Connectez-vous avec nous

Ordinateurs et informatique

Le plugin officiel de Google WordPress pourrait être détourné pour un référencement SEO néfaste

Une vulnérabilité critique trouvée dans le plugin WordPress officiel de Google, Site Kit, pourrait permettre aux intrus d'accéder à Google Search Console sur le site ciblé.

Le plugin, qui compte plus de 400 000 installations, est utilisé pour configurer divers produits Google qui offrent des informations telles que le trafic Web, les revenus des publicités, la vitesse du site Web et l'optimisation dans WordPress.

La vulnérabilité d'escalade de privilèges de la Google Search Console, qui a maintenant été corrigée, a été jugée critique car elle pourrait non seulement permettre aux pirates d'accéder à la Search Console, mais également modifier les sitemaps ou falsifier les pages de résultats des moteurs de recherche (SERP).

Plugin vulnérable

Selon les experts de Wordfence, après s'être connecté à la console de recherche pour la première fois, le plugin génère un proxySetupURL qui dirige l'administrateur Web vers Google OAuth pour exécuter un processus de vérification en utilisant un proxy.

Un autre problème où "la demande de vérification utilisée pour vérifier la propriété d'un site était une action d'administration enregistrée" n'a pas pu vérifier l'authenticité de la demande. Combinées, ces failles "ont permis aux utilisateurs de niveau abonné de devenir propriétaires de Google Search Console sur n'importe quel site affecté, »Ont déclaré les chercheurs.

Une fois que les pirates ont accédé à la Google Search Console, ils pouvaient lancer des campagnes de référencement chapeau noir en manipulant les pages de résultats des moteurs de recherche, injecter du code malveillant pour la monétisation illicite et modifier les plans du site. Il permet également un accès non autorisé pour afficher des données de performances compétitives ainsi que pour supprimer des pages Web des pages de résultats des moteurs de recherche Google.

Google a maintenant publié une version corrigée du plug-in Site Kit en ajoutant des vérifications de capacité et une capacité de vérifier que la demande a été envoyée lors d'une session authentifiée légitime. De plus, il alertera désormais les propriétaires de Search Console chaque fois qu'un nouveau propriétaire est ajouté à la console comme sécurité supplémentaire.

Via: BleepingComputer

Les offres de produits Hi-tech en rapport avec cet article

Autres articles en relation:

Un méchant bug du plugin WordPress pourrait permettre aux pirates de supprimer le contenu de votre site Web Patch le plugin Facebook pour WordPress maintenant, préviennent les utilisateurs Ce plugin WordPress défectueux pourrait permettre aux pirates d'effacer votre site Web Ce plugin WordPress SEO pourrait rendre votre site Web vulnérable aux attaques Microsoft dévoile le nouveau plugin IndexNow pour les sites WordPress Le nouveau plugin de Google facilite la lecture d’histoires visuellement riches dans WordPress Un bogue critique dans le plugin WordPress pourrait permettre aux pirates d'effacer des sites entiers Une autre vulnérabilité de plugin WordPress laisse plus d’un million de sites Web exposés
Sujets connexes :
Continuer la lecture
Cliquez pour commenter

Laissez un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

ARTICLES POPULAIRES