Poważna luka w zabezpieczeniach WooCommerce 2021 – wszystko, co musisz wiedzieć

Opublikowany: 2022-02-12

Według najnowszych statystyk wtyczek WordPress, WooCommerce jest uważany za jedną z najpopularniejszych i najlepszych wtyczek WordPress wszechczasów, z ponad 5 milionami aktywnych instalacji.

To ogromne poparcie czasami ma swoją cenę. Oznacza to, że ten tytan eCommerce stał się głównym celem atakujących.

W szczególności WooCommerce zgłosił krytyczną lukę wykrytą w lipcu 2021 r. Ta luka WooCommerce wywołała falę paniki wśród właścicieli sklepów i użytkowników.

Co to za luka? Czy pozostawił jakieś uszkodzenia? Czy jakikolwiek sklep został naruszony? A co zrobił WooCommerce, aby rozwiązać ten problem?

Czytaj dalej, aby poznać odpowiedzi!

  • Wyjaśnienie luki w zabezpieczeniach WooCommerce 2021
  • Często zadawane pytania dotyczące luk w zabezpieczeniach WooCommerce
  • Jak chronić swoje sklepy WooCommerce przed lukami?

Wyjaśnienie luki w zabezpieczeniach WooCommerce 2021

12 lipca 2021 r. wykryto krytyczną lukę w zabezpieczeniach WooCommerce związaną z wtyczką WooCommerce i WooCommerce Blocks. Josh, badacz bezpieczeństwa, zgłosił ten problem za pośrednictwem programu bezpieczeństwa HackerOne firmy Automattic.

Po przeprowadzeniu dokładnego śledztwa WooCommerce wykrył podatność na wstrzyknięcie SQL.

W związku z tym zdecydowanie zaleca się, aby każda witryna korzystająca z WooCommerce lub WooCommerce Blocks aktualizowała swoje wtyczki, jeśli nie przeprowadziła jeszcze automatycznej aktualizacji.

Ta luka WooCommerce była tak poważna, że ​​dotknęła miliony użytkowników. WooCommerce od razu pospieszyło z opracowaniem poprawki bezpieczeństwa, aby naprawić problem dla każdej wersji, której dotyczy problem (ponad 90 wydań).

Poprawka została automatycznie wdrożona na podatnych na ataki witrynach WooCommerce. Z punktu widzenia właściciela sklepu, powinieneś upewnić się, że zarówno WooCommerce, jak i WooCommerce Blocks są zaktualizowane do ich najnowszych wersji (5.5.1).

WooCommerce poradził również wszystkim właścicielom witryn, aby aktualizowali hasła dla administratorów. Ponadto zasugerowali rotację kluczy API i bramek płatności używanych w sklepie.

Skąd więc możesz wiedzieć, czy Twoja wersja jest aktualna?

WooCommerce wymienił tabelę wersji poprawek dla bloków WooCommerce i WooCommerce.

Jeśli okaże się, że żadna z Twoich aktualnych wersji nie pasuje do żadnej z wymienionych wersji, należy natychmiast zaktualizować ją do najwyższej dostępnej wersji.

poprawione wersje naprawiające podatność WooCommerce

Często zadawane pytania dotyczące luk w zabezpieczeniach WooCommerce

#1. Co to jest luka w zabezpieczeniach WooCommerce SQL Injection?

Wstrzyknięcie SQL umożliwia hakerom ingerencję w bazę danych za pomocą złośliwych skryptów SQL. Stąd napastnicy mogą przejąć kontrolę nad witryną. Wyświetlają informacje lub sprawiają, że witryna zachowuje się dziwnie w porównaniu do zwykłego.

Ponadto, według WordFence, ta luka WooCommerce jest luką Blind SQL Injection.

#2. Jak mogę się dowiedzieć, czy dane zostały naruszone?

Jak stwierdził WooCommerce, nie ma dokładnego sposobu na potwierdzenie, czy dane zostały naruszone. Zespół sugeruje sprawdzenie dzienników dostępowych serwera internetowego w celu wykrycia niektórych prób wykorzystania luki.

Ten proces może zająć trochę czasu i wymagać pewnych umiejętności kodowania. Jeśli masz problem z kodem, możesz poprosić o pomoc swojego usługodawcę hostingowego, aby przejrzeć swój dziennik dostępu.

Więcej informacji można znaleźć w ogłoszeniu WooCommerce.

#3. Czy właściciele sklepów powinni informować swoich klientów o podatności?

Powiadamianie klientów zależy od wielu czynników, takich jak infrastruktura witryny, jakie dane przechowuje witryna itp. Jednak najważniejszą rzeczą, którą należy wziąć pod uwagę, jest to, czy witryna została naruszona.

Zrób to najpierw, zanim zaalarmujesz swoich klientów – zaktualizuj swoją wersję WooCommerce do wersji z poprawką bezpieczeństwa naprawiającą ten problem. Pomoże to chronić Twoich klientów przed dalszymi zagrożeniami.

Następnie miej oko na swoje hasła, bramki płatności i klucze API WooCommerce. Postępuj dokładnie zgodnie z zaleceniami WooCommerce:

  • Wygeneruj nowe hasła lub hasło administratora w swojej witrynie, zwłaszcza jeśli używasz tych samych haseł w wielu witrynach.
  • Obracaj klucze API WooCommerce i bramek płatności używanych w Twojej witrynie.

#4. Czy powinienem automatycznie pobrać poprawkę bezpieczeństwa?

Nie. WooCommerce radzi właścicielom sklepów, aby spróbowali ręcznie zaktualizować wtyczkę do wersji z poprawkami bezpieczeństwa. Powodów jest kilka:

  • Używasz starszej wersji WooCommerce (niższej niż wersja 3.3) w swoim sklepie.
  • Automatyczna aktualizacja do wersji poprawionej może powodować konflikty wtyczek.
  • Wyłączyłeś automatyczne aktualizacje w swoim sklepie.
  • Jeśli twój system plików jest tylko do odczytu, automatyczna aktualizacja okaże się bezużyteczna.

Jak chronić swoje sklepy WooCommerce przed lukami?

#1. Korzystaj z wtyczek bezpieczeństwa

Wtyczki zabezpieczające wydają się być najłatwiejszym, ale skutecznym sposobem ochrony sklepu WooCommerce przed lukami w zabezpieczeniach. Wszystko, co musisz zrobić, to zainstalować je w swoim sklepie i pozwolić im działać magicznie.

Będą regularnie monitorować i skanować Twoje witryny, włączać zapory i przesadzać, aby na miejscu naprawić luki w zabezpieczeniach. Istnieją dziesiątki wspaniałych wtyczek zabezpieczających, zarówno darmowych, jak i płatnych, a mianowicie WordFence, Sucuri, JetPack, MalCare i inne.

wtyczki bezpieczeństwa wordpress

#2. Utwórz kopię zapasową, kopię zapasową i kopię zapasową

Kopia zapasowa witryny jest tak samo ważna, jak każda strategia zarabiania pieniędzy w Twojej firmie. Przydaje się w zabezpieczeniu witryny przed utratą wszystkich danych w przypadku cyberataków. Niestety, niektórzy sprzedawcy WooCommerce wciąż to przeoczyli.

Aby chronić swój sklep przed nieoczekiwanymi lukami WooCommerce, powinieneś zdecydować się na solidne wtyczki do tworzenia kopii zapasowych WordPress.

Poszukaj wtyczki, która obsługuje wszystkie typy danych, takie jak pliki WordPress, bazy danych, wtyczki i motywy. Ponadto powinien oferować również elastyczne harmonogramy tworzenia kopii zapasowych.

#3. Zwiększ bezpieczeństwo logowania

Wszyscy wiemy, że strona logowania do WordPressa jest zawsze silnie ukierunkowana na złośliwe ataki. Musisz wzmocnić bezpieczeństwo logowania poprzez

  • Ograniczanie prób logowania
  • Ukrywanie domyślnego adresu URL logowania
  • Unikanie używania „admin” jako nazwy użytkownika
  • Korzystanie z uwierzytelniania dwuskładnikowego (2FA)

#4. Zainstaluj BEZPIECZNE motywy i wtyczki

Bezpieczne motywy i wtyczki nawiązują do tych pochodzących z autoryzowanych i wiarygodnych źródeł. Należą do nich repozytorium wtyczek WordPress, katalog motywów, rynek WooCommerce, renomowani programiści zewnętrzni itp.

Poza tym upewnij się, że nie korzystasz z pustych wtyczek WordPress i motywów, które są niezliczone w super niskich cenach w Internecie.

Pamiętaj, puste motywy i wtyczki WordPress są do niczego! Nie są niczym innym jak kontenerem złośliwego oprogramowania i backdoorem do ataku.

Nie możemy wystarczająco podkreślić, jak bardzo bezpieczne motywy i wtyczki znaczą dla bezpieczeństwa witryny. Sprawdź nasze statystyki bezpieczeństwa WordPress, aby dowiedzieć się, dlaczego.

#5. Zainstaluj certyfikat SSL

Czy Twoja witryna otrzymuje certyfikat SSL? Jeśli tak, gratulacje, dodałeś do swojego sklepu dodatkową warstwę bezpieczeństwa. Wszystkie poufne dane Ciebie i Twoich klientów są bezpieczne.

Certyfikat SSL zapewni, że dane wymieniane między Twoimi klientami a sklepem będą szyfrowane. W tym momencie wszystkie poufne dane Twoich klientów, w tym dane bankowe, transakcje między wami obojgiem, są bezpieczne.

Jeśli Twoja odpowiedź brzmi „Jeszcze nie”, musisz jak najszybciej uzyskać certyfikat SSL dla swojego sklepu! Czemu? Ponieważ Google uwzględnił SSL jako jeden z czynników rankingowych.

certyfikat ssl wordpress (Źródło obrazu)

#6. Regularnie aktualizuj swoją witrynę

Większość właścicieli witryn ma tendencję do zapominania lub nienawidzenia aktualizacji swoich witryn, ponieważ obawiają się, że nowa wersja spowoduje konflikty. To naprawdę zły nawyk.

Poza tym sama aktualizacja WordPressa i WooCommerce nie wystarczy. Musisz upewnić się, że wszystkie wtyczki w Twojej witrynie są aktualne. Usuń również nieużywane lub wszelkie wtyczki, które nie zostały przetestowane z najnowszymi wersjami WordPressa.

Porada profesjonalisty: spróbuj stworzyć harmonogram aktualizacji i utrzymuj go tak, aby go nie przegapić.

Czy WooCommerce jest nadal bezpieczne?

Tak, zdecydowanie!

Według WordFence Threat Intelligence istnieje bardzo niewiele dowodów na to, że sklepy zostały zhakowane. Dlatego powinieneś mieć pewność, że nie ma powszechnego ataku szkodzącego witrynom WooCommerce, a WooCommerce jest nadal bezpieczny i potężny.

W tym artykule wyjaśniono, czym jest luka w zabezpieczeniach WooCommerce, w jaki sposób wpłynęła ona na właścicieli witryn i jak WooCommerce zareagował na ten problem.

Co więcej, pokazaliśmy również najlepsze praktyki ochrony sklepów WooCommerce przed lukami w zabezpieczeniach.

Czy masz jakieś uwagi dotyczące tej luki w WooCommerce? Podziel się swoimi przemyśleniami w sekcji komentarzy poniżej!