Серьезная уязвимость WooCommerce 2021 — все, что вам нужно знать

Опубликовано: 2022-02-12

Согласно последней статистике плагинов WordPress, WooCommerce считается одним из самых популярных и лучших плагинов WordPress всех времен с более чем 5 миллионами активных установок.

Это огромное одобрение иногда имеет свою цену. То есть этот титан электронной коммерции стал главной целью для злоумышленников.

В частности, WooCommerce сообщила о критической уязвимости, обнаруженной в июле 2021 года. Эта уязвимость WooCommerce действительно вызвала волну паники среди владельцев магазинов и пользователей.

Что это за уязвимость? Оставил ли он какие-либо повреждения? Был ли скомпрометирован какой-либо магазин? И что сделал WooCommerce, чтобы решить эту проблему?

Продолжайте читать, чтобы узнать ответы!

  • Объяснение уязвимости WooCommerce 2021
  • Часто задаваемые вопросы об уязвимости WooCommerce
  • Как защитить свои магазины WooCommerce от уязвимостей

Объяснение уязвимости WooCommerce 2021

12 июля 2021 года была обнаружена критическая уязвимость WooCommerce, связанная с WooCommerce и плагином WooCommerce Blocks. Джош, исследователь безопасности, сообщил об этой проблеме через программу безопасности HackerOne компании Automattic.

Проведя тщательное расследование, WooCommerce обнаружила уязвимость SQL-инъекции.

Как следствие, любому сайту, использующему WooCommerce или WooCommerce Blocks, настоятельно рекомендуется обновить свои плагины, если они еще не выполнили автоматическое обновление.

Эта уязвимость WooCommerce была настолько серьезной, что затронула миллионы пользователей. WooCommerce сразу же бросилась разрабатывать патч безопасности, чтобы исправить проблему для каждой затронутой версии (90+ выпусков).

Патч был автоматически развернут на уязвимых сайтах WooCommerce. С точки зрения владельца магазина, вы должны убедиться, что и WooCommerce, и блоки WooCommerce обновлены до последних версий (5.5.1).

WooCommerce также посоветовала всем владельцам сайтов обновить пароли для пользователей-администраторов. Кроме того, они предложили чередовать ключи API и платежного шлюза, используемые в магазине.

Итак, как узнать, актуальна ли ваша версия?

WooCommerce перечислила таблицу версий исправлений как для WooCommerce, так и для блоков WooCommerce.

Если вы обнаружите, что ни одна из ваших текущих версий не соответствует ни одной из перечисленных версий, вам следует немедленно выполнить обновление до самой последней доступной версии.

пропатченные версии, устраняющие уязвимость WooCommerce

Часто задаваемые вопросы об уязвимости WooCommerce

№1. Что такое уязвимость WooCommerce, связанная с SQL-инъекцией?

Внедрение SQL позволяет хакерам вмешиваться в базу данных, используя вредоносные сценарии SQL. Отсюда злоумышленники могут получить контроль над сайтом. Они отображают информацию или заставляют сайт вести себя странно по сравнению с обычным.

Кроме того, согласно WordFence, эта уязвимость WooCommerce является уязвимостью Blind SQL Injection.

№ 2. Как я могу узнать, были ли данные скомпрометированы?

Как заявил WooCommerce, нет точного способа подтвердить, были ли данные скомпрометированы. Команда предлагает проверить журналы доступа вашего веб-сервера, чтобы обнаружить некоторые попытки эксплойта.

Этот процесс может занять время и потребовать определенных навыков кодирования. Если вы не хотите трогать код, вы можете обратиться за помощью к своему веб-хостингу, чтобы просмотреть журнал доступа.

Вы можете обратиться к объявлению WooCommerce для получения более подробной информации.

№3. Должны ли владельцы магазинов предупреждать своих клиентов об уязвимости?

Уведомлять клиентов или нет, зависит от многих факторов, таких как инфраструктура вашего сайта, какие данные хранятся на вашем сайте и т. д. Однако самое важное, что вы должны учитывать, это то, был ли ваш сайт скомпрометирован.

Сделайте это в первую очередь, прежде чем предупреждать своих клиентов — обновите версию WooCommerce до версии с исправлением безопасности, устраняющим эту проблему. Это поможет защитить ваших клиентов от любых дальнейших угроз.

Затем следите за своими паролями, платежными шлюзами и ключами API WooCommerce. Следуйте именно тому, что рекомендует WooCommerce:

  • Создавайте новые пароли или администратора на своем сайте, особенно если вы повторно используете одни и те же пароли на многих сайтах.
  • Меняйте WooCommerce и ключи API любого платежного шлюза, используемые на вашем сайте.

№ 4. Должен ли я получать исправление безопасности автоматически?

Нет. WooCommerce рекомендует владельцам магазинов вручную обновить плагин до версии с исправлением безопасности. Тому есть несколько причин:

  • Вы используете более старую версию WooCommerce (ниже версии 3.3) в своем магазине.
  • Автоматическое обновление до исправленной версии может вызвать конфликты плагинов.
  • Вы отключили автоматические обновления в своем магазине.
  • В случае, если ваша файловая система доступна только для чтения, автоматическое обновление окажется бесполезным.

Как защитить свои магазины WooCommerce от уязвимостей

№1. Используйте плагины безопасности

Плагины безопасности кажутся самым простым, но эффективным способом защитить ваш магазин WooCommerce от уязвимостей. Все, что вам нужно сделать, это установить их в своем магазине и позволить им творить чудеса.

Они будут регулярно отслеживать и сканировать ваши сайты, включать брандмауэры и делать все возможное, чтобы исправить дыры в безопасности на месте. Существуют десятки превосходных плагинов безопасности, как бесплатных, так и платных, а именно WordFence, Sucuri, JetPack, MalCare и другие.

плагины безопасности вордпресс

№ 2. Резервное копирование, резервное копирование и резервное копирование

Резервное копирование сайта так же важно, как и любая стратегия заработка вашего бизнеса. Это оказывается удобным для защиты вашего сайта от потери всех данных в случае кибератак. К сожалению, некоторые продавцы WooCommerce до сих пор упускают из виду это.

Чтобы защитить свой магазин от неожиданных уязвимостей WooCommerce, вам следует выбрать надежные плагины для резервного копирования WordPress.

Ищите плагин, который обрабатывает все типы данных, такие как файлы WordPress, базы данных, плагины и темы. Кроме того, он также должен предлагать гибкие графики резервного копирования.

№3. Усильте безопасность входа

Все мы знаем, что страница входа в WordPress всегда подвергается вредоносным атакам. Вам необходимо усилить безопасность входа,

  • Ограничение попыток входа
  • Скрытие URL входа по умолчанию
  • Избегайте использования «admin» в качестве имени пользователя
  • Использование двухфакторной аутентификации (2FA)

№ 4. Установите безопасные темы и плагины

Безопасные темы и плагины относятся к тем, которые поступают из авторизованных и заслуживающих доверия источников. К ним относятся репозиторий плагинов WordPress, каталог тем, торговая площадка WooCommerce, известные сторонние разработчики и т. д.

Кроме того, убедитесь, что вы не используете нулевые плагины и темы WordPress, которые продаются в бесчисленном количестве по очень низкой цене в Интернете.

Помните, нулевые темы и плагины WordPress — отстой! Они не что иное, как контейнер вредоносных программ и лазейка для атаки.

Мы не можем не подчеркнуть, насколько безопасные темы и плагины значат для безопасности сайта. Ознакомьтесь с нашей статистикой безопасности WordPress, чтобы узнать причину.

№ 5. Установите SSL-сертификат

Ваш сайт получает SSL-сертификат? Если да, поздравляем, вы добавили дополнительный уровень безопасности в свой магазин. Все конфиденциальные данные о вас и ваших клиентах в безопасности.

SSL-сертификат гарантирует, что данные, которыми обмениваются ваши клиенты и магазин, будут зашифрованы. В этот момент все конфиденциальные данные ваших клиентов, включая банковские реквизиты, транзакции между вами и т. д., находятся в безопасности.

Если ваш ответ падает на «Еще нет», вам необходимо как можно скорее получить SSL-сертификат для своего магазина! Почему? Потому что Google включил SSL в качестве одного из факторов ранжирования.

вордпресс ssl сертификат (Источник изображения)

№ 6. Регулярно обновляйте свой сайт

Большинство владельцев сайтов, как правило, забывают или ненавидят обновлять свои сайты, поскольку опасаются, что новая версия вызовет конфликты. Это действительно плохая привычка.

Кроме того, недостаточно просто обновить WordPress и WooCommerce. Вы должны убедиться, что все плагины на вашем сайте обновлены. Удалите неиспользуемые или любые плагины, которые не были протестированы с последними версиями WordPress.

Совет: постарайтесь составить график обновлений и поддерживать его, чтобы не пропустить.

WooCommerce по-прежнему безопасна?

Да, безусловно!

По данным WordFence Threat Intelligence, существует крайне мало свидетельств скомпрометированных хранилищ. Таким образом, вы должны быть уверены, что не существует широкомасштабной атаки, наносящей ущерб сайтам WooCommerce, и WooCommerce по-прежнему безопасна и мощна.

В этой статье объясняется, что такое уязвимость WooCommerce, как она затронула владельцев сайтов и как WooCommerce отреагировала на эту проблему.

Кроме того, мы также показали вам лучшие методы защиты ваших магазинов WooCommerce от уязвимостей.

Есть ли у вас какие-либо комментарии по поводу этой уязвимости WooCommerce? Поделитесь своими мыслями в разделе комментариев ниже!