Vulnerabilidade grave do WooCommerce 2021 – tudo o que você precisa saber

Publicados: 2022-02-12

De acordo com as últimas estatísticas de plugins do WordPress, o WooCommerce é considerado um dos mais populares e melhores plugins do WordPress de todos os tempos, com mais de 5 milhões de instalações ativas.

Esse imenso endosso às vezes vem com um preço. Ou seja, esse titã do comércio eletrônico se tornou o principal alvo dos invasores.

Em particular, o WooCommerce relatou uma vulnerabilidade crítica detectada em julho de 2021. Essa vulnerabilidade do WooCommerce causou uma onda de pânico entre proprietários e usuários de lojas.

O que é essa vulnerabilidade? Deixou algum dano? Alguma loja foi comprometida? E o que o WooCommerce fez para resolver o problema?

Continue lendo para saber as respostas!

  • Vulnerabilidade do WooCommerce 2021 explicada
  • Perguntas frequentes sobre vulnerabilidade do WooCommerce
  • Como proteger suas lojas WooCommerce de vulnerabilidades

Vulnerabilidade do WooCommerce 2021 explicada

Em 12 de julho de 2021, uma vulnerabilidade crítica do WooCommerce foi detectada relacionada ao plugin WooCommerce e WooCommerce Blocks. Josh, um pesquisador de segurança, relatou esse problema por meio do programa de segurança HackerOne da Automattic.

Depois de realizar uma investigação completa, o WooCommerce detectou uma vulnerabilidade de injeção de SQL.

Como consequência, qualquer site que use WooCommerce ou WooCommerce Blocks é altamente recomendado para atualizar seus plugins se eles ainda não tiverem realizado uma atualização automática.

Essa vulnerabilidade do WooCommerce era tão grave que afetou milhões de usuários. O WooCommerce logo de cara correu para desenvolver um patch de segurança para corrigir o problema para cada versão afetada (mais de 90 lançamentos).

O patch foi implantado automaticamente em sites WooCommerce vulneráveis. Do ponto de vista do proprietário da loja, você deve garantir que o WooCommerce e o WooCommerce Blocks estejam atualizados para suas versões mais recentes (5.5.1).

O WooCommerce também aconselhou todos os proprietários de sites a atualizar as senhas dos usuários administradores. Além disso, eles sugeriram a rotação das chaves de API e gateway de pagamento usadas na loja.

Então, como você pode saber se sua versão está atualizada?

WooCommerce listou uma tabela de versões de patch para WooCommerce e WooCommerce Blocks.

Se você achar que nenhuma de suas versões atuais corresponde a qualquer versão listada, atualize imediatamente para a versão mais alta disponível.

versões corrigidas corrigindo a vulnerabilidade do WooCommerce

Perguntas frequentes sobre vulnerabilidade do WooCommerce

#1. O que é uma vulnerabilidade de injeção de SQL no WooCommerce?

Uma injeção de SQL permite que hackers interfiram no banco de dados usando scripts SQL maliciosos. A partir daqui, os invasores podem obter controle sobre o site. Eles exibem informações ou fazem o site se comportar de forma estranha em relação ao seu habitual.

Além disso, de acordo com o WordFence, esta vulnerabilidade WooCommerce é uma vulnerabilidade Blind SQL Injection.

#2. Como posso saber se os dados foram comprometidos?

Como o WooCommerce afirmou, não há uma maneira exata de confirmar se os dados foram comprometidos. A equipe sugere verificar os logs de acesso do seu servidor web para detectar algumas tentativas de exploração.

Esse processo pode levar tempo e exigir certas habilidades de codificação. Caso se preocupe em tocar no código, você pode procurar ajuda de seu host para revisar seu log de acesso.

Você pode consultar o anúncio do WooCommerce para mais detalhes.

#3. Os lojistas devem alertar seus clientes sobre a vulnerabilidade?

Notificar os clientes ou não depende de muitos fatores, como a infraestrutura do seu site, quais dados seu site está armazenando etc. No entanto, a coisa mais importante que você deve levar em consideração é se seu site foi ou não comprometido.

Faça isso primeiro antes de alertar seus clientes – atualize sua versão do WooCommerce para aquela com o patch de segurança que corrige esse problema. Isso ajudará a proteger seus clientes de outras ameaças.

Em seguida, fique de olho em suas senhas, gateways de pagamento e chaves de API do WooCommerce. Siga exatamente o que o WooCommerce recomendou:

  • Gere novas senhas ou o Admin em seu site, especialmente se você reutilizar as mesmas senhas em vários sites.
  • Gire o WooCommerce e quaisquer chaves de API de gateway de pagamento usadas em seu site.

#4. Devo obter o patch de segurança automaticamente?

Não. O WooCommerce aconselha os donos de lojas a tentar atualizar manualmente o plug-in para a versão com patch de segurança. Há várias razões para isso:

  • Você está usando uma versão mais antiga do WooCommerce (inferior à versão 3.3) em sua loja.
  • A atualização automática para a versão corrigida pode causar conflitos de plug-in.
  • Você desativou as atualizações automáticas em sua loja.
  • Caso seu sistema de arquivos seja somente leitura, a atualização automática se tornará inútil.

Como proteger suas lojas WooCommerce de vulnerabilidades

#1. Utilize plugins de segurança

Os plug-ins de segurança parecem ser a maneira mais fácil e eficaz de proteger sua loja WooCommerce contra vulnerabilidades. Tudo o que você precisa fazer é instalá-los em sua loja e deixá-los fazer a mágica.

Eles monitorarão e verificarão seus sites regularmente, ativarão firewalls e exagerarão para corrigir falhas de segurança no local. Existem dezenas de plugins de segurança excelentes, gratuitos e pagos, como WordFence, Sucuri, JetPack, MalCare e muito mais.

plugins de segurança wordpress

#2. Fazer backup, fazer backup e fazer backup

O backup do site é tão essencial quanto qualquer estratégia lucrativa do seu negócio. É útil para proteger seu site contra a perda de todos os dados em caso de ataques cibernéticos. Infelizmente, alguns comerciantes do WooCommerce ainda o ignoraram.

Para proteger sua loja de vulnerabilidades inesperadas do WooCommerce, você deve optar por plugins de backup sólidos do WordPress.

Procure o plug-in que lida com todos os tipos de dados, como arquivos, bancos de dados, plug-ins e temas do WordPress. Além disso, também deve oferecer agendamentos de backup flexíveis.

#3. Reforce a segurança de login

Todos nós sabemos que a página de login do WordPress é sempre altamente direcionada para ataques maliciosos. Você precisa fortalecer a segurança de login

  • Limitando tentativas de login
  • Ocultar o URL de login padrão
  • Evitando usar “admin” como nome de usuário
  • Fazendo uso da autenticação de dois fatores (2FA)

#4. Instale temas e plugins SEGUROS

Temas e plugins seguros referem-se àqueles provenientes de fontes autorizadas e confiáveis. Isso inclui repositório de plugins WordPress, diretório de temas, mercado WooCommerce, desenvolvedores de terceiros de renome, etc.

Além disso, certifique-se de não usar plugins e temas nulos do WordPress que são vendidos a um preço super baixo na Internet.

Lembre-se, temas e plugins nulos do WordPress são péssimos! Eles não são mais do que o contêiner de malware e backdoor para atacar.

Não podemos enfatizar o quanto temas e plugins seguros significam para a segurança do site. Confira nossas estatísticas de segurança do WordPress para saber o motivo.

#5. Instalar um certificado SSL

Seu site recebe um certificado SSL? Se sim, parabéns, você adicionou uma camada extra de segurança à sua loja. Todos os dados confidenciais seus e de seus clientes estão seguros.

Um certificado SSL garantirá que os dados trocados entre seus clientes e a loja sejam criptografados. Nesse ponto, todos os dados confidenciais de seus clientes, incluindo dados bancários, transações entre vocês dois, etc. estão seguros.

Caso sua resposta seja “Ainda não”, você precisa obter um certificado SSL para sua loja o mais rápido possível! Por quê? Porque o Google incluiu o SSL como um dos fatores de classificação.

certificado ssl wordpress (Fonte da imagem)

#6. Atualize seu site regularmente

A maioria dos proprietários de sites tende a esquecer ou odiar a atualização de seus sites, pois temem que a nova versão cause conflitos. Isso é um péssimo hábito.

Além disso, apenas atualizar o WordPress e o WooCommerce não é suficiente. Você precisa garantir que todos os plugins do seu site estejam atualizados. Remova também qualquer plug-in não utilizado ou que não tenha sido testado com as versões mais recentes do WordPress.

Dica profissional: tente fazer um cronograma de atualização e mantenha-o para não perder.

O WooCommerce ainda é seguro?

Sim definitivamente!

De acordo com o WordFence Threat Intelligence, há muito pouca evidência de lojas comprometidas. Portanto, você deve ter certeza de que não há nenhum ataque generalizado prejudicando os sites WooCommerce e o WooCommerce ainda é seguro e poderoso.

Este artigo explicou o que é a vulnerabilidade do WooCommerce, como isso afetou os proprietários de sites e como o WooCommerce respondeu ao problema.

Além disso, também mostramos as melhores práticas para proteger suas lojas WooCommerce de vulnerabilidades.

Você tem algum comentário sobre essa vulnerabilidade do WooCommerce? Compartilhe seus pensamentos na seção de comentários abaixo!