Kritische Sicherheitslücke bei WordPress-Plugin: Site Kit by Google

14. Mai 2020
|In Security
|Von Nina

Google Site KIt Sicherheitslücke

Aktuell wurde eine schwere Sicherheitslücke bei dem weit verbreiteten WordPress Plugin Site Kit by Google von Wordfence veröffentlicht. Was zu tun ist, Details zur Sicherheitslücke und ein paar Infos zum Plugin findet ihr regelmäßig in unserem Blog – für beliebte Plugins ab 100.000+ aktiven Nutzern.

Das WordPress Plugin: Site Kit by Google

Site Kit by Google ist ein kostenloses Open Source-Plugin (lies in unserem Blog mehr zu den Möglichkeiten) für das beliebte CMS WordPress, mit welchem aktuell über 63% aller Webseiten betrieben werden. Und weil WordPress so beliebt ist, besteht natürlich großes Interesse, die verschiedenen Google-Dienste bequem ins WordPress-Dashboard zu integrieren. Das Plugin zählt laut WordPress.org aktuell über 300.000 aktive Nutzer.

 

 

Veröffentlicht am 14.05.2020:

Schwere Sicherheitslücke: Google Search Console Privilege Escalation

Die Sicherheitslücke ermöglicht es Angreifern Eigentümer-Rechte für deine Google Search Console zu erhalten. Mit diesem Zugriff kann der Angreifer Sitemaps ändern, Seiten von Google Suchmaschinenergebnisseiten (SERPs) entfernen oder Black Hat SEO Kampagnen ermöglichen.
Das kann dazu führen, das deine Webseite von Google oder anderen Suchmaschinen ausgeschlossen wird, da diese Praktik gegen die Suchmaschinen-Bedingungen verstößt. Außerdem kann der Angreifer wettbewerbsfähige Performance Zahlen ansehen. Zusammengefasst kann er also dein Ranking bei Google manipulieren und deine Sichtbarkeit einschränken.

 

Wir empfehlen dir dringend ein Update auf die neueste Version 1.8.0 zu machen, um die Sicherheitslücke zu schließen.

 

Quelle: https://www.wordfence.com/blog/2020/05/vulnerability-in-google-wordpress-plugin-grants-attacker-search-console-access

 

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.

 

Überprüfung von Nutzern der Google Search Console

Glücklicherweise gibt es Möglichkeiten, zu überprüfen und zu überwachen, ob neue Besitzer der Google Search Console hinzugefügt wurden.

Google benachrichtigt dich per E-Mail, wenn ein neuer Besitzer der Search Console hinzugefügt wurde. Wenn du einer dieser Mails erhältst und vor kurzem keinen neuen Eigentümer hinzugefügt hast, solltest du den Nutzer direkt entfernen. Auch wenn du keine Mail erhalten hast, kannst du unberechtigte Nutzer ganz einfach entfernen.

Wie das geht, zeigen wir dir hier:

 

  1. Logge dich in der Google Search Console ein und gehe zu „Einstellungen“.
    Google Search Console - Einstellungen
    Google Search Console Einstellungen

     

  2. Jetzt klickst du auf „Nutzer und Berechtigungen“.
    Google Search Console - Nutzer und Berechtigungen
    Nutzer und Berechtigungen

     

  3. Prüfe die Liste der Nutzer und stelle sicher, dass es keine unbekannten Eigentümer gibt.
    Google Search Console Berechtigungen prüfen
    Prüfen der Nutzer

     

  4. Findest du einen Nutzer, der nichts in deiner Google Search Console verloren hat, kannst du diesen wie folgt entfernen. Klicke auf die drei Punkte neben dem Nutzer, den du entfernen möchtest.
    Google Search Console - Nutzer prüfen und bearbeiten
    Nutzer entfernen

     

  5. Klicke dann auf „Property-Inhaber verwalten“. Hier siehst du ein Protokoll der Überprüfungsanfragen und kannst feststellen, wann Eigentümer hinzugefügt wurden und hast dort die Möglichkeit die Webseite-Besucher zu verifizieren.
    Google Search Console Property Inhaber verwalten
    Property-Inhaber verwalten

     

  6. Klicke auf „Bestätigung aufheben“ für jeden Besitzer, den du nicht mehr in deiner Google Search Console haben möchtest.
    Webmaster Zentrale Google Search Console
    Bestätigung für unberechtigte Nutzer aufheben

     

So kannst du überwachen, welche Nutzer sich in deiner Google Search Console herumtreiben und mögliche weitere Schäden durch Angreifer vermeiden.

 

 

Zusätzliche Vorsichtsmaßnahmen

Site Kit by Google bietet Funktionalitäten, um die Verbindung einer Webseite mit dem Site Kit zurückzusetzen. Wenn du festgestellt haben solltest, dass ein Angreifer sich Zugang zu deiner Google Search Console verschafft hat, solltest du zur Sicherheit in deinem WordPress folgendes tun:

 

  1. Logge dich auf deiner WordPress Seite ein und navigiere über das Google Site Kit zu den Einstellungen.
    WordPress Google Sitekit Einstellungen
    WordPress Google Site Kit Einstellungen

     

  2. Gehe nun zu den „Admin-Einstellungen“ und bestätige den Reset, indem du auf „Site Kit zurücksetzen“ klickst. Dadurch wird deine Site Kit Verbindung zurückgesetzt und du musst alle zuvor verbundenen Google-Dienste erneut verbinden.
    Google Site Kit zurücksetzen WordPress
    Google Site Kit zurücksetzen WordPress

     

 

 

Kostenloser Speedtest CTA Box

Wie schnell ist deine WordPress Seite?

Teste jetzt kostenlos die Ladezeit deiner Webseite!

✔ Du bekommst das Testergebnis direkt per E-Mail.

 

 

 

Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– fast 10.000 frei verfügbare Themes sowie 55.000+ verfügbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese behoben werden können.