Vulnerabilidad crítica en el plugin de Google para WordPress

Ya lo hemos comentado en otras ocasiones, WordPress es la plataforma líder en publicación de webs y contenidos en Internet. Y es comprensible, porque hablamos de una solución CMS muy completa, modular, que evoluciona constantemente gracias a la enorme comunidad que tiene detrás. Una comunidad que, por una parte, se encarga de mantener el core del sistema, mientras que otro amplio conjunto de particulares, profesionales y empresas enriquecen su ecosistema gracias a los plugins, esos complementos que elevan las posibilidades casi hasta el infinito.

Ocurre, sin embargo, que con cierta frecuencia estos complementos son los responsables de problemas de seguridad que pueden llegar a comprometer toda la instalación de WordPress, ya que en muchas ocasiones cuentan con los suficientes permisos como para, empleados malintencionadamente, robar datos, emplear la web y la infraestructura con otros fines, boicotear el servicio… sí, un plugin no seguro y mal empleado puede ser muy peligroso. Y cuanto más popular sea ese complemento, claro, más extendido se encontrará el riesgo.

Así, hoy sabemos por la compañía de seguridad WordFence, de la que ya hablamos hace unos días, que SiteKit, el plugin de Google para administradores de sitios WordPress, se ha visto afectado por una vulnerabilidad crítica. Google fue informada del mismo el pasado 21 de abril de 2020. Dos semanas más tarde, el 7 de mayo, la compañía del buscador publicó una actualización que solucionaba este problema. Así, con tiempo para que los usuarios hayan actualizado ya, se hacen ahora públicos la naturaleza y el análisis técnico del problema. 

Según los investigadores, esta vulnerabilidad permite a cualquier usuario que se haya autenticado en la página web, independientemente de su rol en en el mismo, acceder y hacerse con el control de Google Search Console. De esta manera podría llevar a cabo acciones como modificar los sitemaps, hacer que determinadas entradas no se muestren en las páginas de resultados de Google (SERP) o, incluso, poner el sitio completo al servicio de campañas Black Hat SEO para promocionar contenidos de manera inadecuada.

Como indicaba al principio, Google ya ha actualizado el SiteKit, por lo que ahora es perentorio que todos los administradores de sitios en WordPress, y especialmente aquellos en los que los usuarios pueden registrarse, se aseguren de actualizarse a la versión 1.8.0 (o superior si ya existe, en el momento en que leas esto).

Para quienes no lo conozcan, y como indica Google en la página del plugin, SiteKit para WordPress, el complemento conecta el sitio con los principales servicios de la empresa del buscador para administradores de webs. Esta es la descripción oficial de dichos enlaces:

  • Search Console: Comprende cómo Google Search descubre y muestra tus páginas en la búsqueda de Google. Haz un seguimiento de cuántas personas han visto tu sitio en los resultados de búsqueda y qué consulta han usado para buscarlo.
  • Analytics: Explora cómo los usuarios navegan por tu sitio y rastrea los objetivos que has establecido para que completen tus usuarios.
  • AdSense: Mantén un seguimiento de cuánto estás ganando con tu sitio.
  • PageSpeed Insights: Mira cómo rinden tus páginas en comparación con otros sitios del mundo real. Mejora el rendimiento con consejos prácticos de PageSpeed ​​Insights.
  • Tag Manager: Usa Site Kit para configurar fácilmente Tag Manager, no es necesario editar código. Luego, gestiona tus etiquetas en Tag Manager.
  • Optimize: Usa Site Kit para configurar fácilmente Optimize: no es necesario editar código. Luego, configura las pruebas A/B en Optimize.

 

La entrada Vulnerabilidad crítica en el plugin de Google para WordPress es original de MuySeguridad. Seguridad informática.