⚠️Błąd bezpieczeństwa w narzędziu od Google

Nawet największym firmom zdarzają się wpadki...

Jedno z bardzo popularnych narzędzi Google zawiera błąd bezpieczeństwa, który umożliwia sabotowanie pozycji strony w wynikach wyszukiwania.

Sprawdź, czy problem dotyczy również Twojej strony – i co zrobić w tej sytuacji by uniknąć problemów.

uwaga-narzedzie-google

W tym artykule dowiesz się:

  • about jakiego narzędzia dotyczy problem

  • support jak go rozwiązać

  • lock jak zabezpieczyć się na przyszłość

Zanim przejdziesz dalej...

Sprawdź, czy Twoje kampanie w Google Ads są skuteczne:

Google Ads - skuteczna reklama krok po kroku

Google Site Kit

Site Kit to oficjalna wtyczka do WordPressa od Google. Dzięki niej możesz uzyskać podgląd do zagregowanych danych z różnych narzędzi Google w zakresie tego, jak ludzie znajdują i używają Twojej witryny.

Wtyczka Site Kit jest szalenie popularna, bo liczba jej użytkowników wynosi blisko pół miliona.

Oprócz tego wyżej wymienione rozszerzenie wyświetla w panelu administratora WordPress różnego rodzaju porady dotyczące narzędzi Google.

google-site-kit-wordpress-laptop-pl

Wtyczka Google Site Kit jest bardzo popularna

Site Kit prezentuje dane z takich narzędzi jak:

  • Search Console – podgląd fraz, z jakich na Twoją stronę wchodzili internauci wraz z danymi dotyczącymi liczby wyświetleń oraz kliknięć w wyszukiwarce

  • Analytics – dane dotyczące sposobu używania strony przez internautów

  • AdSense – śledzenie zarobków, które przynosi Twoja witryna.

  • PageSpeed Insights – wynik strony pod kątem szybkości działania wraz z porównaniem do innych serwisów

  • Tag Manager – możesz go wdrożyć i zarządzać tagami z użyciem Site Kit

  • Optimize – łatwe wdrożenie narzędzia do testów A/B

Koniecznie zainteresuj się tym narzędziem, jeśli prowadzisz stronę na WordPress i/lub sklep na WooCommerce.

Site Kit pobierzesz za darmo ze strony Wordpress.org.

Na czym polega błąd i jak rozwiązać

Krytyczny błąd we wtyczce Site Kit dotyczył bezpieczeństwa konta. Pozwalał atakującemu na uzyskanie dostępu do niektórych funkcji związanych z prezentacją strony w wynikach wyszukiwania. Przykładem może być uzyskanie przez hakera możliwości manipulowania mapą strony.

Według raportu, przez ten błąd:

Nieupoważnione osoby mogły uzyskać dostęp do funkcji administracyjnych Google Search Console konta podpiętego do strony.

google-site-kit-alt-pl

Zrzut ekranu panelu Google Site Kit strony growthmind.pl

Błąd, który wystąpił w Google Site Kit jest nazywany Privilege Escalation exploit.

W skrócie ten rodzaj błędu pozwala zarejestrowanemu użytkownikowi strony na przejęcie uprawnień, które nie wynikają z uprawnień konta. Przykładowo użytkownik o roli subskrybent przy wystąpieniu tego rodzaju błędu jest w stanie uzyskać dostęp do niektórych funkcji administracyjnych.

Podatność wtyczki Google Site Kit została odkryta przez Chloe Chamberland, pracującą dla firmy WordFence – twórcy wtyczki zwiększającej bezpieczeństwo stron uruchomionych na WordPressie.

Błąd został odkryty 21 kwietnia 2020, a następnie natychmiastowo zgłoszony do Google.

Google załatał podatność we wtyczce na bazie raportu od WordFence. 7 maja 2020 roku została udostępniona aktualizacja wtyczki, która naprawia ten błąd.

Jeśli korzystasz z wtyczki, upewnij się, że ją zaktualizowałeś.

Podsumowanie

Jak widzisz, nawet największym firmom zdarzają się błędy bezpieczeństwa. Na szczęście ten przykład pokazuje wyraźnie:

Gdy krytyczny błąd zostaje wykryty, równie szybko zostaje naprawiony.

Dlatego tak ważne jest, aby na bieżąco aktualizować wtyczki oraz motywy wykorzystywane w WordPressie. Pamiętaj o tym.

Przy okazji możesz zainteresować się rozwiązaniem WordFence, które pozwoli Ci zwiększyć zabezpieczenia Twojej strony.

0 komentarzy