深刻なWooCommerceの脆弱性2021–知っておくべきことすべて

最新のWordPressプラグインの統計によると、WooCommerceは、500万を超えるアクティブなインストールがあり、史上最も人気があり最高のWordPressプラグインの1つとして傾いています。

その莫大な支持には、時には代償が伴います。 つまり、このeコマースの巨人は攻撃者の主要な標的になっています。

特に、WooCommerceは、2021年7月に検出された重大な脆弱性を報告しました。このWooCommerceの脆弱性は、ストアの所有者とユーザーの間でパニックの波を引き起こしました。

この脆弱性は何ですか？ ダメージは残りましたか？ 侵害された店舗はありますか？ そして、WooCommerceは問題を解決するために何をしましたか？

答えを見つけるために読み続けてください！

• WooCommerceの脆弱性2021の説明
• WooCommerceの脆弱性に関するFAQ
• WooCommerceストアを脆弱性から保護する方法

WooCommerceの脆弱性2021の説明

2021年7月12日、WooCommerceおよびWooCommerceBlocksプラグインに関連する重大なWooCommerceの脆弱性が発見されました。 セキュリティ研究者のJoshは、AutomatticのHackerOneセキュリティプログラムを介してその問題を報告しました。

徹底的な調査を行った後、WooCommerceはSQLインジェクションの脆弱性を検出しました。

結果として、WooCommerceまたはWooCommerce Blocksを使用しているサイトは、まだ自動更新を行っていない場合は、プラグインを更新することを強くお勧めします。

このWooCommerceの脆弱性は非常に深刻で、何百万ものユーザーに影響を及ぼしました。 WooCommerceは、影響を受ける各バージョン（90以上のリリース）の問題を修正するためのセキュリティパッチを開発するために急いで駆けつけました。

パッチは脆弱なWooCommerceサイトに自動的に展開されました。 ストアオーナーの観点からは、WooCommerceブロックとWooCommerceブロックの両方が最新バージョン（5.5.1）に更新されていることを確認する必要があります。

WooCommerceはまた、すべてのサイト所有者に管理者ユーザーのパスワードを更新するようにアドバイスしました。 さらに、ストアで使用されるAPIと支払いゲートウェイキーをローテーションすることを提案しました。

では、バージョンが最新であるかどうかをどうやって知ることができますか？

WooCommerceは、WooCommerceブロックとWooCommerceブロックの両方のパッチバージョンの表を示しています。

現在のバージョンのいずれもリストされているバージョンと一致しない場合は、すぐに利用可能な最高のバージョンに更新する必要があります。

WooCommerceの脆弱性に関するFAQ

＃1。 WooCommerce SQLインジェクションの脆弱性とは何ですか？

SQLインジェクションにより、ハッカーは悪意のあるSQLスクリプトを使用してデータベースに干渉することができます。 ここから、攻撃者はサイトを制御できるようになります。 情報を表示したり、サイトを通常と比べて奇妙に動作させたりします。

また、WordFenceによると、このWooCommerceの脆弱性はブラインドSQLインジェクションの脆弱性です。

＃2。 データが危険にさらされているかどうかを知るにはどうすればよいですか？

WooCommerceが述べたように、データが危険にさらされたかどうかを確認する正確な方法はありません。 チームは、Webサーバーのアクセスログをチェックして、エクスプロイトの試みを検出することを提案しています。

このプロセスには時間がかかり、特定のコーディングスキルが必要になる場合があります。 コードに触れることを気にする場合は、Webホストに助けを求めて、アクセスログを確認することができます。

詳細については、WooCommerceの発表を参照してください。

＃3。 ストアの所有者は、脆弱性について顧客に警告する必要がありますか？

顧客に通知するかどうかは、サイトインフラストラクチャ、サイトに保存されているデータなど、多くの要因によって異なります。ただし、考慮すべき最も重要なことは、サイトが侵害されているかどうかです。

顧客に警告する前に、まずこれを行ってください– WooCommerceのバージョンを、この問題を修正するセキュリティパッチが適用されたバージョンに更新してください。 これは、さらなる脅威からクライアントを保護するのに役立ちます。

次に、パスワード、支払いゲートウェイ、およびWooCommerceAPIキーに注意してください。 WooCommerceが推奨していることを正確に実行してください。

• 特に多くのサイトで同じパスワードを再利用する場合は、サイトで新しいパスワードまたは管理者を生成します。
• WooCommerceとサイトで使用されている支払いゲートウェイAPIキーをローテーションします。

＃4。 セキュリティパッチを自動的に取得する必要がありますか？

いいえ。WooCommerceはストアの所有者に、プラグインをセキュリティパッチが適用されたバージョンに手動で更新することをお勧めします。 それにはいくつかの理由があります。

• ストアで古いバージョンのWooCommerce（バージョン3.3より前）を使用しています。
• 修正バージョンに自動的に更新すると、プラグインの競合が発生する可能性があります。
• ストアの自動更新をオフにしました。
• ファイルシステムが読み取り専用の場合、自動更新は役に立たないことがわかります。

WooCommerceストアを脆弱性から保護する方法

＃1。 セキュリティプラグインを利用する

セキュリティプラグインは、WooCommerceストアを脆弱性から保護するための最も簡単で効果的な方法のようです。 あなたがしなければならないのはあなたの店にそれらをインストールして、彼らに魔法を実行させることです。

彼らはあなたのサイトを定期的に監視してスキャンし、ファイアウォールをオンにし、その場でセキュリティホールを修正するために船外に出ます。 WordFence、Sucuri、JetPack、MalCareなど、無料と有料の両方の優れたセキュリティプラグインが多数あります。

＃2。 バックアップ、バックアップ、およびバックアップ

サイトのバックアップは、ビジネスの収益戦略と同じくらい重要です。 サイバー攻撃の場合にすべてのデータが失われることからWebサイトを保護するのに便利です。 悲しいことに、一部のWooCommerceマーチャントはまだそれを見落としています。

予期しないWooCommerceの脆弱性からストアを保護するには、堅実なWordPressバックアッププラグインを選択する必要があります。

WordPressファイル、データベース、プラグイン、テーマなど、すべての種類のデータを処理するプラグインを探します。 さらに、柔軟なバックアップスケジュールも提供する必要があります。

＃3。 ログインセキュリティを強化する

WordPressのログインページは常に悪意のある攻撃の標的にされていることは誰もが知っています。 ログインセキュリティを強化する必要があります

• ログイン試行の制限
• デフォルトのログインURLを非表示にする
• ユーザー名として「admin」を使用しないようにする
• 二要素認証（2FA）を利用する

＃4。 安全なテーマとプラグインをインストールする

安全なテーマとプラグインは、承認された信頼できるソースからのものを指します。 これらには、WordPressプラグインリポジトリ、テーマディレクトリ、WooCommerceマーケットプレイス、評判の高いサードパーティ開発者などが含まれます。

それとは別に、インターネット上で超低価格で無数に販売されているnullのWordPressプラグインやテーマを使用しないようにしてください。

覚えておいてください、nullのWordPressテーマとプラグインは最悪です！ それらは、攻撃するマルウェアとバックドアのコンテナに他なりません。

テーマとプラグインがサイトのセキュリティにとってどれほど安全であるかを強調することはできません。 理由を知るために私たちのWordPressセキュリティ統計をチェックしてください。

＃5。 SSL証明書をインストールする

あなたのサイトはSSL証明書を取得していますか？ はいの場合、おめでとうございます。ストアにセキュリティレイヤーを追加しました。 あなたとあなたの顧客のすべての機密データは安全です。

SSL証明書は、顧客とストアの間で交換されるデータが暗号化されることを保証します。 その時点で、銀行の詳細、両者間の取引など、顧客のすべての機密データは安全です。

答えが「まだ」に該当する場合は、できるだけ早くストアのSSL証明書を取得する必要があります。 どうして？ Googleはランキング要素の1つとしてSSLを含めているからです。

（画像ソース）

＃6。 定期的にサイトを更新する

ほとんどのサイト所有者は、新しいバージョンが競合を引き起こすことを心配しているため、サイトの更新を忘れたり嫌ったりする傾向があります。 それは本当に悪い習慣です。

それとは別に、WordPressとWooCommerceを更新するだけでは十分ではありません。 サイト上のすべてのプラグインが最新であることを確認する必要があります。 未使用のプラグイン、または最新バージョンのWordPressでテストされていないプラグインも削除します。

ヒント：更新スケジュールを作成し、それを維持して、見逃さないようにしてください。

WooCommerceはまだ安全ですか？

はい、間違いなく！

WordFence Threat Intelligenceによると、ストアが侵害されたという証拠はほとんどありません。 したがって、WooCommerceサイトに害を及ぼす広範な攻撃はなく、WooCommerceは依然として安全で強力であると確信する必要があります。

この記事では、WooCommerceの脆弱性とは何か、それがサイト所有者にどのように影響したか、WooCommerceがこの問題にどのように対応したかについて詳しく説明しました。

さらに、WooCommerceストアを脆弱性から保護するためのベストプラクティスも示しました。

このWooCommerceの脆弱性について何かコメントはありますか？ 以下のコメントセクションであなたの考えを共有してください！