Kerentanan WooCommerce Parah 2021 – Yang Perlu Anda Ketahui

Diterbitkan: 2022-02-12

Menurut statistik plugin WordPress terbaru, WooCommerce dimiringkan sebagai salah satu plugin WordPress paling populer dan terbaik sepanjang masa, dengan lebih dari 5 juta instalasi aktif.

Dukungan besar itu terkadang datang dengan harga. Artinya, raksasa eCommerce ini menjadi target utama para penyerang.

Secara khusus, WooCommerce melaporkan kerentanan kritis yang terdeteksi pada Juli 2021. Kerentanan WooCommerce ini memang menyebabkan gelombang kepanikan di antara pemilik toko dan pengguna.

Apa kerentanan ini? Apakah itu meninggalkan kerusakan? Apakah ada toko yang disusupi? Dan apa yang dilakukan WooCommerce untuk mengatasi masalah tersebut?

Baca terus untuk mengetahui jawabannya!

  • Kerentanan WooCommerce 2021 Dijelaskan
  • FAQ Kerentanan WooCommerce
  • Cara Melindungi Toko WooCommerce Anda dari Kerentanan

Kerentanan WooCommerce 2021 Dijelaskan

Pada 12 Juli 2021, kerentanan kritis WooCommerce terlihat terkait dengan plugin WooCommerce dan Blok WooCommerce. Josh, seorang peneliti keamanan, melaporkan masalah itu melalui program keamanan HackerOne dari Automattic.

Setelah melakukan penyelidikan menyeluruh, WooCommerce mendeteksi kerentanan injeksi SQL.

Akibatnya, situs mana pun yang menggunakan WooCommerce atau Blok WooCommerce sangat disarankan untuk memperbarui plugin mereka jika mereka belum melakukan pembaruan otomatis.

Kerentanan WooCommerce ini sangat parah sehingga memengaruhi jutaan pengguna. WooCommerce langsung bergegas untuk mengembangkan patch keamanan untuk memperbaiki masalah untuk setiap versi yang terpengaruh (90+ rilis).

Patch secara otomatis dikerahkan ke situs WooCommerce yang rentan. Dari sudut pandang pemilik toko, Anda harus memastikan Blok WooCommerce dan WooCommerce diperbarui ke versi terbaru mereka (5.5.1).

WooCommerce juga menyarankan semua pemilik situs untuk memperbarui kata sandi untuk pengguna admin. Plus, mereka menyarankan untuk memutar kunci API dan gateway pembayaran yang digunakan di toko.

Jadi, bagaimana Anda bisa tahu apakah versi Anda terbaru?

WooCommerce telah mendaftarkan tabel versi patch untuk WooCommerce dan WooCommerce Blocks.

Jika Anda tidak menemukan versi Anda saat ini yang cocok dengan versi yang terdaftar, Anda harus segera memperbarui ke versi tertinggi yang tersedia.

versi yang ditambal memperbaiki kerentanan WooCommerce

FAQ Kerentanan WooCommerce

#1. Apa itu Kerentanan Injeksi SQL WooCommerce?

Injeksi SQL memungkinkan peretas untuk mengganggu database menggunakan skrip SQL berbahaya. Dari sini, penyerang dapat menguasai situs tersebut. Mereka menampilkan informasi atau membuat situs berperilaku aneh dibandingkan biasanya.

Juga, menurut WordFence, kerentanan WooCommerce ini adalah kerentanan Blind SQL Injection.

#2. Bagaimana Saya Tahu Jika Data Disusupi?

Seperti yang dinyatakan WooCommerce, tidak ada cara pasti untuk mengonfirmasi apakah data telah disusupi. Tim menyarankan untuk memeriksa log akses server web Anda untuk mendeteksi beberapa upaya eksploitasi.

Proses ini mungkin memakan waktu dan membutuhkan keterampilan pengkodean tertentu. Jika kode menyentuh pikiran, Anda dapat mencari bantuan dari host web Anda untuk meninjau log akses Anda.

Anda dapat merujuk ke pengumuman WooCommerce untuk detail lebih lanjut.

#3. Haruskah Pemilik Toko Memberitahu Pelanggan Mereka tentang Kerentanan?

Memberi tahu pelanggan atau tidak tergantung pada banyak faktor, seperti infrastruktur situs Anda, data apa yang disimpan situs Anda, dll. Namun, hal terpenting yang harus Anda pertimbangkan adalah apakah situs Anda telah disusupi atau tidak.

Lakukan ini terlebih dahulu sebelum memberi tahu pelanggan Anda – perbarui versi WooCommerce Anda ke versi dengan patch keamanan yang memperbaiki masalah ini. Ini akan membantu melindungi klien Anda dari ancaman lebih lanjut.

Selanjutnya, perhatikan kata sandi, gateway pembayaran, dan kunci API WooCommerce Anda. Ikuti persis apa yang direkomendasikan WooCommerce:

  • Buat kata sandi baru atau Admin di situs Anda, terutama jika Anda menggunakan kembali kata sandi yang sama di banyak situs.
  • Putar WooCommerce dan kunci API gateway pembayaran apa pun yang digunakan di situs Anda.

#4. Haruskah Saya Mendapatkan Patch Keamanan Secara Otomatis?

Tidak. WooCommerce menyarankan pemilik toko untuk mencoba memperbarui plugin secara manual ke versi patch keamanan. Ada beberapa alasan untuk itu:

  • Anda menggunakan versi WooCommerce yang lebih lama (lebih rendah dari versi 3.3) di toko Anda.
  • Memperbarui secara otomatis ke versi tetap dapat menyebabkan konflik plugin.
  • Anda telah mematikan pembaruan otomatis di toko Anda.
  • Jika sistem file Anda hanya-baca, pembaruan otomatis akan menjadi tidak berguna.

Cara Melindungi Toko WooCommerce Anda dari Kerentanan

#1. Gunakan Plugin Keamanan

Plugin keamanan tampaknya menjadi cara termudah namun efektif untuk melindungi toko WooCommerce Anda dari kerentanan. Yang harus Anda lakukan adalah menginstalnya di toko Anda dan biarkan mereka melakukan keajaiban.

Mereka akan memantau dan memindai situs Anda secara teratur, menyalakan firewall, dan bertindak berlebihan untuk memperbaiki lubang keamanan di tempat. Ada lusinan plugin keamanan luar biasa di luar sana, baik gratis maupun berbayar, yaitu WordFence, Sucuri, JetPack, MalCare, dan banyak lagi.

plugin keamanan wordpress

#2. Cadangkan, Cadangkan, dan Cadangkan

Pencadangan situs sama pentingnya dengan strategi menghasilkan uang dari bisnis Anda. Ini terbukti berguna dalam mengamankan situs web Anda dari kehilangan semua data jika terjadi serangan siber. Sayangnya, beberapa pedagang WooCommerce masih mengabaikannya.

Untuk melindungi toko Anda dari kerentanan WooCommerce yang tidak terduga, Anda harus memilih plugin cadangan WordPress yang solid.

Cari plugin yang menangani semua jenis data, seperti file WordPress, database, plugin, dan tema. Plus, itu harus menawarkan jadwal cadangan yang fleksibel juga.

#3. Kencangkan Keamanan Masuk

Kita semua tahu bahwa halaman login WordPress selalu menjadi target serangan berbahaya. Anda perlu memperkuat keamanan login dengan

  • Membatasi upaya login
  • Menyembunyikan URL login default
  • Menghindari menggunakan "admin" sebagai nama pengguna
  • Memanfaatkan Otentikasi Dua Faktor (2FA)

#4. Instal Tema dan Plugin AMAN

Tema dan plugin yang aman mengacu pada tema dan plugin yang berasal dari sumber resmi dan tepercaya. Ini termasuk repositori plugin WordPress, direktori tema, pasar WooCommerce, pengembang pihak ketiga yang terkenal, dll.

Selain itu, pastikan Anda tidak menggunakan plugin dan tema WordPress null yang banyak dijual dengan harga super murah di Internet.

Ingat, tema dan plugin WordPress nol payah! Mereka tidak lain adalah wadah malware dan backdoor untuk menyerang.

Kami tidak dapat cukup menekankan betapa pentingnya tema dan plugin yang aman bagi keamanan situs. Lihat statistik keamanan WordPress kami untuk mengetahui alasannya.

#5. Instal Sertifikat SSL

Apakah situs Anda mendapatkan sertifikat SSL? Jika ya, selamat, Anda telah menambahkan lapisan keamanan ekstra ke toko Anda. Semua data rahasia Anda dan pelanggan Anda aman.

Sertifikat SSL akan memastikan bahwa data yang dipertukarkan antara pelanggan Anda dan toko akan dienkripsi. Pada saat itu, semua data rahasia pelanggan Anda, termasuk detail bank, transaksi antara Anda berdua, dll. aman.

Jika jawaban Anda jatuh ke “Belum,” Anda perlu mendapatkan sertifikat SSL untuk toko Anda secepatnya! Mengapa? Karena Google telah memasukkan SSL sebagai salah satu faktor peringkat.

sertifikat ssl wordpress (Sumber gambar)

#6. Perbarui Situs Anda Secara Teratur

Sebagian besar pemilik situs cenderung lupa atau benci memperbarui situs mereka karena mereka khawatir versi baru akan menyebabkan konflik. Itu kebiasaan yang sangat buruk.

Selain itu, memperbarui WordPress dan WooCommerce saja tidak cukup. Anda harus memastikan semua plugin di situs Anda mutakhir. Hapus juga plugin yang tidak digunakan atau plugin apa pun yang belum diuji dengan versi terbaru WordPress.

Pro-tip: Cobalah untuk membuat jadwal pembaruan dan pertahankan agar Anda tidak ketinggalan.

Apakah WooCommerce masih Aman?

Iya tentu saja!

Menurut WordFence Threat Intelligence, sangat sedikit bukti toko yang disusupi. Jadi, Anda harus yakin bahwa tidak ada serangan meluas yang merusak situs WooCommerce dan WooCommerce masih aman dan kuat.

Artikel ini telah menjelaskan apa itu kerentanan WooCommerce, bagaimana hal itu memengaruhi pemilik situs, dan bagaimana WooCommerce menanggapi masalah tersebut.

Selain itu, kami juga telah menunjukkan kepada Anda praktik terbaik untuk melindungi toko WooCommerce Anda dari kerentanan.

Apakah Anda memiliki komentar tentang kerentanan WooCommerce ini? Bagikan pemikiran Anda di bagian komentar di bawah!