждый раз, когда на сайт добавляется новый владелец, в то время как «правообладатели веб-сайтов могут изменять настройки, влияющие на взаимодействие поиска Google с веб-сайт или приложение.

В случае, если уведомление сохранено в спам-сообщенияWordfence предоставляет инструкции о том, как проверить целостность консоли поиска Google, а также проверить, был ли добавлен злонамеренный администратор, и удалить его.

Эта уязвимость была исправлена ​​7 мая с выпуском Site Kit 1.8.0 после публикации ошибки безопасности в Репозиторий Github 4 мая. Всем пользователям рекомендуется установить последнюю версию, которая полностью обновлена.

SecNewshttps://www.secnews.gr
В мире без заборов и стен, которым нужны ворота и окна
spot_img

ЖИВЫЕ НОВОСТИ