web.dev
Como melhorar um conteúdo para SEO
12/05/2020
Otimizando títulos na descrição de um produto
22/05/2020
Mostrar tudo

Vulnerabilidade no Site Kit by Google no WordPress

Uma vulnerabilidade foi descoberta no plugin Site Kit by Google no WordPress.

A vulnerabilidade permite ao invasor escalar os privilégios do site e atacar a visibilidade de pesquisa das vítimas, alterar os mapas do site e muito mais.

Em 21 de abril, a equipe do Wordfence encontrou problemas de segurança no plugin usado por mais de 300 mil sites que permite obter informações relacionadas a visitantes, desempenho de pesquisa e outras métricas diretamente no painel do WordPress.

O Site Kit by Google pode fornecer esse tipo de dados conectando-se a vários serviços do Google. Na verdade, o plugin permite a integração com plataformas como Analytics, PageSpeed ​​Insights ou Tag Manager.

Vulnerabilidade de escalonamento de privilégio no Site Kit by Google

A falha de segurança em questão permitiria que qualquer usuário se tornasse o proprietário da conta do Google Search Console associada ao site que usa o plugin Site Kit.

Esse tipo de exploração exige que um invasor seja registrado no site WordPress (por exemplo, como assinante) para aproveitar uma brecha na segurança. Normalmente, um usuário registrado no nível do assinante tem privilégios mínimos em um site.

A Vulnerabilidade no Site Kit by Google, permite que um usuário com esse nível de acesso possa executar atividades que podem danificar o site: por exemplo:

  • Remover páginas do índice do Google
  • Modificar o mapa do site
  • Realizar atividades de black hat SEO

Essas ações podem danificar a classificação e o desempenho do site atacado.

De acordo com Chloe Chamberland, pesquisadora de vulnerabilidades do WordFence:

Quando empresas como o Google possuem uma política de divulgação de vulnerabilidades fácil de encontrar, isso ajuda os pesquisadores a corrigir o problema.

Esta Vulnerabilidade no Site Kit by Google afeta as versões inferiores à versão 1.8.0.

O Google Site Kit 1.8.0 foi totalmente corrigido. É altamente recomendável que os usuários atualizem seu plugin imediatamente.