Google的官方WordPress外挂含有重大漏洞，允许骇客成为搜寻控制台所有人

专门提供WordPress网站安全服务的Wordfence本周指出，他们发现了Google所提供的WordPress插件Site Kit by Google，含有一安全漏洞，允许任何经过认证的使用者，成为Google搜寻控制台（Google Search Console）的所有人。

Site Kit是一个可在WordPress的仪表板上部署、管理及检视所有Google工具的插件，支援搜寻控制台、分析工具Analytics、AdSense广告服务、检视网页效能的PageSpeed Insights、管理标签的Tag Manager，以及最佳化工具Optimize，现有30万个WordPress网站安装了Site Kit。

根据Wordfence的说法，Site Kit的作法是先连结Google的搜寻控制台账号，之后再提供其它能力以连结 Analytics、AdSense、PageSpeed Insights、Optimize与Tag Manager。

为了建立Site Kit与搜寻控制器之间的连结，Site Kit插件会产生一个proxySetupURL以将网站管理员导至Google OAuth，并执行网站所有人验证程序，由于缺乏对admin_enqueue_scripts行动的能力检查，使得proxySetupURL在管理员页面上以HTML源代码的方式呈现，而曝露在任何经过授权且存取/wp-admin仪表板的使用者面前。

一旦成为搜寻控制台的所有人，就能变更网站地图、从Google搜寻结果中移除页面，或是用非法手段来提高网站排名（Black Hat SEO）。幸好Google有个安全机制，若有新增的搜寻控制台所有人，就会寄出邮件通知，让既有的所有人有所警愓。

Wordfence是在今年的4月21日发现该漏洞，同一天就通报了Google，Google已于5月7日更新Site Kit。