La vulnérabilité du plug-in WordPress donne aux pirates l’accès à Google Search Console. Le piratage pourrait exposer 300 000 sites WordPress à un référencement indirect ou à des éliminations complètes.
Plus tôt cette semaine, WordFence a annoncé que son équipe de renseignement sur les menaces avait découvert une vulnérabilité dans Site Kit by Google, un plugin WordPress qui offre aux propriétaires de sites Web un accès facile aux outils et aux informations critiques de Google. Le plug-in est actuellement installé sur plus de 300 000 sites WordPress. Cette vulnérabilité permet à tout utilisateur authentifié de devenir propriétaire de Google Search Console pour les sites exécutant le plug-in appartenant à Google.
WordFence a déposé un rapport de problème de sécurité informant Google du problème le 21 avril 2020. Google a publié un correctif le 7 mai 2020.
La vulnérabilité de Site Kit est un problème de sécurité critique, car elle pourrait permettre aux attaquants d’obtenir un accès propriétaire à un site dans la Google Search Console. Un tel accès de haut niveau permettrait aux pirates de modifier les plans des sites, de supprimer des pages des résultats des moteurs de recherche Google et même de faciliter les campagnes de référencement chapeau noir. Pour de nombreux pirates, la possibilité de mener de telles campagnes est particulièrement intéressante.
En outre, si un pirate obtenait l’accès à la Google Search Console d’un site Web, il pourrait également effectuer des opérations telles que l’accès aux données Google Analytics d’un site.
Dans l’ensemble, les pirates ayant accès à la Google Search Console d’un site peuvent potentiellement nuire au classement des moteurs de recherche d’un site Web. Cela pourrait également avoir un impact sur la concurrence entre les sites Web et les organisations en ce qui concerne leur classement de recherche et leur réputation globale sur le Web. À l’heure actuelle, tous les utilisateurs du Kit de site ont été invités à mettre à jour le plug-in vers la version 1.8.0. Cela contribuera à protéger leurs sites Web contre cette vulnérabilité critique. Selon Bleeping Computer, alors que près de 200 000 propriétaires de sites Web ont mis à jour Site Kit depuis la publication du correctif, plus de 100 000 sites n’ont pas encore mis le correctif en place. Cela signifie que de nombreux sites Web WordPress restent exposés aux pirates qui cherchent à tirer parti de cette vulnérabilité.