严重的 WooCommerce 漏洞 2021 – 您需要知道的所有信息

根据最新的 WordPress 插件统计，WooCommerce 被认为是有史以来最受欢迎和最好的 WordPress 插件之一，活跃安装量超过 500 万。

这种巨大的认可有时是有代价的。 也就是说，这个电子商务巨头已成为攻击者的主要目标。

特别是，WooCommerce 报告了 2021 年 7 月检测到的一个严重漏洞。这个 WooCommerce 漏洞确实在店主和用户中引起了一波恐慌。

这个漏洞是什么？ 有没有留下任何损坏？ 是否有任何商店遭到入侵？ WooCommerce 做了什么来解决这个问题？

继续阅读以找出答案！

• WooCommerce 漏洞 2021 解释
• WooCommerce 漏洞常见问题解答
• 如何保护您的 WooCommerce 商店免受漏洞攻击

WooCommerce 漏洞 2021 解释

2021 年 7 月 12 日，发现了一个与 WooCommerce 和 WooCommerce Blocks 插件相关的严重 WooCommerce 漏洞。 安全研究员 Josh 通过 Automattic 的 HackerOne 安全程序报告了该问题。

在进行了彻底的调查后，WooCommerce 检测到了一个 SQL 注入漏洞。

因此，强烈建议任何使用 WooCommerce 或 WooCommerce Blocks 的网站在尚未进行自动更新的情况下更新其插件。

这个 WooCommerce 漏洞非常严重，确实影响了数百万用户。 WooCommerce 立即赶出开发安全补丁来解决每个受影响版本（90 多个版本）的问题。

该补丁会自动部署到易受攻击的 WooCommerce 站点。 从店主的角度来看，您应该确保 WooCommerce 和 WooCommerce 块都更新到最新版本 (5.5.1)。

WooCommerce 还建议所有网站所有者更新管理员用户的密码。 此外，他们建议轮换商店使用的 API 和支付网关密钥。

那么如何知道您的版本是否是最新的呢？

WooCommerce 列出了 WooCommerce 和 WooCommerce 块的补丁版本表。

如果您发现当前版本与任何列出的版本都不匹配，则应立即更新到最高可用版本。

WooCommerce 漏洞常见问题解答

#1。 什么是 WooCommerce SQL 注入漏洞？

SQL 注入允许黑客使用恶意 SQL 脚本干扰数据库。 从这里，攻击者可以控制该站点。 与平常相比，它们显示信息或使网站行为异常。

此外，根据 WordFence 的说法，这个 WooCommerce 漏洞是一个盲 SQL 注入漏洞。

#2。 我如何知道数据是否被泄露？

正如 WooCommerce 所说，没有确切的方法来确认数据是否被泄露。 该团队建议检查您的网络服务器的访问日志以检测一些利用尝试。

这个过程可能需要时间并且需要一定的编码技能。 如果介意触摸代码，您可以向您的虚拟主机寻求帮助以查看您的访问日志。

您可以参考 WooCommerce 公告了解更多详情。

#3。 店主应该提醒他们的客户注意漏洞吗？

是否通知客户取决于许多因素，例如您的站点基础架构、您的站点存储的数据等。但是，您应该考虑的最关键的事情是您的站点是否已被入侵。

在提醒客户之前先执行此操作 - 将您的 WooCommerce 版本更新为带有修复此问题的安全补丁的版本。 这将有助于保护您的客户免受任何进一步的威胁。

接下来，密切关注您的密码、支付网关和 WooCommerce API 密钥。 完全遵循 WooCommerce 的建议：

• 在您的站点上生成新密码或管理员，特别是如果您在许多站点中重复使用相同的密码。
• 轮换 WooCommerce 和您网站上使用的任何支付网关 API 密钥。

#4。 我应该自动获取安全补丁吗？

不会。WooCommerce 建议店主尝试手动将插件更新为安全补丁版本。 有几个原因：

• 您在商店中使用的是较旧版本的 WooCommerce（低于 3.3 版）。
• 自动更新到固定版本可能会导致插件冲突。
• 您已关闭商店的自动更新。
• 如果您的文件系统是只读的，那么自动更新将毫无用处。

如何保护您的 WooCommerce 商店免受漏洞攻击

#1。 利用安全插件

安全插件似乎是保护您的 WooCommerce 商店免受漏洞影响的最简单有效的方法。 您所要做的就是将它们安装在您的商店中并让它们发挥作用。

他们会定期监控和扫描您的网站，打开防火墙，并在现场修复安全漏洞。 那里有几十个一流的安全插件，包括免费和付费的，即 WordFence、Sucuri、JetPack、MalCare 等等。

#2。 备份、备份和备份

站点备份与您企业的任何赚钱策略一样重要。 事实证明，它可以方便地保护您的网站在网络攻击的情况下不会丢失所有数据。 可悲的是，一些 WooCommerce 商家仍然忽略了它。

为了保护您的商店免受意外的 WooCommerce 漏洞的影响，您应该选择可靠的 WordPress 备份插件。

寻找处理所有类型数据的插件，例如 WordPress 文件、数据库、插件和主题。 此外，它还应该提供灵活的备份计划。

#3。 加强登录安全

我们都知道 WordPress 登录页面始终是恶意攻击的高度目标。 您需要通过以下方式加强登录安全性

• 限制登录尝试
• 隐藏默认登录 URL
• 避免使用“admin”作为用户名
• 利用两因素身份验证 (2FA)

#4。 安装 SECURE 主题和插件

安全主题和插件是指来自授权和可信赖来源的主题和插件。 其中包括 WordPress 插件存储库、主题目录、WooCommerce 市场、知名第三方开发人员等。

除此之外，请确保您不使用在 Internet 上以超低价出售的无数 WordPress 插件和主题。

请记住，空 WordPress 主题和插件很糟糕！ 它们只不过是恶意软件的容器和攻击的后门。

我们不能足够强调安全主题和插件对站点安全的意义。 查看我们的 WordPress 安全统计数据以了解原因。

#5。 安装 SSL 证书

您的网站是否获得 SSL 证书？ 如果是，那么恭喜，您已为商店添加了额外的安全层。 您和您的客户的所有机密数据都是安全的。

SSL 证书将确保您的客户和商店之间交换的数据将被加密。 届时，您客户的所有机密数据，包括银行详细信息、双方之间的交易等都是安全的。

如果您的答案是“还没有”，您需要尽快为您的商店获取 SSL 证书！ 为什么？ 因为 Google 已将 SSL 作为排名因素之一。

（图片来源）

#6。 定期更新您的网站

大多数网站所有者倾向于忘记或讨厌更新他们的网站，因为他们担心新版本会导致冲突。 这真是个坏习惯。

除此之外，仅更新 WordPress 和 WooCommerce 是不够的。 您必须确保您网站上的所有插件都是最新的。 删除未使用的插件或任何未经最新版本 WordPress 测试的插件。

专业提示：尝试制定更新计划并进行维护，以免错过。

WooCommerce 仍然安全吗？

当然是！

根据 WordFence Threat Intelligence 的说法，几乎没有证据表明商店遭到入侵。 因此，您应该确信没有广泛的攻击会损害 WooCommerce 网站，并且 WooCommerce 仍然安全且强大。

本文阐明了 WooCommerce 漏洞是什么，它如何影响网站所有者以及 WooCommerce 如何应对该问题。

最重要的是，我们还向您展示了保护您的 WooCommerce 商店免受漏洞攻击的最佳实践。

您对此 WooCommerce 漏洞有何评论？ 在下面的评论部分分享您的想法！