Grave vulnerabilità di WooCommerce 2021: tutto ciò che devi sapere

Pubblicato: 2022-02-12

Secondo le ultime statistiche sui plugin di WordPress, WooCommerce è considerato uno dei plugin WordPress più popolari e migliori di tutti i tempi, con oltre 5 milioni di installazioni attive.

Quell'immenso sostegno a volte ha un prezzo. Cioè, questo titano dell'eCommerce è diventato un obiettivo primario per gli aggressori.

In particolare, WooCommerce ha segnalato una vulnerabilità critica rilevata a luglio 2021. Questa vulnerabilità di WooCommerce ha causato un'ondata di panico tra i proprietari e gli utenti dei negozi.

Qual è questa vulnerabilità? Ha lasciato danni? Qualche negozio è stato compromesso? E cosa ha fatto WooCommerce per risolvere il problema?

Continua a leggere per scoprire le risposte!

  • Spiegazione della vulnerabilità di WooCommerce 2021
  • Domande frequenti sulla vulnerabilità di WooCommerce
  • Come proteggere i tuoi negozi WooCommerce dalle vulnerabilità

Spiegazione della vulnerabilità di WooCommerce 2021

Il 12 luglio 2021 è stata individuata una vulnerabilità critica di WooCommerce relativa a WooCommerce e al plug-in WooCommerce Blocks. Josh, un ricercatore di sicurezza, ha segnalato il problema tramite il programma di sicurezza HackerOne di Automattic.

Dopo aver condotto un'indagine approfondita, WooCommerce ha rilevato una vulnerabilità di SQL injection.

Di conseguenza, qualsiasi sito che utilizza WooCommerce o WooCommerce Blocks è fortemente raccomandato di aggiornare i propri plugin se non hanno già eseguito un aggiornamento automatico.

Questa vulnerabilità di WooCommerce era così grave che ha colpito milioni di utenti. WooCommerce si è affrettato a sviluppare una patch di sicurezza per risolvere il problema per ciascuna versione interessata (oltre 90 versioni).

La patch è stata distribuita automaticamente ai siti WooCommerce vulnerabili. Dal punto di vista del proprietario di un negozio, dovresti assicurarti che sia WooCommerce che WooCommerce Blocks siano aggiornati alle loro ultime versioni (5.5.1).

WooCommerce ha inoltre consigliato a tutti i proprietari di siti di aggiornare le password per gli utenti amministratori. Inoltre, hanno suggerito di ruotare le chiavi API e gateway di pagamento utilizzate nel negozio.

Quindi, come puoi sapere se la tua versione è aggiornata?

WooCommerce ha elencato una tabella di versioni di patch sia per WooCommerce che per WooCommerce Blocks.

Se trovi che nessuna delle tue versioni correnti corrisponde a nessuna versione elencata, dovresti aggiornare immediatamente alla versione più alta disponibile.

versioni corrette che risolvono la vulnerabilità di WooCommerce

Domande frequenti sulla vulnerabilità di WooCommerce

# 1. Che cos'è una vulnerabilità di WooCommerce SQL injection?

Un'iniezione SQL consente agli hacker di interferire con il database utilizzando script SQL dannosi. Da qui, gli aggressori possono ottenere il controllo del sito. Visualizzano informazioni o fanno sì che il sito si comporti in modo strano rispetto al suo solito.

Inoltre, secondo WordFence, questa vulnerabilità di WooCommerce è una vulnerabilità di Blind SQL Injection.

#2. Come posso sapere se i dati sono stati compromessi?

Come affermato da WooCommerce, non esiste un modo esatto per confermare se i dati sono stati compromessi. Il team suggerisce di controllare i registri di accesso del tuo server web per rilevare alcuni tentativi di exploit.

Questo processo potrebbe richiedere tempo e richiedere determinate abilità di codifica. Nel caso in cui il codice toccasse la mente, puoi chiedere aiuto al tuo host web per rivedere il tuo registro di accesso.

Puoi fare riferimento all'annuncio di WooCommerce per maggiori dettagli.

#3. I proprietari dei negozi dovrebbero avvisare i propri clienti della vulnerabilità?

La notifica o meno ai clienti dipende da molti fattori, come l'infrastruttura del tuo sito, i dati che il tuo sito sta archiviando, ecc. Tuttavia, la cosa più importante da tenere in considerazione è se il tuo sito è stato compromesso o meno.

Fallo prima di avvisare i tuoi clienti: aggiorna la tua versione di WooCommerce a quella con la patch di sicurezza che risolve questo problema. Ciò contribuirà a proteggere i tuoi clienti da ulteriori minacce.

Quindi, tieni d'occhio le tue password, i gateway di pagamento e le chiavi API di WooCommerce. Segui esattamente ciò che WooCommerce ha raccomandato:

  • Genera nuove password o l'amministratore sul tuo sito, soprattutto se riutilizzi le stesse password su più siti.
  • Ruota WooCommerce e qualsiasi chiave API del gateway di pagamento utilizzata sul tuo sito.

#4. Devo ottenere automaticamente la patch di sicurezza?

No. WooCommerce consiglia ai proprietari dei negozi di provare ad aggiornare manualmente il plug-in alla versione con patch di sicurezza. Ci sono diverse ragioni per questo:

  • Stai utilizzando una versione precedente di WooCommerce (inferiore alla versione 3.3) nel tuo negozio.
  • L'aggiornamento automatico alla versione fissa può causare conflitti tra i plugin.
  • Hai disattivato gli aggiornamenti automatici nel tuo negozio.
  • Nel caso in cui il tuo file system sia di sola lettura, l'aggiornamento automatico risulterà inutile.

Come proteggere i tuoi negozi WooCommerce dalle vulnerabilità

# 1. Utilizza i plugin di sicurezza

I plug-in di sicurezza sembrano essere il modo più semplice ma efficace per proteggere il tuo negozio WooCommerce dalle vulnerabilità. Tutto quello che devi fare è installarli nel tuo negozio e lasciare che eseguano la magia.

Monitoreranno e analizzeranno i tuoi siti regolarmente, attiveranno i firewall e andranno in mare per riparare le falle di sicurezza sul posto. Esistono dozzine di superbi plugin di sicurezza, sia gratuiti che a pagamento, vale a dire WordFence, Sucuri, JetPack, MalCare e altri.

plugin di sicurezza wordpress

#2. Backup, backup e backup

Il backup del sito è essenziale quanto qualsiasi strategia per fare soldi della tua attività. Si rivela utile per proteggere il tuo sito Web dalla perdita di tutti i dati in caso di attacchi informatici. Purtroppo, alcuni commercianti di WooCommerce lo hanno ancora trascurato.

Per proteggere il tuo negozio da vulnerabilità WooCommerce impreviste, dovresti optare per solidi plugin di backup di WordPress.

Cerca il plug-in che gestisce tutti i tipi di dati, come file WordPress, database, plug-in e temi. Inoltre, dovrebbe offrire anche programmi di backup flessibili.

#3. Rafforza la sicurezza dell'accesso

Sappiamo tutti che la pagina di accesso di WordPress è sempre altamente mirata per attacchi dannosi. È necessario rafforzare la sicurezza dell'accesso di

  • Limitare i tentativi di accesso
  • Nascondere l'URL di accesso predefinito
  • Evitare di usare "admin" come nome utente
  • Utilizzo dell'autenticazione a due fattori (2FA)

#4. Installa temi e plugin SECURE

I temi e i plugin sicuri si riferiscono a quelli provenienti da fonti autorizzate e affidabili. Questi includono il repository di plugin di WordPress, la directory dei temi, il mercato WooCommerce, rinomati sviluppatori di terze parti, ecc.

A parte questo, assicurati di non utilizzare plugin e temi WordPress nulli che sono innumerevoli venduti a un prezzo super basso su Internet.

Ricorda, i temi e i plug-in WordPress nulli fanno schifo! Non sono altro che il contenitore di malware e backdoor da attaccare.

Non possiamo sottolineare abbastanza quanto temi e plugin sicuri significhino per la sicurezza del sito. Dai un'occhiata alle nostre statistiche sulla sicurezza di WordPress per sapere il motivo.

#5. Installa un certificato SSL

Il tuo sito ottiene un certificato SSL? Se sì, congratulazioni, hai aggiunto un ulteriore livello di sicurezza al tuo negozio. Tutti i dati riservati di te e dei tuoi clienti sono al sicuro.

Un certificato SSL assicurerà che i dati scambiati tra i tuoi clienti e il negozio saranno crittografati. A quel punto, tutti i dati riservati dei tuoi clienti, inclusi i dettagli bancari, le transazioni tra di voi, ecc. sono al sicuro.

Nel caso in cui la tua risposta rientri in "Non ancora", devi ottenere un certificato SSL per il tuo negozio al più presto! Come mai? Perché Google ha incluso SSL come uno dei fattori di ranking.

certificato SSL wordpress (Fonte immagine)

#6. Aggiorna regolarmente il tuo sito

La maggior parte dei proprietari di siti tende a dimenticare o odia l'aggiornamento dei propri siti poiché teme che la nuova versione possa causare conflitti. È davvero una pessima abitudine.

A parte questo, non basta aggiornare WordPress e WooCommerce. Devi assicurarti che tutti i plugin del tuo sito siano aggiornati. Rimuovi anche i plugin inutilizzati o che non sono stati testati con le ultime versioni di WordPress.

Suggerimento: prova a creare un programma di aggiornamento e mantienilo in modo da non perderlo.

WooCommerce è ancora sicuro?

Sì, sicuramente!

Secondo WordFence Threat Intelligence, ci sono pochissime prove di negozi compromessi. Quindi dovresti essere sicuro che non ci sono attacchi diffusi che danneggiano i siti WooCommerce e WooCommerce è ancora sicuro e potente.

Questo articolo ha spiegato cos'è la vulnerabilità di WooCommerce, in che modo ha influenzato i proprietari dei siti e in che modo WooCommerce ha risposto al problema.

Inoltre, ti abbiamo anche mostrato le migliori pratiche per salvaguardare i tuoi negozi WooCommerce dalle vulnerabilità.

Hai commenti su questa vulnerabilità di WooCommerce? Condividi i tuoi pensieri nella sezione commenti qui sotto!