Nawet Google popełnia błędy, które są zagrożeniem dla naszych WordPressów…

Data dodania: 21 maja 2020

Autor: Tomek Mikiciuk

Jak wiadomo, zwolenników oprogramowania typu Open Source jest tak samo wielu, co przeciwników, a koronnym argumentem podnoszonym przez tych drugich jest zawsze bezpieczeństwo. Otwartość kodu jest niewątpliwym zagrożeniem, dlatego zawsze trzeba mieć na uwadze z jakiego źródła pochodzą np. wtyczki, które instalujemy na swoich WordPressach.  Niestety, bywa jednak i tak, że w sprawdzonych rozwiązaniach od renomowanych developerów, również wykrywane  są luki. Ostatnio taka wstydliwa wpadka przytrafiła się  nawet takiemu gigantowi jak Google.

Wordfence ostrzega

Problem został wykryty i ujawniony przez zespół Wordfence Security – autorów najpopularniejszego firewalla z ponad trzema milionami aktywnych instalacji na stronach WordPress, a dotyczy wtyczki Site Kit stworzonej przez Google. Społeczność użytkowników została poinformowana o tym fakcie 21 kwietnia, kiedy wtyczka aktywna była na ponad 300.000 stronach. Luka umożliwiała wówczas każdemu uwierzytelnionemu użytkownikowi, niezależnie od jego uprawnień, przejęcie kontroli nad Search Console dowolnej witryny z aktywnym pluginem Site Kit.

Luka w Site Kit

Site Kit firmy Google to wtyczka służąca do pozyskiwania i wyświetlania w panelu WordPress, informacji o użytkownikach witryny, wydajności wyszukiwania, a także skuteczności reklam, statystyk  prędkości strony i innych danych pochodzących z usług Google. Integracji dokonuje się poprzez połączenie z kontem Google Search Console, a następnie zapewnia dodatkowe możliwości łączenia się z Analytics, AdSense, PageSpeed ​​Insights, Optimize i Tag Menager. Aby nawiązać pierwsze połączenie z Site Kit i Google Search Console, wtyczka generuje proxySetupURL, który służy do przekierowania administratora witryny do Google OAuth i uruchomienia procesu weryfikacji właściciela witryny przez proxy. Z powodu braku kontroli możliwości działania admin_enqueue_scripts akcja proxySetupURL została wyświetlona jako część kodu źródłowego HTML stron administracyjnych każdemu uwierzytelnionemu użytkownikowi uzyskującemu dostęp do pulpitu / wp-admin. Zgodnie ze standardami, problem ten należy uznać za krytyczny w dziedzinie bezpieczeństwa. Uzyskanie dostępu do Google Search Console przez osoby nieuprawnione, może prowadzić do modyfikowania map witryn, usuwania stron z wyników wyszukiwania Google (SERP) lub ułatwianie prowadzenia kamapnii typu black hat SEO.

Zabezpieczenia

Po wykryciu zagrożenia, zespół  Wordfence, w celu ochrony swoich klientów Premium, opracował i udostępnił nową regułę zapory sieciowej, uniemożliwiającą wykorzystanie luki w Site Kit. Google oczywiście, poinformowano niezwłocznie, niemniej jednak, poprawioną wersję 1.8.0. wypuszczono dopiero 7.05. Dzisiaj, czyli 21.05 reguła zapory sieciowej od Wordfence udostępniona zostaje również dla bezpłatnych użytkowników, a Site Kit ma już (od wczoraj) kolejną aktualizację do 1.8.1.

Wszystkim użytkownikom plugina od Google, którym leży na sercu bezpieczeństwo cyfrowe,  zalecamy niezwłoczną aktualizację do najnowszej wersji. Jeśli jednak potrzebowalibyście w tej kwestii dodatkowej pomocy, nasi specjaliści pozostają do Waszej dyspozycji.


Dodaj komentarz

Twój adres email nie będzie widoczny.

*