WordPress tinha vulnerabilidade crítica devido a plugin do Google

Uma falha de segurança em um plugin oficialmente reconhecido pelo Google colocou vários sites feitos em WordPress em risco. O plugin em questão — conhecido como “SiteKit” — oferece ao usuário insights sobre como os visitantes de um site o encontram e navegam por ele, usando dados coletados por várias ferramentas do Google, além de facilitar a instalação de produtos da empresa de Mountain View, como AdSense, Google Search, Analytics, TagManager, PageSpeed e Optimize, para citar alguns.

De acordo com o relatório divulgado pela equipe WordFence Threat Intelligence, a ameaça foi descoberta em 21 de abril e denunciada ao próprio Google no dia seguinte. Entrando na explicação técnica oferecida pela equipe de segurança: “o bug era causado pela publicação da função ‘proxySetupURL’ dentro do código-fonte em HTML das páginas dos administradores [do site], uma URL usada para conectar o plugin SiteKit com o console de buscas do Search via Google OAuth”.

“OAuth” é a API que permite criar uma conta em qualquer serviço por meio de uma conta Google.

“Isso era acompanhado de outro problema, no qual o pedido de verificação de propriedade de um site era registrado como uma ação do administrador, mas sem ter a capacidade de checagem, permitindo que pedidos de verificação viessem por parte de qualquer usuário autenticado dentro do WordPress”.

Trocando em miúdos: uma ação que deveria ser exclusiva para o dono de um site estava, por causa desses dois bugs, disponível para qualquer pessoa com uma conta no WordPress. Ou seja, qualquer internauta poderia tomar propriedade do uso do SiteKit dentro do seu site, o que, segundo a WordFence, abriria sua página para riscos variados, tais como facilitar a execução de campanhas SEO black hat para manipular páginas de resultados de buscas, implementar códigos maliciosos para monetização ilícita, remover páginas inteiras dos resultados de busca do Google, modificar completamente os sitemaps e, finalmente, visualizar informações competitivas de desempenho de um site.

“O acesso não-restrito ao administrador do console do Google Search traz o potencial de impactar negativamente a visibilidade de um site dentro da página de resultados do Google, afetando a receita dele conforme um invasor remove as URLs da busca orgânica”, comentou a WodFence. “Especificamente, isso poderia ser usado para ajudar um concorrente que buscasse ferir o seu posicionamento no ranking [do Google], bem como a reputação de um site ao melhorar, ilegalmente, a sua própria reputação e posicionamento”.

O caso, felizmente, já foi resolvido: o Google disponibilizou um patch de correção no dia 7 de maio, com a chegada da versão 1.80 do SiteKit. Além disso, o site da WordFence traz medidas de correção para o problema, ressaltando que “proprietários de site podem ajustar a forma como o SiteKit interage com suas páginas por meio das configurações”.

O Google também tem o cuidado de enviar e-mails de alerta a proprietários de páginas do Wordpress sempre que um novo usuário é adicionado ao SiteKit. E no caso deste e-mail de alerta ter caído em sua caixa de spam, você pode sempre estabelecer uma rotina de resetar todos os acessos ao SiteKit (por exemplo, mudar o acesso toda semana ou todo mês), obrigando dispositivos conectados a restabelecerem a conexão manualmente.

Fonte: WordFence