Vulnerabilitate severă WooCommerce 2021 – Tot ce trebuie să știți
Publicat: 2022-02-12Conform celor mai recente statistici de plugin WordPress, WooCommerce este înclinat drept unul dintre cele mai populare și mai bune pluginuri WordPress din toate timpurile, cu peste 5 milioane de instalări active.
Această aprobare imensă vine uneori cu un preț. Adică, acest titan al comerțului electronic a devenit o țintă principală pentru atacatori.
În special, WooCommerce a raportat o vulnerabilitate critică detectată în iulie 2021. Această vulnerabilitate WooCommerce a provocat un val de panică în rândul proprietarilor de magazine și utilizatorilor.
Care este această vulnerabilitate? A lăsat vreo pagubă? A fost compromis vreun magazin? Și ce a făcut WooCommerce pentru a rezolva problema?
Continuați să citiți pentru a afla răspunsurile!
- Vulnerabilitatea WooCommerce 2021 explicată
- Întrebări frecvente privind vulnerabilitatea WooCommerce
- Cum să vă protejați magazinele WooCommerce de vulnerabilități
Vulnerabilitatea WooCommerce 2021 explicată
Pe 12 iulie 2021, a fost depistată o vulnerabilitate critică WooCommerce legată de WooCommerce și pluginul WooCommerce Blocks. Josh, un cercetător de securitate, a raportat această problemă prin programul de securitate HackerOne al Automattic.
După ce a efectuat o investigație amănunțită, WooCommerce a detectat o vulnerabilitate de injectare SQL.
În consecință, oricărui site care utilizează WooCommerce sau WooCommerce Blocks este recomandat să-și actualizeze pluginurile dacă nu a efectuat deja o actualizare automată.
Această vulnerabilitate WooCommerce a fost atât de gravă încât a afectat milioane de utilizatori. WooCommerce s-a grăbit de la început să dezvolte un patch de securitate pentru a remedia problema pentru fiecare versiune afectată (90+ versiuni).
Patch-ul a fost implementat automat pe site-urile WooCommerce vulnerabile. Din perspectiva proprietarului unui magazin, ar trebui să vă asigurați că atât WooCommerce, cât și WooCommerce Blocks sunt actualizate la cele mai recente versiuni (5.5.1).
De asemenea, WooCommerce a sfătuit toți proprietarii de site-uri să actualizeze parolele pentru utilizatorii admin. În plus, au sugerat rotația cheilor API și gateway de plată utilizate în magazin.
Deci, cum poți ști dacă versiunea ta este actualizată?
WooCommerce a listat un tabel cu versiuni de corecții atât pentru WooCommerce, cât și pentru WooCommerce Blocks.
Dacă nu găsiți că nici una dintre versiunile dvs. actuale nu se potrivește cu vreo versiune listată, ar trebui să actualizați imediat la cea mai înaltă versiune disponibilă.
Întrebări frecvente privind vulnerabilitatea WooCommerce
#1. Ce este o vulnerabilitate WooCommerce SQL Injection?
O injecție SQL permite hackerilor să interfereze cu baza de date folosind scripturi SQL rău intenționate. De aici, atacatorii pot obține controlul asupra site-ului. Ele afișează informații sau fac site-ul să se comporte ciudat în comparație cu cel obișnuit.
De asemenea, conform WordFence, această vulnerabilitate WooCommerce este o vulnerabilitate Blind SQL Injection.
#2. Cum pot să știu dacă datele au fost compromise?
După cum a declarat WooCommerce, nu există o modalitate exactă de a confirma dacă datele au fost compromise. Echipa sugerează să verificați jurnalele de acces ale serverului dvs. web pentru a detecta unele încercări de exploatare.
Acest proces poate dura timp și necesită anumite abilități de codare. În cazul în care codul vă atinge, puteți solicita ajutor de la gazda dvs. web pentru a vă revizui jurnalul de acces.
Puteți consulta anunțul WooCommerce pentru mai multe detalii.
#3. Ar trebui proprietarii de magazine să își alerteze clienții cu privire la vulnerabilitate?
Notificarea clienților sau nu depinde de mulți factori, cum ar fi infrastructura site-ului dvs., ce date stochează site-ul dvs. etc. Cu toate acestea, cel mai important lucru de care ar trebui să țineți cont este dacă site-ul dvs. a fost sau nu compromis.
Faceți acest lucru mai întâi înainte de a vă alerta clienții - actualizați versiunea WooCommerce la cea cu corecția de securitate care rezolvă această problemă. Acest lucru vă va ajuta să vă protejați clienții de orice alte amenințări.
Apoi, urmăriți parolele, gateway-urile de plată și cheile API WooCommerce. Urmați exact ceea ce a recomandat WooCommerce:
- Generați parole noi sau administratorul pe site-ul dvs., mai ales dacă reutilizați aceleași parole pe mai multe site-uri.
- Rotiți WooCommerce și toate cheile API ale gateway-ului de plată utilizate pe site-ul dvs.
#4. Ar trebui să primesc automat corecția de securitate?
Nu. WooCommerce sfătuiește proprietarii de magazine să încerce să actualizeze manual pluginul la versiunea corectată de securitate. Există mai multe motive pentru asta:
- Utilizați o versiune mai veche de WooCommerce (inferioară versiunii 3.3) în magazinul dvs.
- Actualizarea automată la versiunea fixă poate cauza conflicte de plugin.
- Ați dezactivat actualizările automate în magazinul dvs.
- În cazul în care sistemul dvs. de fișiere este doar pentru citire, actualizarea automată se va dovedi a fi inutilă.
Cum să vă protejați magazinele WooCommerce de vulnerabilități
#1. Utilizați pluginuri de securitate
Pluginurile de securitate par a fi cea mai ușoară, dar eficientă modalitate de a vă proteja magazinul WooCommerce de vulnerabilități. Tot ce trebuie să faci este să le instalezi în magazinul tău și să le lași să facă magia.
Îți vor monitoriza și scana site-urile în mod regulat, vor activa firewall-urile și vor trece peste bord pentru a remedia la fața locului găurile de securitate. Există zeci de pluginuri de securitate superbe, atât gratuite, cât și plătite, și anume WordFence, Sucuri, JetPack, MalCare și multe altele.
#2. Backup, Backup și Backup
Backup-ul site-ului este la fel de esențial ca orice strategie de a face bani a afacerii tale. Se dovedește util în securizarea site-ului dvs. împotriva pierderii tuturor datelor în caz de atacuri cibernetice. Din păcate, unii comercianți WooCommerce încă l-au trecut cu vederea.
Pentru a vă proteja magazinul de vulnerabilități neașteptate ale WooCommerce, ar trebui să optați pentru pluginuri solide de backup pentru WordPress.
Căutați pluginul care gestionează toate tipurile de date, cum ar fi fișiere WordPress, baze de date, pluginuri și teme. În plus, ar trebui să ofere și programe flexibile de backup.
#3. Înăspriți securitatea de conectare
Știm cu toții că pagina de autentificare WordPress este întotdeauna foarte țintită pentru atacuri rău intenționate. Trebuie să consolidați securitatea de conectare prin
- Limitarea încercărilor de conectare
- Ascunderea adresei URL implicite de conectare
- Evitarea folosirii „admin” ca nume de utilizator
- Folosind autentificarea în doi factori (2FA)
#4. Instalați teme și pluginuri SECURE
Temele și pluginurile securizate se referă la cele care provin din surse autorizate și de încredere. Acestea includ depozitul de pluginuri WordPress, directorul de teme, piața WooCommerce, dezvoltatorii terți de renume etc.
În afară de asta, asigurați-vă că nu utilizați pluginuri și teme WordPress nule care sunt vândute nenumărate la un preț foarte mic pe Internet.
Amintiți-vă, temele și pluginurile WordPress nule sunt naibii! Ele nu sunt altele decât containerul de malware și backdoor pentru atac.
Nu putem sublinia suficient cât de mult înseamnă temele și pluginurile sigure pentru securitatea site-ului. Consultați statisticile noastre de securitate WordPress pentru a afla motivul.
#5. Instalați un certificat SSL
Site-ul dvs. primește un certificat SSL? Dacă da, felicitări, ați adăugat un strat de securitate suplimentar magazinului dvs. Toate datele confidențiale ale dvs. și ale clienților dvs. sunt securizate.
Un certificat SSL va asigura că datele schimbate între clienții dvs. și magazin vor fi criptate. În acel moment, toate datele confidențiale ale clienților tăi, inclusiv detaliile bancare, tranzacțiile dintre amândoi etc. sunt securizate.
În cazul în care răspunsul tău cade la „Nu încă”, trebuie să obții cât mai curând un certificat SSL pentru magazinul tău! De ce? Pentru că Google a inclus SSL ca unul dintre factorii de clasare.
(Sursa imagine)
#6. Actualizați-vă site-ul în mod regulat
Majoritatea proprietarilor de site-uri tind să uite sau să detestă actualizarea site-urilor, deoarece își fac griji că noua versiune va provoca conflicte. Este un obicei foarte prost.
În afară de asta, doar actualizarea WordPress și WooCommerce nu este suficientă. Trebuie să vă asigurați că toate pluginurile de pe site-ul dvs. sunt actualizate. Eliminați și orice plugin neutilizat sau care nu a fost testat cu cele mai recente versiuni de WordPress.
Sfat pro: Încercați să faceți un program de actualizare și să îl mențineți astfel încât să nu îl pierdeți.
WooCommerce este încă sigur?
Da cu siguranta!
Potrivit WordFence Threat Intelligence, există extrem de puține dovezi de magazine compromise. Așa că ar trebui să fii încrezător că nu există niciun atac pe scară largă care să dăuneze site-urilor WooCommerce și că WooCommerce este încă sigur și puternic.
Acest articol a explicat ce este vulnerabilitatea WooCommerce, cum i-a afectat pe proprietarii site-urilor și cum a răspuns WooCommerce la problemă.
În plus, v-am arătat și cele mai bune practici pentru a vă proteja magazinele WooCommerce de vulnerabilități.
Aveți vreun comentariu despre această vulnerabilitate WooCommerce? Împărtășește-ți gândurile în secțiunea de comentarii de mai jos!