Vulnérabilité grave de WooCommerce 2021 – Tout ce que vous devez savoir

Selon les dernières statistiques des plugins WordPress, WooCommerce est considéré comme l'un des plugins WordPress les plus populaires et les meilleurs de tous les temps, avec plus de 5 millions d'installations actives.

Cette immense approbation a parfois un prix. Autrement dit, ce titan du commerce électronique est devenu une cible de choix pour les attaquants.

En particulier, WooCommerce a signalé une vulnérabilité critique détectée en juillet 2021. Cette vulnérabilité WooCommerce a provoqué une vague de panique parmi les propriétaires de magasins et les utilisateurs.

Quelle est cette vulnérabilité ? A-t-il laissé des dégâts ? Un magasin a-t-il été compromis ? Et qu'est-ce que WooCommerce a fait pour résoudre le problème ?

Continuez à lire pour découvrir les réponses!

• Explication de la vulnérabilité WooCommerce 2021
• FAQ sur la vulnérabilité de WooCommerce
• Comment protéger vos boutiques WooCommerce contre les vulnérabilités

Explication de la vulnérabilité WooCommerce 2021

Le 12 juillet 2021, une vulnérabilité critique de WooCommerce a été repérée concernant le plugin WooCommerce et le plugin WooCommerce Blocks. Josh, un chercheur en sécurité, a signalé ce problème via le programme de sécurité HackerOne d'Automattic.

Après avoir mené une enquête approfondie, WooCommerce a détecté une vulnérabilité d'injection SQL.

Par conséquent, il est fortement recommandé à tout site utilisant WooCommerce ou WooCommerce Blocks de mettre à jour ses plugins s'il n'a pas déjà effectué une mise à jour automatique.

Cette vulnérabilité WooCommerce était si grave qu'elle a affecté des millions d'utilisateurs. Dès le départ, WooCommerce s'est précipité pour développer un correctif de sécurité afin de résoudre le problème pour chaque version impactée (plus de 90 versions).

Le correctif a été automatiquement déployé sur les sites WooCommerce vulnérables. Du point de vue du propriétaire du magasin, vous devez vous assurer que les blocs WooCommerce et WooCommerce sont mis à jour vers leurs dernières versions (5.5.1).

WooCommerce a également conseillé à tous les propriétaires de sites de mettre à jour les mots de passe des utilisateurs administrateurs. De plus, ils ont suggéré de faire pivoter les clés d'API et de passerelle de paiement utilisées sur le magasin.

Alors comment savoir si votre version est à jour ?

WooCommerce a répertorié un tableau des versions de correctifs pour WooCommerce et WooCommerce Blocks.

Si vous trouvez qu'aucune de vos versions actuelles ne correspond à une version répertoriée, vous devez immédiatement mettre à jour vers la version disponible la plus élevée.

FAQ sur la vulnérabilité de WooCommerce

#1. Qu'est-ce qu'une vulnérabilité d'injection SQL WooCommerce ?

Une injection SQL permet aux pirates d'interférer avec la base de données à l'aide de scripts SQL malveillants. De là, les attaquants peuvent prendre le contrôle du site. Ils affichent des informations ou font que le site se comporte étrangement par rapport à son habitude.

De plus, selon WordFence, cette vulnérabilité WooCommerce est une vulnérabilité Blind SQL Injection.

#2. Comment puis-je savoir si des données ont été compromises ?

Comme l'a déclaré WooCommerce, il n'existe aucun moyen exact de confirmer si les données ont été compromises. L'équipe suggère de vérifier les journaux d'accès de votre serveur Web pour détecter certaines tentatives d'exploitation.

Ce processus peut prendre du temps et nécessiter certaines compétences en matière de codage. Au cas où le code vous dérangerait, vous pouvez demander l'aide de votre hébergeur pour consulter votre journal d'accès.

Vous pouvez vous référer à l'annonce WooCommerce pour plus de détails.

#3. Les propriétaires de magasins doivent-ils alerter leurs clients de la vulnérabilité ?

La notification ou non des clients dépend de nombreux facteurs, tels que l'infrastructure de votre site, les données stockées par votre site, etc. Cependant, la chose la plus cruciale que vous devez prendre en compte est de savoir si votre site a été compromis ou non.

Faites-le d'abord avant d'alerter vos clients - mettez à jour votre version de WooCommerce avec celle avec le correctif de sécurité résolvant ce problème. Cela aidera à protéger vos clients de toute autre menace.

Ensuite, gardez un œil sur vos mots de passe, passerelles de paiement et clés API WooCommerce. Suivez exactement ce que WooCommerce a recommandé :

• Générez de nouveaux mots de passe ou l'administrateur sur votre site, surtout si vous réutilisez les mêmes mots de passe sur de nombreux sites.
• Faites pivoter WooCommerce et toutes les clés API de passerelle de paiement utilisées sur votre site.

#4. Dois-je obtenir le correctif de sécurité automatiquement ?

Non. WooCommerce conseille aux propriétaires de magasins d'essayer de mettre à jour manuellement le plugin vers la version corrigée de sécurité. Il y a plusieurs raisons à cela :

• Vous utilisez une ancienne version de WooCommerce (inférieure à la version 3.3) sur votre boutique.
• La mise à jour automatique vers la version corrigée peut provoquer des conflits de plugins.
• Vous avez désactivé les mises à jour automatiques sur votre boutique.
• Dans le cas où votre système de fichiers est en lecture seule, la mise à jour automatique s'avérera inutile.

Comment protéger vos boutiques WooCommerce contre les vulnérabilités

#1. Utiliser des plugins de sécurité

Les plugins de sécurité semblent être le moyen le plus simple et le plus efficace de protéger votre boutique WooCommerce des vulnérabilités. Tout ce que vous avez à faire est de les installer dans votre magasin et de les laisser opérer la magie.

Ils surveilleront et analyseront régulièrement vos sites, activeront les pare-feu et iront trop loin pour corriger les failles de sécurité sur place. Il existe des dizaines de superbes plugins de sécurité, gratuits et payants, à savoir WordFence, Sucuri, JetPack, MalCare, etc.

#2. Sauvegarder, sauvegarder et sauvegarder

La sauvegarde du site est aussi essentielle que toute stratégie lucrative de votre entreprise. Il s'avère pratique pour protéger votre site Web contre la perte de toutes les données en cas de cyberattaques. Malheureusement, certains marchands WooCommerce l'ont encore ignoré.

Pour protéger votre boutique contre les vulnérabilités inattendues de WooCommerce, vous devez opter pour de solides plugins de sauvegarde WordPress.

Recherchez le plugin qui gère tous les types de données, tels que les fichiers WordPress, les bases de données, les plugins et les thèmes. De plus, il devrait également offrir des calendriers de sauvegarde flexibles.

#3. Renforcer la sécurité de connexion

Nous savons tous que la page de connexion WordPress est toujours très ciblée par les attaques malveillantes. Vous devez renforcer la sécurité de connexion en

• Limitation des tentatives de connexion
• Masquer l'URL de connexion par défaut
• Éviter d'utiliser "admin" comme nom d'utilisateur
• Utilisation de l'authentification à deux facteurs (2FA)

#4. Installer des thèmes et plugins SECURE

Les thèmes et plugins sécurisés font référence à ceux provenant de sources autorisées et dignes de confiance. Ceux-ci incluent le référentiel de plugins WordPress, le répertoire de thèmes, le marché WooCommerce, les développeurs tiers réputés, etc.

En dehors de cela, assurez-vous de ne pas utiliser de plugins et de thèmes WordPress nuls qui sont innombrables vendus à un prix super bas sur Internet.

Rappelez-vous, les thèmes et plugins WordPress nuls sont nuls ! Ils ne sont autres que le conteneur de logiciels malveillants et de porte dérobée à attaquer.

Nous ne saurions trop insister sur l'importance des thèmes et des plugins sécurisés pour la sécurité du site. Consultez nos statistiques de sécurité WordPress pour en connaître la raison.

#5. Installer un certificat SSL

Votre site reçoit-il un certificat SSL ? Si oui, félicitations, vous avez ajouté une couche de sécurité supplémentaire à votre boutique. Toutes les données confidentielles de vous et de vos clients sont sécurisées.

Un certificat SSL garantira que les données échangées entre vos clients et le magasin seront cryptées. À ce stade, toutes les données confidentielles de vos clients, y compris les coordonnées bancaires, les transactions entre vous deux, etc. sont sécurisées.

Au cas où votre réponse tomberait sur "Pas encore", vous devez obtenir un certificat SSL pour votre boutique dès que possible ! Pourquoi? Parce que Google a inclus SSL comme l'un des facteurs de classement.

(Source de l'image)

#6. Mettez régulièrement à jour votre site

La plupart des propriétaires de sites ont tendance à oublier ou à détester la mise à jour de leurs sites car ils craignent que la nouvelle version ne provoque des conflits. C'est une très mauvaise habitude.

En dehors de cela, la simple mise à jour de WordPress et WooCommerce ne suffit pas. Vous devez vous assurer que tous les plugins de votre site sont à jour. Supprimez également les plugins inutilisés ou qui n'ont pas été testés avec les dernières versions de WordPress.

Conseil de pro : essayez de créer un calendrier de mise à jour et maintenez-le à jour pour ne pas le manquer.

WooCommerce est-il toujours sûr ?

Oui définitivement!

Selon WordFence Threat Intelligence, il existe extrêmement peu de preuves de magasins compromis. Vous devez donc être sûr qu'aucune attaque généralisée ne nuit aux sites WooCommerce et que WooCommerce est toujours sûr et puissant.

Cet article a expliqué ce qu'est la vulnérabilité de WooCommerce, comment elle a affecté les propriétaires de sites et comment WooCommerce a répondu au problème.

En plus de cela, nous vous avons également montré les meilleures pratiques pour protéger vos boutiques WooCommerce des vulnérabilités.

Avez-vous des commentaires sur cette vulnérabilité WooCommerce ? Partagez vos pensées dans la section des commentaires ci-dessous!