400.000 etkin yüklemeyle Google’ın resmi WordPress eklentisinde keşfedilen kritik bir güvenlik açığı tespit edildi. Bu güvenlik açığı, saldırganların hedeflenen Google Search Console sitelerine yönetici erişimine izin verebilir. Güvenlik açığı Wordfence Tehdit İstihbarat ekibi tarafından 21 Nisan’da tespit edildi ve 22 Nisan’da Google Güvenlik ekibine bildirildi. 

Google Site kiti:

Google Site Kit, site sahiplerinin, ziyaretçilerinin birden fazla Google aracından toplanan ve doğrudan WordPress panosunda görüntülenen resmi istatistikler aracılığıyla web sitelerini nasıl kullandıkları ve web sitelerini bulma konusunda bilgi edinmelerine yardımcı olmak için Google tarafından tasarlanmış bir WordPress eklentisidir. Site Kiti, farklı Google ürünlerinden önemli metrikleri ve bilgileri gösterir: Search Console, Analytics, Adsense, PageSpeed ​​Insights, Etiket Yöneticisi ve Optimize Et.

Güvenlik Açığı Hakkında:

Wordfence’a göre, güvenlik açığı, SiteSet Eklentisini Google OAuth aracılığıyla Google Arama Konsolu’na bağlamak için kullanılan bir URL olan proxySetupURL’nin yönetici sayfalarının HTML kaynak kodu içinde açıklanmasından kaynaklanmaktadır. Bu, “bir sitenin sahipliğinin kayıtlı bir yönetici işlemi olduğunu doğrulamak için kullanılan doğrulama isteğinin”, bu tür isteklerin kimliği doğrulanmış herhangi bir WordPress kullanıcısından gelmesine izin veren hiçbir yetenek denetiminin bulunmadığı başka bir sorunla birleştirildi. Bu iki kusur, abone düzeyindeki kullanıcıların etkilenen herhangi bir sitede Google Search Console sahibi olmasını mümkün kıldı
Bir saldırgan, bir sitenin Google Arama Konsolu’na sahiplik erişimi kazandığında, bunu kendi yararına aşağıdaki gibi çeşitli şekillerde kullanabilir:

  • Arama motoru sonuç sayfalarını değiştirerek siyah şapka SEO kampanyalarını kolaylaştırın
  • Yasadışı para kazanma için kötü amaçlı kod enjekte edin (diğer istismarlarla birleştiğinde)
  • Google arama motoru sonuç sayfalarından (SERP’ler) sayfaları kaldırma
  • Site haritalarını değiştirin
  • Rekabetçi performans verilerini görüntüleme

Bu Güvenlik Açığı’nın Azaltılması:

Google kısa bir süre önce bu güvenlik açığını 7 Mayıs 2020’de Google Site Kit 1.8.0’ın yayınlanmasıyla birlikte düzeltmiştir. Tüm Site Kiti kullanıcılarının kurulumlarını hemen mevcut olan en yeni tam yama sürümü olan 1.8.0 sürümüne güncellemeleri istenir. Ek bir önlem olarak, daha önce bağlı olan tüm Google hizmetlerini yeniden bağlamanız gerekecek şekilde WordPress Site Kit bağlantınızı sıfırlayabilirsiniz.