ثغرة WooCommerce الشديدة لعام 2021 - كل ما تحتاج إلى معرفته

نشرت: 2022-02-12

وفقًا لآخر إحصائيات WordPress الإضافية ، تميل WooCommerce كواحد من أكثر مكونات WordPress الإضافية شيوعًا وأفضلها على الإطلاق ، مع أكثر من 5 ملايين عملية تثبيت نشطة.

هذا التأييد الهائل يأتي أحيانًا بثمن. أي أن عملاق التجارة الإلكترونية هذا أصبح هدفًا رئيسيًا للمهاجمين.

على وجه الخصوص ، أبلغت WooCommerce عن ثغرة خطيرة تم اكتشافها في يوليو 2021. تسببت ثغرة WooCommerce هذه في موجة من الذعر بين مالكي المتاجر والمستخدمين.

ما هو هذا الضعف؟ هل تركت أي ضرر؟ هل تم اختراق أي متجر؟ وماذا فعل WooCommerce لحل المشكلة؟

استمر في القراءة لمعرفة الإجابات!

  • شرح ثغرة WooCommerce في 2021
  • الأسئلة الشائعة حول ثغرات WooCommerce
  • كيفية حماية متاجر WooCommerce الخاصة بك من نقاط الضعف

شرح ثغرة WooCommerce في 2021

في 12 يوليو 2021 ، تم رصد ثغرة خطيرة في WooCommerce تتعلق بـ WooCommerce والمكوِّن الإضافي WooCommerce Blocks. أبلغ جوش ، الباحث الأمني ​​، عن هذه المشكلة عبر برنامج أمان HackerOne الخاص بـ Automattic.

بعد إجراء تحقيق شامل ، اكتشف WooCommerce وجود ثغرة أمنية في حقن SQL.

نتيجة لذلك ، يوصى بشدة بأي موقع يستخدم WooCommerce أو WooCommerce Blocks لتحديث المكونات الإضافية إذا لم يجروا بالفعل تحديثًا تلقائيًا.

كانت ثغرة WooCommerce شديدة للغاية لدرجة أنها أثرت على ملايين المستخدمين. اندفع WooCommerce فورًا من الخفاش لتطوير تصحيح أمان لإصلاح المشكلة لكل إصدار متأثر (أكثر من 90 إصدارًا).

تم نشر التصحيح تلقائيًا في مواقع WooCommerce المعرضة للخطر. من منظور مالك المتجر ، يجب عليك التأكد من تحديث WooCommerce و WooCommerce Blocks إلى أحدث إصداراتهما (5.5.1).

نصحت WooCommerce أيضًا جميع مالكي المواقع بتحديث كلمات المرور لمستخدمي الإدارة. بالإضافة إلى ذلك ، اقترحوا تدوير API ومفاتيح بوابة الدفع المستخدمة في المتجر.

إذن كيف يمكنك معرفة ما إذا كان إصدارك محدثًا؟

أدرجت WooCommerce جدولًا لإصدارات التصحيح لكل من WooCommerce و WooCommerce Blocks.

إذا لم تجد أيًا من إصداراتك الحالية يتطابق مع أي إصدار مدرج ، فيجب عليك التحديث فورًا إلى أحدث إصدار متوفر.

إصدارات مصححة تعمل على إصلاح ثغرة WooCommerce

الأسئلة الشائعة حول ثغرات WooCommerce

# 1. ما هي ثغرة WooCommerce SQL Injection؟

يسمح حقن SQL للمتسللين بالتدخل في قاعدة البيانات باستخدام نصوص SQL ضارة. من هنا ، يمكن للمهاجمين السيطرة على الموقع. يعرضون المعلومات أو يجعلون الموقع يتصرف بشكل غريب مقارنة بالمعتاد.

أيضًا ، وفقًا لـ WordFence ، فإن ثغرة WooCommerce هي ثغرة أمنية Blind SQL Injection.

# 2. كيف يمكنني معرفة ما إذا كانت البيانات قد تعرضت للاختراق؟

كما ذكرت WooCommerce ، لا توجد طريقة دقيقة لتأكيد ما إذا كانت البيانات قد تعرضت للاختراق. يقترح الفريق التحقق من سجلات الوصول لخادم الويب الخاص بك لاكتشاف بعض محاولات الاستغلال.

قد تستغرق هذه العملية وقتًا وتحتاج إلى مهارات معينة في الترميز. في حالة وجود رمز لمس العقل ، يمكنك طلب المساعدة من مضيف الويب لمراجعة سجل الوصول الخاص بك.

يمكنك الرجوع إلى إعلان WooCommerce لمزيد من التفاصيل.

# 3. هل يجب على مالكي المتاجر تنبيه عملائهم بشأن نقاط الضعف؟

يعتمد إخطار العملاء أم لا على العديد من العوامل ، مثل البنية التحتية لموقعك ، والبيانات التي يخزنها موقعك ، وما إلى ذلك. ومع ذلك ، فإن أهم شيء يجب مراعاته هو ما إذا كان موقعك قد تعرض للاختراق أم لا.

افعل ذلك أولاً قبل تنبيه عملائك - قم بتحديث إصدار WooCommerce الخاص بك إلى الإصدار الذي يحتوي على تصحيح الأمان الذي يعمل على إصلاح هذه المشكلة. سيساعد هذا في حماية عملائك من أي تهديدات أخرى.

بعد ذلك ، راقب كلمات مرورك وبوابات الدفع ومفاتيح WooCommerce API. اتبع بالضبط ما أوصت به WooCommerce:

  • قم بإنشاء كلمات مرور جديدة أو إنشاء المسؤول على موقعك ، خاصةً إذا كنت تعيد استخدام نفس كلمات المرور عبر العديد من المواقع.
  • قم بتدوير WooCommerce وأي مفاتيح API لبوابة الدفع مستخدمة على موقعك.

# 4. هل يجب أن أحصل على تصحيح الأمان تلقائيًا؟

لا. تنصح WooCommerce مالكي المتاجر بمحاولة تحديث المكون الإضافي يدويًا إلى إصدار مصحح الأمان. وهناك عدة أسباب لذلك:

  • أنت تستخدم إصدارًا أقدم من WooCommerce (أقل من الإصدار 3.3) في متجرك.
  • قد يتسبب التحديث التلقائي للإصدار الثابت في حدوث تعارضات في المكونات الإضافية.
  • لقد قمت بإيقاف تشغيل التحديثات التلقائية في متجرك.
  • إذا كان نظام الملفات الخاص بك للقراءة فقط ، فسيصبح التحديث التلقائي عديم الفائدة.

كيفية حماية متاجر WooCommerce الخاصة بك من نقاط الضعف

# 1. استخدام المكونات الإضافية للأمان

يبدو أن المكونات الإضافية للأمان هي الطريقة الأسهل والأكثر فاعلية لحماية متجر WooCommerce من نقاط الضعف. كل ما عليك فعله هو تثبيتها في متجرك والسماح لها بأداء السحر.

سيقومون بمراقبة وفحص مواقعك بانتظام ، وتشغيل جدران الحماية ، والذهاب إلى البحر لإصلاح الثغرات الأمنية على الفور. هناك العشرات من المكونات الإضافية للأمان الرائعة ، المجانية والمدفوعة ، مثل WordFence و Sucuri و JetPack و MalCare والمزيد.

إضافات أمان ووردبريس

# 2. النسخ الاحتياطي والنسخ الاحتياطي والنسخ الاحتياطي

يعد النسخ الاحتياطي للموقع ضروريًا مثل أي استراتيجية لكسب المال في عملك. إنه يثبت أنه مفيد في تأمين موقع الويب الخاص بك من فقدان جميع البيانات في حالة الهجمات الإلكترونية. للأسف ، لا يزال بعض تجار WooCommerce يتجاهلون ذلك.

لحماية متجرك من ثغرات WooCommerce غير المتوقعة ، يجب عليك اختيار المكونات الإضافية القوية للنسخ الاحتياطي في WordPress.

ابحث عن المكون الإضافي الذي يتعامل مع جميع أنواع البيانات ، مثل ملفات WordPress وقواعد البيانات والمكونات الإضافية والسمات. بالإضافة إلى ذلك ، يجب أن يوفر جداول نسخ احتياطي مرنة أيضًا.

# 3. قم بتشديد أمان تسجيل الدخول

نعلم جميعًا أن صفحة تسجيل الدخول إلى WordPress دائمًا ما تكون مستهدفة بشكل كبير للهجمات الضارة. تحتاج إلى تعزيز أمان تسجيل الدخول عن طريق

  • الحد من محاولات تسجيل الدخول
  • إخفاء عنوان URL الافتراضي لتسجيل الدخول
  • تجنب استخدام "admin" كاسم مستخدم
  • الاستفادة من المصادقة الثنائية (2FA)

# 4. تثبيت المظاهر الآمنة والمكونات الإضافية

تشير السمات والإضافات الآمنة إلى تلك التي تأتي من مصادر معتمدة وجديرة بالثقة. يتضمن ذلك مستودع المكونات الإضافية لـ WordPress ، ودليل السمات ، وسوق WooCommerce ، ومطوري الطرف الثالث المشهورين ، وما إلى ذلك.

بصرف النظر عن ذلك ، تأكد من أنك لا تستخدم مكونات WordPress الإضافية والسمات التي يتم بيعها بشكل لا يحصى بسعر منخفض للغاية على الإنترنت.

تذكر أن سمات وملحقات WordPress الفارغة تمتص! فهي ليست سوى حاوية للبرامج الضارة والباب الخلفي للهجوم.

لا يمكننا التأكيد بشكل كافٍ على مقدار ما تعنيه السمات والإضافات الآمنة لأمان الموقع. تحقق من إحصائيات أمان WordPress الخاصة بنا لمعرفة سبب ذلك.

# 5. قم بتثبيت شهادة SSL

هل يحصل موقعك على شهادة SSL؟ إذا كانت الإجابة بنعم ، فتهانينا ، لقد أضفت طبقة أمان إضافية إلى متجرك. جميع البيانات السرية لك ولعملائك آمنة.

ستضمن شهادة SSL أن البيانات المتبادلة بين عملائك والمتجر سيتم تشفيرها. في هذه المرحلة ، تكون جميع البيانات السرية لعملائك ، بما في ذلك التفاصيل المصرفية والمعاملات بينكما ، وما إلى ذلك آمنة.

إذا كانت إجابتك "ليس بعد" ، فأنت بحاجة إلى الحصول على شهادة SSL لمتجرك في أسرع وقت ممكن! لماذا ا؟ لأن Google قد أدرجت طبقة المقابس الآمنة كأحد عوامل الترتيب.

شهادة ووردبريس ssl (مصدر الصورة)

# 6. قم بتحديث موقعك بانتظام

يميل معظم مالكي المواقع إلى نسيان تحديث مواقعهم أو كرههم لأنهم يخشون أن يتسبب الإصدار الجديد في حدوث تعارضات. هذه حقا عادة سيئة.

بصرف النظر عن ذلك ، فإن مجرد تحديث WordPress و WooCommerce لا يكفي. يجب عليك التأكد من أن جميع المكونات الإضافية على موقعك محدثة. قم بإزالة أي مكون إضافي غير مستخدم أو أي مكون إضافي لم يتم اختباره باستخدام أحدث إصدارات WordPress أيضًا.

نصيحة احترافية: حاول وضع جدول تحديث والحفاظ عليه حتى لا يفوتك ذلك.

هل لا يزال WooCommerce آمنًا؟

نعم بالتأكيد!

وفقًا لـ WordFence Threat Intelligence ، هناك القليل جدًا من الأدلة على المتاجر المخترقة. لذلك يجب أن تكون واثقًا من عدم وجود هجوم واسع النطاق يضر بمواقع WooCommerce وأن WooCommerce لا يزال آمنًا وقويًا.

لقد أوضحت هذه المقالة ماهية ثغرة WooCommerce وكيف أثرت على مالكي المواقع وكيف استجابت WooCommerce لهذه المشكلة.

علاوة على ذلك ، أظهرنا لك أيضًا أفضل الممارسات لحماية متاجر WooCommerce من نقاط الضعف.

هل لديك أي تعليقات على ثغرة WooCommerce هذه؟ شارك أفكارك في قسم التعليق في الأسفل!