嚴重的 WooCommerce 漏洞 2021 – 您需要知道的所有信息

根據最新的 WordPress 插件統計，WooCommerce 被認為是有史以來最受歡迎和最好的 WordPress 插件之一，活躍安裝量超過 500 萬。

這種巨大的認可有時是有代價的。 也就是說，這個電子商務巨頭已成為攻擊者的主要目標。

特別是，WooCommerce 報告了 2021 年 7 月檢測到的一個嚴重漏洞。這個 WooCommerce 漏洞確實在店主和用戶中引起了一波恐慌。

這個漏洞是什麼？ 有沒有留下任何損壞？ 是否有任何商店遭到入侵？ WooCommerce 做了什麼來解決這個問題？

繼續閱讀以找出答案！

• WooCommerce 漏洞 2021 解釋
• WooCommerce 漏洞常見問題解答
• 如何保護您的 WooCommerce 商店免受漏洞攻擊

WooCommerce 漏洞 2021 解釋

2021 年 7 月 12 日，發現了一個與 WooCommerce 和 WooCommerce Blocks 插件相關的嚴重 WooCommerce 漏洞。 安全研究員 Josh 通過 Automattic 的 HackerOne 安全程序報告了該問題。

在進行了徹底的調查後，WooCommerce 檢測到了一個 SQL 注入漏洞。

因此，強烈建議任何使用 WooCommerce 或 WooCommerce Blocks 的網站在尚未進行自動更新的情況下更新其插件。

這個 WooCommerce 漏洞非常嚴重，確實影響了數百萬用戶。 WooCommerce 立即趕出開發安全補丁來解決每個受影響版本（90 多個版本）的問題。

該補丁會自動部署到易受攻擊的 WooCommerce 站點。 從店主的角度來看，您應該確保 WooCommerce 和 WooCommerce 塊都更新到最新版本 (5.5.1)。

WooCommerce 還建議所有網站所有者更新管理員用戶的密碼。 此外，他們建議輪換商店使用的 API 和支付網關密鑰。

那麼如何知道您的版本是否是最新的呢？

WooCommerce 列出了 WooCommerce 和 WooCommerce 塊的補丁版本表。

如果您發現當前版本與任何列出的版本都不匹配，則應立即更新到最高可用版本。

WooCommerce 漏洞常見問題解答

#1。 什麼是 WooCommerce SQL 注入漏洞？

SQL 注入允許黑客使用惡意 SQL 腳本干擾數據庫。 從這裡，攻擊者可以控制該站點。 與平常相比，它們顯示信息或使網站行為異常。

此外，根據 WordFence 的說法，這個 WooCommerce 漏洞是一個盲 SQL 注入漏洞。

#2。 我如何知道數據是否被洩露？

正如 WooCommerce 所說，沒有確切的方法來確認數據是否被洩露。 該團隊建議檢查您的網絡服務器的訪問日誌以檢測一些利用嘗試。

這個過程可能需要時間並且需要一定的編碼技能。 如果介意觸摸代碼，您可以向您的虛擬主機尋求幫助以查看您的訪問日誌。

您可以參考 WooCommerce 公告了解更多詳情。

#3。 店主應該提醒他們的客戶注意漏洞嗎？

通知客戶與否取決於許多因素，例如您的站點基礎設施、您的站點存儲的數據等。但是，您應該考慮的最關鍵的事情是您的站點是否已被入侵。

在提醒客戶之前先執行此操作 - 將您的 WooCommerce 版本更新為帶有修復此問題的安全補丁的版本。 這將有助於保護您的客戶免受任何進一步的威脅。

接下來，密切關注您的密碼、支付網關和 WooCommerce API 密鑰。 完全遵循 WooCommerce 的建議：

• 在您的站點上生成新密碼或管理員，特別是如果您在許多站點中重複使用相同的密碼。
• 輪換 WooCommerce 和您網站上使用的任何支付網關 API 密鑰。

#4。 我應該自動獲取安全補丁嗎？

不會。WooCommerce 建議店主嘗試手動將插件更新為安全補丁版本。 有幾個原因：

• 您在商店中使用的是較舊版本的 WooCommerce（低於 3.3 版）。
• 自動更新到固定版本可能會導致插件衝突。
• 您已關閉商店的自動更新。
• 如果您的文件系統是只讀的，那麼自動更新將毫無用處。

如何保護您的 WooCommerce 商店免受漏洞攻擊

#1。 利用安全插件

安全插件似乎是保護您的 WooCommerce 商店免受漏洞影響的最簡單有效的方法。 您所要做的就是將它們安裝在您的商店中並讓它們發揮作用。

他們會定期監控和掃描您的網站，打開防火牆，並在現場修復安全漏洞。 那裡有幾十個一流的安全插件，包括免費和付費的，即 WordFence、Sucuri、JetPack、MalCare 等等。

#2。 備份、備份和備份

站點備份與您企業的任何賺錢策略一樣重要。 事實證明，它可以方便地保護您的網站在網絡攻擊的情況下不會丟失所有數據。 可悲的是，一些 WooCommerce 商家仍然忽略了它。

為了保護您的商店免受意外的 WooCommerce 漏洞的影響，您應該選擇可靠的 WordPress 備份插件。

尋找處理所有類型數據的插件，例如 WordPress 文件、數據庫、插件和主題。 此外，它還應該提供靈活的備份計劃。

#3。 加強登錄安全

我們都知道 WordPress 登錄頁面始終是惡意攻擊的高度目標。 您需要通過以下方式加強登錄安全性

• 限制登錄嘗試
• 隱藏默認登錄 URL
• 避免使用“admin”作為用戶名
• 利用兩因素身份驗證 (2FA)

#4。 安裝 SECURE 主題和插件

安全主題和插件是指來自授權和可信賴來源的主題和插件。 其中包括 WordPress 插件存儲庫、主題目錄、WooCommerce 市場、知名第三方開發人員等。

除此之外，請確保您不使用在 Internet 上以超低價出售的無數 WordPress 插件和主題。

請記住，空 WordPress 主題和插件很糟糕！ 它們只不過是惡意軟件的容器和攻擊的後門。

我們不能足夠強調安全主題和插件對站點安全的意義。 查看我們的 WordPress 安全統計數據以了解原因。

#5。 安裝 SSL 證書

您的網站是否獲得 SSL 證書？ 如果是，那麼恭喜，您已為商店添加了額外的安全層。 您和您的客戶的所有機密數據都是安全的。

SSL 證書將確保您的客戶和商店之間交換的數據將被加密。 屆時，您客戶的所有機密數據，包括銀行詳細信息、雙方之間的交易等都是安全的。

如果您的答案是“還沒有”，您需要盡快為您的商店獲取 SSL 證書！ 為什麼？ 因為 Google 已將 SSL 作為排名因素之一。

（圖片來源）

#6。 定期更新您的網站

大多數網站所有者傾向於忘記或討厭更新他們的網站，因為他們擔心新版本會導致衝突。 這真是個壞習慣。

除此之外，僅更新 WordPress 和 WooCommerce 是不夠的。 您必須確保您網站上的所有插件都是最新的。 刪除未使用的插件或任何未經最新版本 WordPress 測試的插件。

專業提示：嘗試制定更新計劃並進行維護，以免錯過。

WooCommerce 仍然安全嗎？

當然是！

根據 WordFence Threat Intelligence 的說法，幾乎沒有證據表明商店遭到入侵。 因此，您應該確信沒有廣泛的攻擊會損害 WooCommerce 網站，並且 WooCommerce 仍然安全且強大。

本文闡明了 WooCommerce 漏洞是什麼，它如何影響網站所有者以及 WooCommerce 如何應對該問題。

最重要的是，我們還向您展示了保護您的 WooCommerce 商店免受漏洞攻擊的最佳實踐。

您對此 WooCommerce 漏洞有何評論？ 在下面的評論部分分享您的想法！