Kritische Sicherheitslücke bei WordPress-Plugin: Site Kit by Google

Aktuell wurde eine schwere Sicherheitslücke bei dem weit verbreiteten WordPress Plugin Site Kit by Google von Wordfence veröffentlicht. Was zu tun ist, Details zur Sicherheitslücke und ein paar Infos zum Plugin findet ihr regelmäßig in unserem Blog – für beliebte Plugins ab 100.000+ aktiven Nutzern.

Das WordPress Plugin: Site Kit by Google

Das Site Kit von Google ist ein kostenloses Plugin (lies in unserem Blog mehr zu den Möglichkeiten) für das beliebte CMS WordPress, mit welchem aktuell über 63% aller Webseiten betrieben werden. Und weil WordPress so beliebt ist, besteht natürlich großes Interesse, die verschiedenen Google-Dienste bequem ins WordPress-Dashboard zu integrieren. Das Plugin zählt laut WordPress.org aktuell über 300.000 aktive Nutzer.

Veröffentlicht am 14.05.2020:

Schwere Sicherheitslücke: Google Search Console Privilege Escalation

Die Sicherheitslücke ermöglicht es Angreifern Eigentümer-Rechte für deine Google Search Console zu erhalten. Mit diesem Zugriff kann der Angreifer Sitemaps ändern, Seiten von Google Suchmaschinenergebnisseiten (SERPs) entfernen oder Black Hat SEO Kampagnen ermöglichen.
Das kann dazu führen, das deine Webseite von Google oder anderen Suchmaschinen ausgeschlossen wird, da diese Praktik gegen die Suchmaschinen-Bedingungen verstößt. Außerdem kann der Angreifer wettbewerbsfähige Performance Zahlen ansehen. Zusammengefasst kann er also dein Ranking bei Google manipulieren und deine Sichtbarkeit einschränken.

Wir empfehlen dir dringend ein Update auf die neueste Version 1.8.0 zu machen, um die Sicherheitslücke zu schließen.

Quelle: https://www.wordfence.com/blog/2020/05/vulnerability-in-google-wordpress-plugin-grants-attacker-search-console-access

Falls du über den HostPress SecurePlan verfügst, haben wir für dich bereits das neueste Sicherheitsupdate durchgeführt.

Überprüfung von Nutzern der Google Search Console

Glücklicherweise gibt es Möglichkeiten, zu überprüfen und zu überwachen, ob neue Besitzer der Google Search Console hinzugefügt wurden.

Google benachrichtigt dich per E-Mail, wenn ein neuer Besitzer der Search Console hinzugefügt wurde. Wenn du einer dieser Mails erhältst und vor kurzem keinen neuen Eigentümer hinzugefügt hast, solltest du den Nutzer direkt entfernen. Auch wenn du keine Mail erhalten hast, kannst du unberechtigte Nutzer ganz einfach entfernen.

Wie das geht, zeigen wir dir hier:

1. Logge dich in der Google Search Console ein und gehe zu „Einstellungen“.
   

   

    

2. Jetzt klickst du auf „Nutzer und Berechtigungen“.
   

   

    

3. Prüfe die Liste der Nutzer und stelle sicher, dass es keine unbekannten Eigentümer gibt.
   

   

    

4. Findest du einen Nutzer, der nichts in deiner Google Search Console verloren hat, kannst du diesen wie folgt entfernen. Klicke auf die drei Punkte neben dem Nutzer, den du entfernen möchtest.
   

   

    

5. Klicke dann auf „Property-Inhaber verwalten“. Hier siehst du ein Protokoll der Überprüfungsanfragen und kannst feststellen, wann Eigentümer hinzugefügt wurden und hast dort die Möglichkeit die Webseite-Besucher zu verifizieren.
   

   

    

6. Klicke auf „Bestätigung aufheben“ für jeden Besitzer, den du nicht mehr in deiner Google Search Console haben möchtest.
   

   

    

So kannst du überwachen, welche Nutzer sich in deiner Google Search Console herumtreiben und mögliche weitere Schäden durch Angreifer vermeiden.

Zusätzliche Vorsichtsmaßnahmen

Site Kit by Google bietet Funktionalitäten, um die Verbindung einer Webseite mit dem Site Kit zurückzusetzen. Wenn du festgestellt haben solltest, dass ein Angreifer sich Zugang zu deiner Google Search Console verschafft hat, solltest du zur Sicherheit in deinem WordPress folgendes tun:

1. Logge dich auf deiner WordPress Seite ein und navigiere über das Google Site Kit zu den Einstellungen.
   

   

    

2. Gehe nun zu den „Admin-Einstellungen“ und bestätige den Reset, indem du auf „Site Kit zurücksetzen“ klickst. Dadurch wird deine Site Kit Verbindung zurückgesetzt und du musst alle zuvor verbundenen Google-Dienste erneut verbinden.
   

   

    

Inzwischen gibt es für das bedeutendste CMS der Welt –WordPress– fast 10.000 frei verfügbare Themes sowie 55.000+ verfügbare Plugins. Dadurch ergibt sich jedoch auch entsprechend viel Angriffsfläche. Gut, dass die sehr große und lebendige Community ständig dazu beiträgt solche Sicherheitslücken aufzudecken, damit diese behoben werden können.