Ciddi WooCommerce Güvenlik Açığı 2021 – Tüm Bilmeniz Gerekenler

Yayınlanan: 2022-02-12

En son WordPress eklenti istatistiklerine göre, WooCommerce 5 milyondan fazla aktif kurulumla tüm zamanların en popüler ve en iyi WordPress eklentilerinden biri olarak öne çıkıyor.

Bu muazzam onay bazen bir bedelle gelir. Yani, bu e-ticaret devi, saldırganlar için başlıca hedef haline geldi.

Özellikle WooCommerce, Temmuz 2021'de tespit edilen kritik bir güvenlik açığı bildirdi. Bu WooCommerce güvenlik açığı, mağaza sahipleri ve kullanıcılar arasında bir panik dalgasına neden oldu.

Bu güvenlik açığı nedir? Herhangi bir hasar bıraktı mı? Herhangi bir mağazanın güvenliği ihlal edildi mi? Ve WooCommerce sorunu çözmek için ne yaptı?

Cevapları öğrenmek için okumaya devam edin!

  • WooCommerce Güvenlik Açığı 2021 Açıklandı
  • WooCommerce Güvenlik Açığı SSS'leri
  • WooCommerce Mağazalarınızı Güvenlik Açıklarından Nasıl Korursunuz?

WooCommerce Güvenlik Açığı 2021 Açıklandı

12 Temmuz 2021'de WooCommerce ve WooCommerce Blocks eklentisi ile ilgili kritik bir WooCommerce güvenlik açığı tespit edildi. Bir güvenlik araştırmacısı olan Josh, bu sorunu Automattic'in HackerOne güvenlik programı aracılığıyla bildirdi.

Kapsamlı bir araştırma yaptıktan sonra WooCommerce, bir SQL enjeksiyon güvenlik açığı tespit etti.

Sonuç olarak, WooCommerce veya WooCommerce Blocks kullanan tüm sitelerin, henüz otomatik güncelleme yapmamışlarsa eklentilerini güncellemeleri şiddetle tavsiye edilir.

Bu WooCommerce güvenlik açığı o kadar şiddetliydi ki milyonlarca kullanıcıyı etkiledi. WooCommerce, etkilenen her sürüm (90'dan fazla sürüm) için sorunu çözmek üzere bir güvenlik düzeltme eki geliştirmek üzere hemen dışarı çıktı.

Yama, savunmasız WooCommerce sitelerine otomatik olarak dağıtıldı. Bir mağaza sahibinin bakış açısından, hem WooCommerce hem de WooCommerce Bloklarının en son sürümlerine (5.5.1) güncellendiğinden emin olmalısınız.

WooCommerce ayrıca tüm site sahiplerine yönetici kullanıcılar için şifreleri güncellemelerini tavsiye etti. Ayrıca, mağazada kullanılan dönen API ve ödeme ağ geçidi anahtarlarını önerdiler.

Peki sürümünüzün güncel olup olmadığını nasıl bilebilirsiniz?

WooCommerce, hem WooCommerce hem de WooCommerce Blokları için bir yama sürümleri tablosu listelemiştir.

Mevcut sürümlerinizden hiçbirinin listelenen sürümlerle eşleşmediğini fark ederseniz, hemen mevcut en yüksek sürüme güncelleme yapmalısınız.

WooCommerce güvenlik açığını düzelten yamalı sürümler

WooCommerce Güvenlik Açığı SSS'leri

#1. WooCommerce SQL Enjeksiyon Güvenlik Açığı nedir?

Bir SQL Enjeksiyonu, bilgisayar korsanlarının kötü amaçlı SQL komut dosyaları kullanarak veritabanına müdahale etmesine olanak tanır. Buradan saldırganlar sitenin kontrolünü ele geçirebilir. Bilgileri görüntüler veya sitenin normale kıyasla garip davranmasını sağlarlar.

Ayrıca WordFence'e göre bu WooCommerce güvenlik açığı bir Blind SQL Injection güvenlik açığıdır.

#2. Verilerin Tehlikede Olduğunu Nasıl Anlarım?

WooCommerce'in belirttiği gibi, verilerin güvenliğinin ihlal edilip edilmediğini doğrulamanın kesin bir yolu yoktur. Ekip, bazı istismar girişimlerini tespit etmek için web sunucunuzun erişim günlüklerini kontrol etmenizi önerir.

Bu süreç zaman alabilir ve belirli kodlama becerileri gerektirebilir. Eğer koda dokunursanız, erişim günlüğünüzü gözden geçirmek için web sunucunuzdan yardım isteyebilirsiniz.

Daha fazla ayrıntı için WooCommerce duyurusuna başvurabilirsiniz.

#3. Mağaza Sahipleri Müşterilerini Güvenlik Açığı Konusunda Uyarmalı mı?

Müşterilere bildirimde bulunup bulunmamak site altyapınız, sitenizin hangi verileri depoladığı gibi birçok faktöre bağlıdır. Ancak dikkate almanız gereken en önemli şey sitenizin güvenliğinin ihlal edilip edilmediğidir.

Müşterilerinizi uyarmadan önce bunu yapın - WooCommerce sürümünüzü bu sorunu gideren güvenlik düzeltme ekine sahip sürüme güncelleyin. Bu, müşterilerinizi başka tehditlerden korumaya yardımcı olacaktır.

Ardından, parolalarınıza, ödeme ağ geçitlerinize ve WooCommerce API anahtarlarınıza göz atın. WooCommerce'in tam olarak ne önerdiğini takip edin:

  • Özellikle aynı şifreleri birçok sitede yeniden kullanıyorsanız, sitenizde yeni şifreler veya Yönetici oluşturun.
  • WooCommerce ve sitenizde kullanılan tüm ödeme ağ geçidi API anahtarlarını döndürün.

#4. Güvenlik Yamasını Otomatik Olarak Almalı mıyım?

Hayır. WooCommerce, mağaza sahiplerine eklentiyi güvenlik yamalı sürüme manuel olarak güncellemeyi denemelerini önerir. Bunun birkaç nedeni var:

  • Mağazanızda daha eski bir WooCommerce sürümü (3.3 sürümünden daha düşük) kullanıyorsunuz.
  • Otomatik olarak sabit sürüme güncelleme, eklenti çakışmalarına neden olabilir.
  • Mağazanızda otomatik güncellemeleri kapattınız.
  • Dosya sisteminizin salt okunur olması durumunda, otomatik güncelleme işe yaramaz hale gelecektir.

WooCommerce Mağazalarınızı Güvenlik Açıklarından Nasıl Korursunuz?

#1. Güvenlik Eklentilerini Kullanın

Güvenlik eklentileri, WooCommerce mağazanızı güvenlik açıklarından korumanın en kolay ancak etkili yolu gibi görünüyor. Tek yapmanız gereken onları mağazanıza kurmak ve sihri gerçekleştirmelerine izin vermek.

Sitelerinizi düzenli olarak izleyecek ve tarayacak, güvenlik duvarlarını açacak ve güvenlik açıklarını yerinde düzeltmek için aşırıya kaçacaklar. WordFence, Sucuri, JetPack, MalCare ve daha fazlası gibi hem ücretsiz hem de ücretli düzinelerce mükemmel güvenlik eklentisi var.

wordpress güvenlik eklentileri

#2. Yedekle, Yedekle ve Yedekle

Site yedekleme, işletmenizin herhangi bir para kazanma stratejisi kadar önemlidir. Siber saldırılar durumunda web sitenizin tüm verileri kaybetmesini önlemede kullanışlı olduğunu kanıtlıyor. Ne yazık ki, bazı WooCommerce tüccarları bunu hala gözden kaçırdı.

Mağazanızı beklenmedik WooCommerce güvenlik açıklarından korumak için sağlam WordPress yedekleme eklentilerini seçmelisiniz.

WordPress dosyaları, veritabanları, eklentiler ve temalar gibi her türlü veriyi işleyen eklentiyi arayın. Ayrıca, esnek yedekleme programları da sunmalıdır.

#3. Oturum Açma Güvenliğini Sıkılaştırın

WordPress giriş sayfasının her zaman kötü niyetli saldırılara karşı yüksek oranda hedeflendiğini biliyoruz. Oturum açma güvenliğini şu şekilde güçlendirmeniz gerekir:

  • Giriş denemelerini sınırlama
  • Varsayılan giriş URL'sini gizleme
  • Kullanıcı adı olarak “admin” kullanmaktan kaçınmak
  • İki Faktörlü Kimlik Doğrulamayı Kullanma (2FA)

#4. GÜVENLİ Temaları ve Eklentileri Yükleyin

Güvenli temalar ve eklentiler, yetkili ve güvenilir kaynaklardan gelenleri ifade eder. Bunlar arasında WordPress eklenti deposu, tema dizini, WooCommerce pazarı, tanınmış üçüncü taraf geliştiriciler vb.

Bunun dışında, internette çok düşük bir fiyata sayısız şekilde satılan boş WordPress eklentileri ve temaları kullanmadığınızdan emin olun.

Unutmayın, boş WordPress temaları ve eklentileri berbat! Kötü amaçlı yazılımların konteynerinden ve saldırmak için arka kapıdan başka bir şey değiller.

Temaların ve eklentilerin site güvenliği için ne kadar güvenli olduğunu yeterince vurgulayamıyoruz. Nedenini öğrenmek için WordPress güvenlik istatistiklerimize göz atın.

#5. SSL Sertifikası yükleyin

Siteniz SSL sertifikası alıyor mu? Cevabınız evet ise tebrikler, mağazanıza ekstra bir güvenlik katmanı eklediniz. Sizin ve müşterilerinizin tüm gizli verileri güvendedir.

Bir SSL sertifikası, müşterileriniz ve mağaza arasında değiş tokuş edilen verilerin şifrelenmesini sağlayacaktır. Bu noktada, müşterilerinizin banka bilgileri, aranızdaki işlemler vb. dahil olmak üzere tüm gizli verileri güvendedir.

Cevabınız “Henüz değil” olarak düşerse, mağazanız için bir an önce bir SSL sertifikası almalısınız! Niye ya? Çünkü Google, SSL'yi sıralama faktörlerinden biri olarak dahil etmiştir.

wordpress ssl sertifikası (Görüntü kaynağı)

#6. Sitenizi Düzenli Olarak Güncelleyin

Çoğu site sahibi, yeni sürümün çakışmalara neden olacağından endişe ettikleri için sitelerini güncellemeyi unutma veya bundan nefret etme eğilimindedir. Bu gerçekten kötü bir alışkanlık.

Bunun dışında sadece WordPress ve WooCommerce'i güncellemek yeterli değildir. Sitenizdeki tüm eklentilerin güncel olduğundan emin olmalısınız. Kullanılmayan veya WordPress'in en son sürümleriyle test edilmemiş eklentileri kaldırın.

Uzman tavsiyesi: Bir güncelleme programı oluşturmaya çalışın ve bunu kaçırmamak için bunu sürdürün.

WooCommerce Hala Güvenli mi?

Evet kesinlikle!

WordFence Threat Intelligence'a göre, güvenliği ihlal edilmiş mağazalara dair çok az kanıt var. Bu nedenle, WooCommerce sitelerine zarar veren yaygın bir saldırı olmadığından ve WooCommerce'in hala güvenli ve güçlü olduğundan emin olmalısınız.

Bu makale, WooCommerce güvenlik açığının ne olduğunu, site sahiplerini nasıl etkilediğini ve WooCommerce'in soruna nasıl yanıt verdiğini açıkladı.

Bunun da ötesinde, WooCommerce mağazalarınızı güvenlik açıklarından korumak için size en iyi uygulamaları da gösterdik.

Bu WooCommerce güvenlik açığı hakkında herhangi bir yorumunuz var mı? Düşüncelerinizi aşağıdaki yorum bölümünde paylaşın!