Schwere WooCommerce-Schwachstelle 2021 – Alles, was Sie wissen müssen

Laut den neuesten WordPress-Plugin-Statistiken gilt WooCommerce mit über 5 Millionen aktiven Installationen als eines der beliebtesten und besten WordPress-Plugins aller Zeiten.

Diese immense Bestätigung ist manchmal mit einem Preis verbunden. Das heißt, dieser E-Commerce-Titan ist zu einem Hauptziel für Angreifer geworden.

Insbesondere WooCommerce meldete eine kritische Schwachstelle, die im Juli 2021 entdeckt wurde. Diese WooCommerce-Schwachstelle löste eine Welle der Panik unter Ladenbesitzern und Benutzern aus.

Was ist diese Schwachstelle? Hat es irgendwelche Schäden hinterlassen? Wurde ein Geschäft kompromittiert? Und was hat WooCommerce getan, um das Problem zu lösen?

Lesen Sie weiter, um die Antworten zu finden!

• WooCommerce-Schwachstelle 2021 erklärt
• Häufig gestellte Fragen zu WooCommerce-Schwachstellen
• So schützen Sie Ihre WooCommerce-Shops vor Schwachstellen

WooCommerce-Schwachstelle 2021 erklärt

Am 12. Juli 2021 wurde eine kritische WooCommerce-Schwachstelle im Zusammenhang mit dem WooCommerce- und dem WooCommerce Blocks-Plugin entdeckt. Josh, ein Sicherheitsforscher, meldete dieses Problem über das Sicherheitsprogramm HackerOne von Automattic.

Nach einer gründlichen Untersuchung entdeckte WooCommerce eine SQL-Injection-Schwachstelle.

Daher wird jeder Website, die WooCommerce oder WooCommerce Blocks verwendet, dringend empfohlen, ihre Plugins zu aktualisieren, wenn sie nicht bereits ein automatisches Update durchgeführt haben.

Diese WooCommerce-Schwachstelle war so schwerwiegend, dass sie Millionen von Benutzern betraf. WooCommerce hat sofort losgelegt, um einen Sicherheitspatch zu entwickeln, um das Problem für jede betroffene Version (90+ Releases) zu beheben.

Der Patch wurde automatisch auf anfälligen WooCommerce-Sites bereitgestellt. Aus Sicht eines Ladenbesitzers sollten Sie sicherstellen, dass sowohl WooCommerce als auch WooCommerce-Blöcke auf ihre neuesten Versionen (5.5.1) aktualisiert werden.

WooCommerce riet auch allen Websitebesitzern, Passwörter für Administratorbenutzer zu aktualisieren. Außerdem schlugen sie vor, die im Geschäft verwendeten API- und Zahlungs-Gateway-Schlüssel zu wechseln.

Wie können Sie also wissen, ob Ihre Version auf dem neuesten Stand ist?

WooCommerce hat eine Tabelle mit Patch-Versionen für WooCommerce und WooCommerce Blocks aufgelistet.

Wenn Sie feststellen, dass keine Ihrer aktuellen Versionen mit einer aufgelisteten Version übereinstimmt, sollten Sie sofort auf die höchste verfügbare Version aktualisieren.

Häufig gestellte Fragen zu WooCommerce-Schwachstellen

#1. Was ist eine WooCommerce SQL Injection-Schwachstelle?

Eine SQL-Injection ermöglicht es Hackern, mit bösartigen SQL-Skripten in die Datenbank einzugreifen. Von hier aus können Angreifer die Kontrolle über die Website erlangen. Sie zeigen Informationen an oder bewirken, dass sich die Website im Vergleich zu ihrem üblichen Verhalten seltsam verhält.

Laut WordFence handelt es sich bei dieser WooCommerce-Schwachstelle auch um eine Blind SQL Injection-Schwachstelle.

#2. Wie kann ich feststellen, ob Daten kompromittiert wurden?

Wie WooCommerce feststellte, gibt es keine genaue Möglichkeit zu bestätigen, ob Daten kompromittiert wurden. Das Team schlägt vor, die Zugriffsprotokolle Ihres Webservers zu überprüfen, um einige Exploit-Versuche zu erkennen.

Dieser Vorgang kann einige Zeit in Anspruch nehmen und erfordert bestimmte Programmierkenntnisse. Falls Sie Code berühren möchten, können Sie sich an Ihren Webhost wenden, um Ihr Zugriffsprotokoll zu überprüfen.

Weitere Informationen finden Sie in der WooCommerce-Ankündigung.

#3. Sollten Ladenbesitzer ihre Kunden auf die Schwachstelle aufmerksam machen?

Ob Sie Kunden benachrichtigen oder nicht, hängt von vielen Faktoren ab, wie z. B. Ihrer Site-Infrastruktur, welche Daten Ihre Site speichert usw. Das Wichtigste, was Sie jedoch berücksichtigen sollten, ist, ob Ihre Site kompromittiert wurde oder nicht.

Tun Sie dies zuerst, bevor Sie Ihre Kunden warnen – aktualisieren Sie Ihre WooCommerce-Version auf die Version mit dem Sicherheitspatch, der dieses Problem behebt. Dies trägt dazu bei, Ihre Kunden vor weiteren Bedrohungen zu schützen.

Behalten Sie als Nächstes Ihre Passwörter, Zahlungsgateways und WooCommerce-API-Schlüssel im Auge. Befolgen Sie genau das, was WooCommerce empfohlen hat:

• Generieren Sie neue Passwörter oder den Admin auf Ihrer Website, insbesondere wenn Sie dieselben Passwörter auf vielen Websites wiederverwenden.
• Rotieren Sie WooCommerce und alle Zahlungsgateway-API-Schlüssel, die auf Ihrer Website verwendet werden.

#4. Soll ich den Sicherheitspatch automatisch erhalten?

Nein. WooCommerce empfiehlt Ladenbesitzern, zu versuchen, das Plugin manuell auf die Version mit Sicherheitspatches zu aktualisieren. Dafür gibt es mehrere Gründe:

• Du verwendest eine ältere Version von WooCommerce (älter als Version 3.3) in deinem Shop.
• Das automatische Aktualisieren auf die gefixte Version kann Plug-in-Konflikte verursachen.
• Sie haben automatische Updates für Ihren Shop deaktiviert.
• Falls Ihr Dateisystem schreibgeschützt ist, erweist sich das automatische Update als nutzlos.

So schützen Sie Ihre WooCommerce-Shops vor Schwachstellen

#1. Verwenden Sie Sicherheits-Plugins

Sicherheits-Plugins scheinen der einfachste und dennoch effektivste Weg zu sein, um Ihren WooCommerce-Shop vor Schwachstellen zu schützen. Alles, was Sie tun müssen, ist, sie in Ihrem Geschäft zu installieren und sie die Magie wirken zu lassen.

Sie überwachen und scannen Ihre Websites regelmäßig, schalten Firewalls ein und gehen über Bord, um Sicherheitslücken vor Ort zu beheben. Es gibt Dutzende von hervorragenden Sicherheits-Plugins, sowohl kostenlos als auch kostenpflichtig, nämlich WordFence, Sucuri, JetPack, MalCare und mehr.

#2. Sichern, sichern und sichern

Site-Backup ist so wichtig wie jede Strategie zum Geldverdienen Ihres Unternehmens. Es erweist sich als praktisch, um Ihre Website vor dem Verlust aller Daten im Falle von Cyberangriffen zu schützen. Leider haben einige WooCommerce-Händler es immer noch übersehen.

Um Ihren Shop vor unerwarteten WooCommerce-Schwachstellen zu schützen, sollten Sie sich für solide WordPress-Backup-Plugins entscheiden.

Suchen Sie nach dem Plugin, das alle Arten von Daten verarbeitet, z. B. WordPress-Dateien, Datenbanken, Plugins und Designs. Außerdem sollte es auch flexible Backup-Zeitpläne bieten.

#3. Verschärfen Sie die Anmeldesicherheit

Wir alle wissen, dass die WordPress-Anmeldeseite immer sehr gezielt für böswillige Angriffe ist. Sie müssen die Anmeldesicherheit erhöhen, indem Sie

• Begrenzung der Anmeldeversuche
• Ausblenden der Standard-Anmelde-URL
• Vermeiden Sie die Verwendung von „admin“ als Benutzernamen
• Nutzung der Zwei-Faktor-Authentifizierung (2FA)

#4. Installieren Sie SICHERE Designs und Plugins

Sichere Themen und Plugins beziehen sich auf diejenigen, die aus autorisierten und vertrauenswürdigen Quellen stammen. Dazu gehören das WordPress-Plugin-Repository, das Themenverzeichnis, der WooCommerce-Marktplatz, renommierte Drittentwickler usw.

Stellen Sie außerdem sicher, dass Sie keine leeren WordPress-Plugins und -Themes verwenden, die im Internet unzählige Male zu einem supergünstigen Preis verkauft werden.

Denken Sie daran, dass null WordPress-Themes und Plugins scheiße sind! Sie sind nichts anderes als ein Malware-Container und eine Hintertür für Angriffe.

Wir können nicht genug betonen, wie viel sichere Themen und Plugins für die Sicherheit der Website bedeuten. Sehen Sie sich unsere WordPress-Sicherheitsstatistiken an, um den Grund dafür zu erfahren.

#5. Installieren Sie ein SSL-Zertifikat

Bekommt Ihre Website ein SSL-Zertifikat? Wenn ja, herzlichen Glückwunsch, Sie haben Ihrem Geschäft eine zusätzliche Sicherheitsebene hinzugefügt. Alle vertraulichen Daten von Ihnen und Ihren Kunden sind sicher.

Ein SSL-Zertifikat stellt sicher, dass die zwischen Ihren Kunden und dem Geschäft ausgetauschten Daten verschlüsselt werden. Zu diesem Zeitpunkt sind alle vertraulichen Daten Ihrer Kunden, einschließlich Bankdaten, Transaktionen zwischen Ihnen beiden usw., sicher.

Falls Ihre Antwort „Noch nicht“ lautet, müssen Sie so schnell wie möglich ein SSL-Zertifikat für Ihren Shop erhalten! Wieso den? Denn Google hat SSL als einen der Ranking-Faktoren aufgenommen.

(Bildquelle)

#6. Aktualisieren Sie Ihre Website regelmäßig

Die meisten Websitebesitzer neigen dazu, die Aktualisierung ihrer Websites zu vergessen oder zu hassen, da sie befürchten, dass die neue Version Konflikte verursachen wird. Das ist eine wirklich schlechte Angewohnheit.

Abgesehen davon reicht es nicht aus, nur WordPress und WooCommerce zu aktualisieren. Sie müssen sicherstellen, dass alle Plugins auf Ihrer Website auf dem neuesten Stand sind. Entfernen Sie auch ungenutzte oder Plugins, die nicht mit den neuesten Versionen von WordPress getestet wurden.

Pro-Tipp: Versuchen Sie, einen Aktualisierungsplan zu erstellen und pflegen Sie ihn, damit Sie ihn nicht verpassen.

Ist WooCommerce noch sicher?

Ja definitiv!

Laut WordFence Threat Intelligence gibt es nur sehr wenige Hinweise auf kompromittierte Stores. Sie sollten sich also sicher sein, dass es keinen weit verbreiteten Angriff gibt, der WooCommerce-Websites schadet, und WooCommerce immer noch sicher und leistungsstark ist.

In diesem Artikel wurde dargelegt, was eine WooCommerce-Schwachstelle ist, wie sie sich auf Websitebesitzer auswirkte und wie WooCommerce auf das Problem reagierte.

Darüber hinaus haben wir Ihnen Best Practices gezeigt, um Ihre WooCommerce-Shops vor Schwachstellen zu schützen.

Haben Sie Kommentare zu dieser WooCommerce-Schwachstelle? Teilen Sie Ihre Gedanken im Kommentarbereich unten!