- La comparaison
- Tutoriels
- Le plugin officiel de Google WordPress pourrait être détourné par un référencement nuisible
Une vulnérabilité critique trouvée dans le plugin officiel de Google WordPress, Site Kit, pourrait permettre aux attaquants d'accéder à Google Search Console sur le site ciblé. Le plugin, qui compte plus de 400,000 XNUMX installations, est utilisé pour configurer divers produits Google qui fournissent des informations telles que le trafic Web, les revenus publicitaires, la vitesse du site Web et l'optimisation dans WordPress. La vulnérabilité d'élévation des privilèges de la console de recherche de Google, qui a maintenant été corrigée, s'est révélée critique car elle permet non seulement aux pirates d'accéder à la console de recherche, mais peut également modifier les plans du site ou usurper les pages de résultats. moteurs de recherche (SERP).
Plugin vulnérable
Selon les experts de Wordfence, après la première connexion à la Search Console, le plugin génère une proxySetupURL qui dirige l'administrateur Web vers Google OAuth pour effectuer un processus de vérification à l'aide d'un proxy. Un autre problème où « la demande de vérification utilisée pour vérifier la propriété du site était une action administrative enregistrée » n'a pas permis de vérifier l'authenticité de la demande. Combinées, ces failles « ont permis aux utilisateurs au niveau abonné de posséder Google Search Console sur n'importe quel site concerné », ont déclaré les chercheurs. Une fois que les pirates ont eu accès à Google Search Console, ils ont pu lancer des campagnes de référencement black hat en manipulant les pages de résultats des moteurs de recherche, en injectant du code malveillant à des fins de monétisation illicite et en modifiant les plans de site. Il permet également un accès non autorisé pour consulter les données de performances des concurrents, ainsi que pour supprimer des pages Web des pages de résultats du moteur de recherche Google. Google a publié une version corrigée du plugin Site Kit en ajoutant des contrôles de fonctionnalités et la possibilité de vérifier que la demande a été envoyée lors d'une session authentifiée légitime. De plus, il alertera désormais les propriétaires de la Search Console chaque fois qu'un nouveau propriétaire est ajouté à la console, à titre de sécurité supplémentaire. Via : Ordinateur Bleeping