Jak wiadomo, zwolenników oprogramowania typu Open Source jest tylu, co jego przeciwników. Koronnym argumentem wymienianym przez tych drugich jest zawsze bezpieczeństwo. Otwartość kodu, chociaż ma wiele zalet, jest też niewątpliwym zagrożeniem. I właśnie dlatego zawsze trzeba dokładnie weryfikować, z jakiego źródła pochodzą np. wtyczki, które instalujesz na swojej stronie WordPress.  Niestety, bywa jednak i tak, że nawet w sprawdzonych rozwiązaniach od renomowanych developerów wykrywane są luki. Ostatnio taka wstydliwa wpadka przytrafiła się takiemu gigantowi, jak sam Google…

Wordfence ostrzega

Problem został wykryty i ujawniony przez zespół Wordfence Security – autorów najpopularniejszego firewalla z ponad 3 milionami aktywnych instalacji na stronach WordPress.

Ostrzeżenie dotyczy wtyczki Site Kit, stworzonej właśnie przez Google. Społeczność użytkowników została poinformowana o tym fakcie 21 kwietnia, kiedy wtyczka aktywna była na ponad 300 tysiącach stronach. Jaki wystąpił problem? Znaleziona luka umożliwiała wówczas każdemu uwierzytelnionemu użytkownikowi, niezależnie od jego uprawnień, przejęcie kontroli nad narzędziem Google Search Console dowolnej witryny z aktywnym pluginem Site Kit!

Luka w Site Kit – o co chodzi?

Site Kit od firmy Google to wtyczka służąca do pozyskiwania i wyświetlania w panelu WordPress informacji o użytkownikach witryny, wydajności wyszukiwania, a także skuteczności reklam, statystyk prędkości strony i innych danych pochodzących z usług Google.

Integracji dokonuje się poprzez połączenie z kontem w Google. Domyślnie plugin otrzymuje dostęp do Google Serach Console. Aby zapewnić sobie dodatkowe możliwości, można do niego dodać też Google Analytics, Google AdSense, Google PageSpeed ​​Insights, Google Optimize czy Google Tag Manager.

Aby nawiązać pierwsze połączenie między Site Kit a Google Search Console, wtyczka generuje proxySetupURL. Przekierowuje on administratora witryny do Google OAuth i uruchamia proces weryfikacji właściciela witryny przez proxy. I tutaj pojawił się problem… Z powodu braku kontroli nad możliwościami działania admin_enqueue_scripts, akcja proxySetupURL została wyświetlona jako część kodu źródłowego HTML stron administracyjnych każdemu uwierzytelnionemu użytkownikowi uzyskującemu dostęp do pulpitu /wp-admin. Zgodnie ze standardami, problem ten należy uznać za krytyczny w dziedzinie bezpieczeństwa. Uzyskanie dostępu do Google Search Console przez osoby nieuprawnione może prowadzić do modyfikowania map witryn, usuwania stron z wyników wyszukiwania Google (SERP) lub ułatwiać prowadzenie kampanii z zakresu black hat SEO.

TOP 3 najlepsze wtyczki WordPress. Musisz je mieć na swojej stronie!
W oficjalnym repozytorium wordpress.org jest prawie 60 tysięcy wtyczek. Jak wybrać te najlepsze? Poznaj nasze 3 ulubione pluginy!
czytaj więcej

Zabezpieczenia – jak rozwiązano problem z Site Kit?

Po wykryciu zagrożenia zespół Wordfence, w celu ochrony swoich klientów Premium, opracował i udostępnił nową regułę zapory sieciowej. Uniemożliwia ona wykorzystanie luki w Site Kit. Google oczywiście niezwłocznie poinformował o zaistniałej sytuacji, niemniej jednak poprawioną wersję 1.8.0. wypuszczono dopiero 7 maja. Dzisiaj, czyli 2 tygodnie później, reguła zapory sieciowej od Wordfence udostępniona zostaje również dla bezpłatnych użytkowników, a Site Kit ma już (od wczoraj) kolejną aktualizację do 1.8.1.

Wszystkim użytkownikom plugina od Google, którym leży na sercu bezpieczeństwo cyfrowe, zalecamy niezwłoczną aktualizację do najnowszej wersji. Jeśli jednak potrzebowalibyście w tej kwestii dodatkowej pomocy, nasi specjaliści pozostają do Waszej dyspozycji.

Udostępnij dalej: