Kritische Sicherheitslücke bei WordPress-Plugin: Site Kit by Google
Aktuell wurde eine schwere Sicherheitslücke bei dem weit verbreiteten WordPress Plugin Site Kit by Google von Wordfence veröffentlicht. Was zu tun ist, Details zur Sicherheitslücke und ein paar Infos zum Plugin findet ihr regelmäßig in unserem Blog – für beliebte Plugins ab 100.000+ aktiven Nutzern.
Das WordPress Plugin: Site Kit by Google
Das Site Kit von Google ist ein kostenloses Plugin (lies in unserem Blog mehr zu den Möglichkeiten) für das beliebte CMS WordPress, mit welchem aktuell über 63% aller Webseiten betrieben werden. Und weil WordPress so beliebt ist, besteht natürlich großes Interesse, die verschiedenen Google-Dienste bequem ins WordPress-Dashboard zu integrieren. Das Plugin zählt laut WordPress.org aktuell über 300.000 aktive Nutzer.
Veröffentlicht am 14.05.2020:
Schwere Sicherheitslücke: Google Search Console Privilege Escalation
Die Sicherheitslücke ermöglicht es Angreifern Eigentümer-Rechte für deine Google Search Console zu erhalten. Mit diesem Zugriff kann der Angreifer Sitemaps ändern, Seiten von Google Suchmaschinenergebnisseiten (SERPs) entfernen oder Black Hat SEO Kampagnen ermöglichen.
Das kann dazu führen, das deine Webseite von Google oder anderen Suchmaschinen ausgeschlossen wird, da diese Praktik gegen die Suchmaschinen-Bedingungen verstößt. Außerdem kann der Angreifer wettbewerbsfähige Performance Zahlen ansehen. Zusammengefasst kann er also dein Ranking bei Google manipulieren und deine Sichtbarkeit einschränken.
Wir empfehlen dir dringend ein Update auf die neueste Version 1.8.0 zu machen, um die Sicherheitslücke zu schließen.
Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.
Überprüfung von Nutzern der Google Search Console
Glücklicherweise gibt es Möglichkeiten, zu überprüfen und zu überwachen, ob neue Besitzer der Google Search Console hinzugefügt wurden.
Google benachrichtigt dich per E-Mail, wenn ein neuer Besitzer der Search Console hinzugefügt wurde. Wenn du einer dieser Mails erhältst und vor kurzem keinen neuen Eigentümer hinzugefügt hast, solltest du den Nutzer direkt entfernen. Auch wenn du keine Mail erhalten hast, kannst du unberechtigte Nutzer ganz einfach entfernen.
Wie das geht, zeigen wir dir hier:
- Logge dich in der Google Search Console ein und gehe zu „Einstellungen“.
Google Search Console Einstellungen - Jetzt klickst du auf „Nutzer und Berechtigungen“.
Nutzer und Berechtigungen - Prüfe die Liste der Nutzer und stelle sicher, dass es keine unbekannten Eigentümer gibt.
Prüfen der Nutzer - Findest du einen Nutzer, der nichts in deiner Google Search Console verloren hat, kannst du diesen wie folgt entfernen. Klicke auf die drei Punkte neben dem Nutzer, den du entfernen möchtest.
Nutzer entfernen - Klicke dann auf „Property-Inhaber verwalten“. Hier siehst du ein Protokoll der Überprüfungsanfragen und kannst feststellen, wann Eigentümer hinzugefügt wurden und hast dort die Möglichkeit die Webseite-Besucher zu verifizieren.
Property-Inhaber verwalten - Klicke auf „Bestätigung aufheben“ für jeden Besitzer, den du nicht mehr in deiner Google Search Console haben möchtest.
Bestätigung für unberechtigte Nutzer aufheben
So kannst du überwachen, welche Nutzer sich in deiner Google Search Console herumtreiben und mögliche weitere Schäden durch Angreifer vermeiden.
Zusätzliche Vorsichtsmaßnahmen
Site Kit by Google bietet Funktionalitäten, um die Verbindung einer Webseite mit dem Site Kit zurückzusetzen. Wenn du festgestellt haben solltest, dass ein Angreifer sich Zugang zu deiner Google Search Console verschafft hat, solltest du zur Sicherheit in deinem WordPress folgendes tun:
- Logge dich auf deiner WordPress Seite ein und navigiere über das Google Site Kit zu den Einstellungen.
WordPress Google Site Kit Einstellungen - Gehe nun zu den „Admin-Einstellungen“ und bestätige den Reset, indem du auf „Site Kit zurücksetzen“ klickst. Dadurch wird deine Site Kit Verbindung zurückgesetzt und du musst alle zuvor verbundenen Google-Dienste erneut verbinden.
Google Site Kit zurücksetzen WordPress
Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– fast 10.000 frei verfügbare Themes sowie 55.000+ verfügbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese behoben werden können.
Mehr aktuelle und beliebte Beiträge rund um WordPress & Co.:
2 Kommentare
Kommentar schreiben Antworten abbrechen
Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.
Hallo Nina,
danke für den Beitrag!
Das wussten wir nicht das dieses plugin eine Sicherheitslücke hatte.
Top***** Bitte mehr zu diesen Themen
Danke!
Maurice
Danke Maurice! Nina ist gerade im Urlaub, aber das geben wir natürlich weiter.
LG Johannes