Lỗ hổng trong plugin WordPress của Google đang bị SEO mũ đen khai thác triệt để

Lỗi plugin Google WordPress đang bị SEO mũ đen khai thác triệt để - Ảnh: Tiểu Vũ/Design
Một lỗi nghiêm trọng được tìm thấy trong Plugin WordPress chính thức của Google với hơn 300.000 lượt cài đặt đang hoạt động có thể cho phép kẻ tấn công có được quyền truy cập của chủ sở hữu vào Google Search Console.

Site Kit là một plugin WordPress được Google thiết kế để giúp chủ sở hữu trang web hiểu rõ hơn về cách khách truy cập sử dụng và tìm trang web của mình, thông qua các số liệu thống kê chính thức được thu thập từ nhiều công cụ của Google và được hiển thị trực tiếp trong bảng điều khiển WordPress.

Site Kit cũng giúp dễ dàng hơn để thiết lập và định cấu hình các sản phẩm chính của Google như Search Console (dịch vụ web miễn phí của Google dành cho quản trị web), Analytics (thống kê lượt truy cập), Tag Manager (trình quản lý thẻ), PageSpeed Insights (thông tin chi tiết về tốc độ trang web), Optimize (công cụ tối ưu hóa trang web) và AdSense (dịch vụ quảng cáo trực tuyến).

Lỗ hổng bảo vệ đặc quyền của Google Search Console đã được nhóm Wordfence Threat Intelligence phát hiện vào ngày 21.4 và báo cáo với nhóm Google Security vào ngày 22.4.

"Hai lỗ hổng này khiến người dùng ở cấp độ người đăng ký có thể trở thành chủ sở hữu Google Search Console trên bất kỳ trang web bị ảnh hưởng nào. Lỗ hổng tạo điều kiện cho các chiến dịch của SEO mũ đen bằng cách thao túng các trang web làm thay kết quả trên công cụ tìm kiếm Google cũng như sửa lại sơ đồ cấu trúc của trang web. Tin tặc cũng có thể cài mã độc vào trang web kiếm tiền bất hợp pháp, Wordfence giải thích .

Khi kẻ tấn công đã giành được quyền truy cập của chủ sở hữu vào Google Search Console, tin tặc có thể sử dụng nó theo nhiều cách như quyền truy cập vào Google Search Console để tác động đến khả năng hiển thị một trang web trong kết quả tìm kiếm của Google. Điều này sẽ ảnh hưởng lớn đến doanh thu quảng cáo của chủ sở hữu trang web khi kẻ tấn công xóa URL ra khỏi kết quả tìm kiếm trên Google.

"Cụ thể hơn, tin tặc có thể được sử dụng để hỗ trợ một đối thủ cạnh tranh để làm thay đổi thứ hạng và danh tiếng của một trang web, qua đó cải thiện danh tiếng và thứ hạng bên mà tin tặc đang được thuê hỗ trợ”, Wordfence nói thêm.

Sau khi phát hiện các lỗ hổng nghiêm trọng trong plugin WordPress, Google đã tự động gửi email thông báo cho chủ sở hữu trang web và các quản trị viên Google Search Console yêu cầu: "Chủ sở hữu tài sản có thể thay đổi cài đặt quan trọng ảnh hưởng đến cách Google Search tương tác với trang web hoặc ứng dụng đang dùng".

Bảng điều khiển Kit trang web

Wordfence khuyến cáo chủ sở hữu trang web cần cài đặt lại kết nối trang web WordPress để thay đổi tất cả các dịch vụ được kết nối trước đó với Google.

Google đã vá lỗ hổng vào ngày 7.5 với việc phát hành Site Kit 1.8.0, sau khi một bản vá cho lỗ hổng bảo mật được công khai trong Kho lưu trữ Github của plugin vào ngày 4.5.

Tất cả người dùng Site Kit được khuyến khích cập nhật ngay bản cài đặt của họ lên phiên bản 1.8.0, phiên bản mới nhất được vá đầy đủ.

WordPress là nền tảng web phổ biến nhất hiện này với hàng triệu người dùng, có gần 200.000 chủ sở hữu trang web đã cập nhật các plugin Site Kit kể từ khi bản vá được phát hành gần một tuần trước. Trong khi đó hơn 100.000 trang vẫn chưa cập nhật lại plugin mới đang là cơ hội cho “SEO mũ đen” tấn công khai thác lỗ hổng nghiêm trọng nói trên.

Black hat SEO hay còn gọi là SEO mũ đen, là một phương thức SEO không được Google chấp nhận, bằng cách nào đó lách luật quy tắc nội dung của bot tìm kiếm để lên top từ khóa. Phương thức này được nhiều Dịch vụ SEO sử dụng, mong muốn sớm hoàn thành hợp đồng.

Các thủ thuật SEO black hat thường ép các công cụ tìm kiếm đưa từ khóa thăng hạng trong thời gian ngắn, rất ngắn. Cách phổ biến là dùng backlink đen, mua backlink số lượng cực lớn.

Tiểu Vũ


Loading...

BÌNH LUẬN BÀI VIẾT


Bình luận0

Cảm ơn bạn đã gửi ý kiến.

Bạn đã gửi ý kiến cho bài viết này.