Ważna informacja dla tych wszystkich z Was, którzy na swoich stronach (sklepach) wykorzystują wtyczkę WooCommerce.

13 lipca została wykryta krytyczna luka umożliwiająca atak SQL Injection. Konsekwencje ataku mogą być poważne ponieważ haker dostanie na tacy wszystkie dane przechowywane w bazie sklepu.

Luka została wykryta dopiero teraz, ale dotyczy wersji WooCommerce od 3.3 do 5.5. Przez długi czas była niewidoczna.

O problemie poinformował badacz bezpieczeństwa, Josh z DOS (Development Operations Security), a twórcy WooCommerce zareagowali natychmiast wypuszczając 14 lipca łatkę, która eliminuje problem.

“Kiedy dowiedzieliśmy się o problemie, nasz zespół natychmiast przeprowadził dokładne dochodzenie, zbadał wszystkie powiązane bazy kodu i stworzył poprawkę dla każdej wersji (90+ wydań), która została automatycznie wdrożona do zagrożonych sklepów.”

Ze względu na krytyczny charakter luki, zespół WordPress.org wymusza automatyczne aktualizacje dla podatnych instalacji WordPress korzystających z tych wtyczek. Właściciele sklepów korzystający ze starszych wersji mogą zaktualizować je do najnowszej w ramach swojej gałęzi. Na przykład, jeśli Twój sklep korzysta z WooCommerce w wersji 5.3, możesz zaktualizować go do wersji 5.3.1, aby zminimalizować ryzyko wystąpienia problemów z kompatybilnością. W ogłoszeniu dotyczącym bezpieczeństwa WooCommerce znajduje się tabela z wyszczególnieniem 90 poprawionych wersji WooCommerce. Dodatkowo, WooCommerce posiada pomocny przewodnik dla aktualizacji WooCommerce. Dostępny jest on pod adresem: https://docs.woocommerce.com/document/how-to-update-woocommerce/

Czy luka została wykorzystana?

Patrząc na informacje płynące z WordFence, badacz który odkrył lukę wskazał, że została wykorzystana w środowisku naturalnym, Wordfence Threat Intelligence znalazło jednak bardzo niewiele dowodów na takie próby. Jak na razie odnotowano ataki w zasadzie z trzech adresów IP, a więc luka zapewne nie była znana także hakerom aczkolwiek teraz będą chcieli ją wykorzystać na sklepach, których właściciele nie przeprowadzają regularnych aktualizacji.

Jeśli uważasz, że zostałeś wykorzystany z powodu tej luki, zespół WooCommerce zaleca resetowanie haseł administracyjnych po aktualizacji, aby zapewnić sobie i swoim Klientom dodatkową ochronę. Jeśli uważasz, że Twoja witryna mogła zostać dotknięta tą luką, przejrzyj pliki logów.

Bezpieczeństwo

Nie będę w tym miejscu przytaczał tego co zostało już napisane w wielu tekstach na JZS, zerknij chociażby do tekstu “Jak dbać o bezpieczeństwo sklepu WooCommerce“. Jednym z kluczowych elementów związanych z bezpieczeństwem strony, bloga i sklepu internetowego jest dbałość o aktualizacje wtyczek, motywów i samego WordPressa. Pomijając tę czynność narażasz siebie i swoich Klientów na potencjalne nieprzyjemne skutki, za które niestety sam bierzesz odpowiedzialność jeśli zaniedbujesz aktualizacje!

Po stronie Hostingu WordPress jak również klasycznego są wdrożone zabezpieczenia po stronie serwerów aktualizowane w czasie rzeczywistym, a więc prawdopodobieństwo udanego ataku jest zminimalizowane, co nie znaczy, że niemożliwe. Koniecznie sprawdź jaką masz wersję WooCommerce i zaktualizuj ją do nowszej wersji. Jeśli boisz się problemów wykonaj aktualizację do nowszej wersji w ramach swojej gałęzi jak wspomniałem powyżej.

Udostępnij

Zobacz również

Statyczna strona WordPress

Statyczna strona WordPress

Dziś kontynuacja wątku związanego jednocześnie z szybkością stron i ich bezpieczeństwem. Pytanie: czy słyszałeś kiedykolwiek o czymś takim jak statyczna strona WordPress? Jeśli nie, albo

Bezpłatne informacje o nowościach JZS

Zapraszam Cię do grona Subskrybentów! Tysiące Czytelników już subskrybuje wiadomości z JZS.

W każdej chwili możesz zrezygnować z subskrypcji. Twój adres jest tu bezpieczny.

Polecane Oferty LifeTime!

Consolto

Aplikacja do spotkań online i obsługi Klienta. Ogrom możliwości i...

Now4real

Zbuduj społeczność i zwiększ zaangażowanie na swojej stronie wykorzystując Now4real.

Play.ht lifetime
Play.ht

Przekształć swoje publikacje na stronie w nagrania audio wysokiej jakości.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Wymagane pola są oznaczone *