专门提供WordPress网站安全服务的Wordfence本周指出,他们发现了Google所提供的WordPress插件程序Site Kit by Google,含有一安全漏洞,允许任何经过认证的用户,成为Google搜索控制台(Google Search Console)的所有人。
Site Kit是一个可在WordPress的仪表板上部署、管理及查看所有Google工具的插件程序,支持搜索控制台、分析工具Analytics、AdSense广告服务、查看网页性能的PageSpeed Insights、管理标签的Tag Manager,以及优化工具Optimize,现有30万个WordPress网站安装了Site Kit。
根据Wordfence的说法,Site Kit的做法是先连接Google的搜索控制台账号,之后再提供其它能力以连接Analytics、AdSense、PageSpeed Insights、Optimize与Tag Manager。
为了创建Site Kit与搜索控制器之间的连接,Site Kit插件程序会产生一个proxySetupURL以将网站管理员跳转至Google OAuth,并执行网站所有人验证程序,由于缺乏对admin_enqueue_scripts行动的能力检查,使得proxySetupURL在管理员页面上以HTML源码的方式呈现,而暴露在任何经过授权且访问/wp-admin仪表板的用户面前。
一旦成为搜索控制台的所有人,就能变更网站地图、从Google搜索结果中移除页面,或是用非法手段来提高网站排名(Black Hat SEO)。幸好Google有个安全机制,若有添加的搜索控制台所有人,就会发送邮件通知,让既有的所有人有所警愓。
Wordfence是在今年的4月21日发现该漏洞,同一天就通报了Google,Google已于5月7日更新Site Kit。