ช่องโหว่ WooCommerce ที่รุนแรง 2021 – ทั้งหมดที่คุณต้องรู้

จากสถิติล่าสุดของปลั๊กอิน WordPress นั้น WooCommerce ถูกปรับให้เป็นหนึ่งในปลั๊กอิน WordPress ที่ได้รับความนิยมและดีที่สุดตลอดกาล ด้วยการติดตั้งมากกว่า 5 ล้านครั้ง

การรับรองอันยิ่งใหญ่นั้นบางครั้งมาพร้อมกับราคา นั่นคือยักษ์ใหญ่อีคอมเมิร์ซรายนี้กลายเป็นเป้าหมายหลักสำหรับผู้โจมตี

โดยเฉพาะอย่างยิ่ง WooCommerce รายงานช่องโหว่ที่สำคัญที่ตรวจพบในเดือนกรกฎาคม 2021 ช่องโหว่ของ WooCommerce นี้ทำให้เกิดความตื่นตระหนกในหมู่เจ้าของร้านค้าและผู้ใช้

ช่องโหว่นี้คืออะไร? มันทิ้งความเสียหายหรือไม่? มีร้านค้าใดถูกบุกรุกหรือไม่? และ WooCommerce ทำอะไรเพื่อแก้ไขปัญหานี้?

อ่านต่อเพื่อหาคำตอบ!

• ช่องโหว่ WooCommerce 2021 อธิบาย
• คำถามที่พบบ่อยเกี่ยวกับช่องโหว่ของ WooCommerce
• วิธีปกป้องร้านค้า WooCommerce ของคุณจากช่องโหว่

ช่องโหว่ WooCommerce 2021 อธิบาย

เมื่อวันที่ 12 กรกฎาคม พ.ศ. 2564 พบช่องโหว่ที่สำคัญของ WooCommerce ที่เกี่ยวข้องกับ WooCommerce และปลั๊กอิน WooCommerce Blocks Josh นักวิจัยด้านความปลอดภัยรายงานปัญหาดังกล่าวผ่านโปรแกรมรักษาความปลอดภัย HackerOne ของ Automattic

หลังจากดำเนินการตรวจสอบอย่างละเอียดแล้ว WooCommerce ตรวจพบช่องโหว่ของการฉีด SQL

ด้วยเหตุนี้ ไซต์ใดๆ ที่ใช้ WooCommerce หรือ WooCommerce Blocks ขอแนะนำอย่างยิ่งให้อัปเดตปลั๊กอินหากยังไม่ได้ทำการอัปเดตอัตโนมัติ

ช่องโหว่ของ WooCommerce นั้นรุนแรงมากจนส่งผลกระทบต่อผู้ใช้หลายล้านคน WooCommerce ออกทันทีเพื่อพัฒนาแพตช์ความปลอดภัยเพื่อแก้ไขปัญหาสำหรับแต่ละรุ่นที่ได้รับผลกระทบ (90+ รุ่น)

แพทช์ถูกปรับใช้โดยอัตโนมัติกับไซต์ WooCommerce ที่มีช่องโหว่ จากมุมมองของเจ้าของร้านค้า คุณควรตรวจสอบให้แน่ใจว่าทั้งบล็อก WooCommerce และ WooCommerce ได้รับการอัปเดตเป็นเวอร์ชันล่าสุด (5.5.1)

WooCommerce ยังแนะนำให้เจ้าของไซต์ทั้งหมดอัปเดตรหัสผ่านสำหรับผู้ใช้ที่เป็นผู้ดูแลระบบ นอกจากนี้ยังแนะนำให้หมุนเวียน API และคีย์เกตเวย์การชำระเงินที่ใช้ในสโตร์

คุณจะทราบได้อย่างไรว่าเวอร์ชันของคุณเป็นเวอร์ชันล่าสุด

WooCommerce ได้ระบุตารางเวอร์ชันแพตช์สำหรับทั้ง WooCommerce และ WooCommerce Blocks

หากคุณพบว่าเวอร์ชันปัจจุบันของคุณไม่ตรงกับเวอร์ชันใดๆ ในรายการ คุณควรอัปเดตเป็นเวอร์ชันสูงสุดที่มีในทันที

คำถามที่พบบ่อยเกี่ยวกับช่องโหว่ของ WooCommerce

#1. ช่องโหว่ WooCommerce SQL Injection คืออะไร?

การฉีด SQL ช่วยให้แฮกเกอร์สามารถแทรกแซงฐานข้อมูลโดยใช้สคริปต์ SQL ที่เป็นอันตราย จากที่นี่ ผู้โจมตีสามารถควบคุมไซต์ได้ พวกเขาแสดงข้อมูลหรือทำให้ไซต์มีพฤติกรรมแปลกไปเมื่อเทียบกับปกติ

นอกจากนี้ ตาม WordFence ช่องโหว่ของ WooCommerce นี้เป็นช่องโหว่ Blind SQL Injection

#2. ฉันจะรู้ได้อย่างไรว่าข้อมูลถูกบุกรุก?

ตามที่ WooCommerce ระบุไว้ ไม่มีวิธียืนยันแน่ชัดว่าข้อมูลถูกบุกรุกหรือไม่ ทีมงานแนะนำให้ตรวจสอบบันทึกการเข้าใช้เว็บเซิร์ฟเวอร์ของคุณเพื่อตรวจหาการพยายามหาช่องโหว่

กระบวนการนี้อาจต้องใช้เวลาและต้องใช้ทักษะการเขียนโค้ดบางอย่าง ในกรณีที่สนใจโค้ด คุณสามารถขอความช่วยเหลือจากโฮสต์เว็บของคุณเพื่อตรวจสอบบันทึกการเข้าใช้ของคุณ

คุณสามารถดูประกาศของ WooCommerce สำหรับรายละเอียดเพิ่มเติม

#3. เจ้าของร้านควรแจ้งเตือนลูกค้าเกี่ยวกับช่องโหว่นี้หรือไม่?

การแจ้งลูกค้าหรือไม่ขึ้นอยู่กับปัจจัยหลายอย่าง เช่น โครงสร้างพื้นฐานของไซต์ ข้อมูลที่ไซต์ของคุณจัดเก็บ ฯลฯ อย่างไรก็ตาม สิ่งสำคัญที่สุดที่คุณควรคำนึงถึงคือไซต์ของคุณถูกบุกรุกหรือไม่

ทำสิ่งนี้ก่อนก่อนที่จะแจ้งเตือนลูกค้าของคุณ – อัปเดตเวอร์ชัน WooCommerce ของคุณเป็นเวอร์ชันที่มีโปรแกรมแก้ไขความปลอดภัยเพื่อแก้ไขปัญหานี้ ซึ่งจะช่วยปกป้องลูกค้าของคุณจากภัยคุกคามอื่นๆ

ต่อไป คอยดูรหัสผ่าน เกตเวย์การชำระเงิน และคีย์ WooCommerce API ปฏิบัติตามสิ่งที่ WooCommerce แนะนำ:

• สร้างรหัสผ่านใหม่หรือผู้ดูแลระบบในเว็บไซต์ของคุณ โดยเฉพาะอย่างยิ่งหากคุณใช้รหัสผ่านเดียวกันซ้ำในหลายเว็บไซต์
• หมุนเวียน WooCommerce และคีย์ API เกตเวย์การชำระเงินใดๆ ที่ใช้บนไซต์ของคุณ

#4. ฉันควรได้รับแพตช์ความปลอดภัยโดยอัตโนมัติหรือไม่

ไม่ WooCommerce แนะนำให้เจ้าของร้านค้าลองอัปเดตปลั๊กอินเป็นเวอร์ชันแพตช์ความปลอดภัยด้วยตนเอง มีเหตุผลหลายประการสำหรับสิ่งนั้น:

• คุณกำลังใช้ WooCommerce เวอร์ชันเก่า (ต่ำกว่าเวอร์ชัน 3.3) ในร้านค้าของคุณ
• การอัปเดตเป็นเวอร์ชันคงที่โดยอัตโนมัติอาจทำให้เกิดข้อขัดแย้งกับปลั๊กอิน
• คุณได้ปิดการอัปเดตอัตโนมัติในร้านค้าของคุณ
• ในกรณีที่ระบบไฟล์ของคุณเป็นแบบอ่านอย่างเดียว การอัปเดตอัตโนมัติจะไม่มีประโยชน์

วิธีปกป้องร้านค้า WooCommerce ของคุณจากช่องโหว่

#1. ใช้ปลั๊กอินความปลอดภัย

ปลั๊กอินความปลอดภัยดูเหมือนจะเป็นวิธีที่ง่ายที่สุดแต่มีประสิทธิภาพในการปกป้องร้านค้า WooCommerce ของคุณจากช่องโหว่ สิ่งที่คุณต้องทำคือติดตั้งในร้านค้าของคุณและปล่อยให้พวกเขาแสดงมายากล

พวกเขาจะตรวจสอบและสแกนไซต์ของคุณเป็นประจำ เปิดไฟร์วอลล์ และลงน้ำเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยทันที มีปลั๊กอินความปลอดภัยที่ยอดเยี่ยมมากมาย ทั้งแบบฟรีและมีค่าใช้จ่าย เช่น WordFence, Sucuri, JetPack, MalCare และอีกมากมาย

#2. สำรองข้อมูล สำรองข้อมูล และสำรองข้อมูล

การสำรองข้อมูลไซต์มีความสำคัญพอๆ กับกลยุทธ์การทำเงินของธุรกิจของคุณ มันพิสูจน์แล้วว่าสะดวกในการรักษาความปลอดภัยเว็บไซต์ของคุณไม่ให้สูญเสียข้อมูลทั้งหมดในกรณีที่มีการโจมตีทางไซเบอร์ น่าเศร้าที่ผู้ค้า WooCommerce บางรายยังคงมองข้ามไป

เพื่อปกป้องร้านค้าของคุณจากช่องโหว่ของ WooCommerce ที่ไม่คาดคิด คุณควรเลือกใช้ปลั๊กอินสำรอง WordPress ที่แข็งแกร่ง

มองหาปลั๊กอินที่จัดการข้อมูลทุกประเภท เช่น ไฟล์ WordPress ฐานข้อมูล ปลั๊กอิน และธีม นอกจากนี้ยังควรมีตารางการสำรองข้อมูลที่ยืดหยุ่นอีกด้วย

#3. กระชับความปลอดภัยในการเข้าสู่ระบบ

เราทุกคนทราบดีว่าหน้าเข้าสู่ระบบ WordPress มีเป้าหมายสูงสำหรับการโจมตีที่เป็นอันตรายเสมอ คุณต้องเสริมความปลอดภัยในการเข้าสู่ระบบโดย

• จำกัดการพยายามเข้าสู่ระบบ
• การซ่อน URL การเข้าสู่ระบบเริ่มต้น
• หลีกเลี่ยงการใช้ “admin” เป็นชื่อผู้ใช้
• การใช้การตรวจสอบสิทธิ์แบบสองปัจจัย (2FA)

#4. ติดตั้งธีมและปลั๊กอินที่ปลอดภัย

ธีมและปลั๊กอินที่ปลอดภัยหมายถึงธีมที่มาจากแหล่งที่ได้รับอนุญาตและน่าเชื่อถือ ซึ่งรวมถึงที่เก็บปลั๊กอิน WordPress, ไดเร็กทอรีธีม, ตลาด WooCommerce, นักพัฒนาบุคคลที่สามที่มีชื่อเสียง ฯลฯ

นอกเหนือจากนั้น ตรวจสอบให้แน่ใจว่าคุณไม่ได้ใช้ปลั๊กอินและธีมของ WordPress ที่เป็น null ซึ่งขายได้ในราคาที่ต่ำมากบนอินเทอร์เน็ต

โปรดจำไว้ว่า ธีมและปลั๊กอินของ WordPress เป็นโมฆะ! พวกเขาไม่ใช่ใครอื่นนอกจากคอนเทนเนอร์ของมัลแวร์และแบ็คดอร์ที่จะโจมตี

เราไม่สามารถเน้นเพียงพอว่าธีมและปลั๊กอินที่มีความปลอดภัยมีความหมายต่อความปลอดภัยของไซต์มากเพียงใด ตรวจสอบสถิติความปลอดภัยของ WordPress เพื่อทราบสาเหตุ

#5. ติดตั้งใบรับรอง SSL

เว็บไซต์ของคุณได้รับใบรับรอง SSL หรือไม่ ถ้าใช่ ยินดีด้วย คุณได้เพิ่มชั้นความปลอดภัยพิเศษให้กับร้านค้าของคุณแล้ว ข้อมูลที่เป็นความลับทั้งหมดของคุณและลูกค้าของคุณจะปลอดภัย

ใบรับรอง SSL จะช่วยให้แน่ใจว่าข้อมูลที่แลกเปลี่ยนระหว่างลูกค้าและร้านค้าของคุณจะถูกเข้ารหัส เมื่อถึงจุดนั้น ข้อมูลที่เป็นความลับทั้งหมดของลูกค้าของคุณ รวมถึงรายละเอียดธนาคาร ธุรกรรมระหว่างคุณทั้งคู่ ฯลฯ จะปลอดภัย

ในกรณีที่คำตอบของคุณคือ “ยังไม่” คุณต้องได้รับใบรับรอง SSL สำหรับร้านค้าของคุณโดยเร็วที่สุด! ทำไม? เนื่องจาก Google ได้รวม SSL เป็นหนึ่งในปัจจัยการจัดอันดับ

(ที่มาของภาพ)

#6. อัพเดทเว็บไซต์ของคุณเป็นประจำ

เจ้าของไซต์ส่วนใหญ่มักจะลืมหรือเกลียดการอัปเดตไซต์ของตน เนื่องจากกังวลว่าเวอร์ชันใหม่จะทำให้เกิดข้อขัดแย้ง นั่นเป็นนิสัยที่ไม่ดีจริงๆ

นอกจากนั้น แค่อัปเดต WordPress และ WooCommerce เท่านั้นยังไม่พอ คุณต้องตรวจสอบให้แน่ใจว่าปลั๊กอินทั้งหมดบนเว็บไซต์ของคุณเป็นปัจจุบัน ลบที่ไม่ได้ใช้หรือปลั๊กอินที่ไม่ได้รับการทดสอบกับ WordPress เวอร์ชันล่าสุดด้วย

เคล็ดลับจากมืออาชีพ: พยายามจัดกำหนดการการอัปเดตและรักษาไว้เพื่อที่คุณจะไม่พลาด

WooCommerce ยังคงปลอดภัยหรือไม่?

ใช่และแน่นอนที่สุด!

ตาม WordFence Threat Intelligence มีหลักฐานน้อยมากเกี่ยวกับร้านค้าที่ถูกบุกรุก ดังนั้นคุณควรมั่นใจว่าไม่มีการโจมตีใด ๆ ที่ทำร้ายไซต์ WooCommerce และ WooCommerce ยังคงปลอดภัยและมีประสิทธิภาพ

บทความนี้ระบุว่าช่องโหว่ของ WooCommerce คืออะไร ส่งผลกระทบต่อเจ้าของเว็บไซต์อย่างไร และ WooCommerce ตอบสนองต่อปัญหาอย่างไร

ยิ่งไปกว่านั้น เราได้แสดงแนวทางปฏิบัติที่ดีที่สุดในการปกป้องร้านค้า WooCommerce ของคุณจากช่องโหว่

คุณมีความคิดเห็นเกี่ยวกับช่องโหว่ของ WooCommerce หรือไม่? แบ่งปันความคิดของคุณในส่วนความคิดเห็นด้านล่าง!