Η Automattic, η δημιουργός του WordPress, αναλαμβάνει να διασφαλίσει ότι αμέτρητοι ιστότοποι που τροφοδοτούνται από το WooCommerce Payments παραμένουν ασφαλείς, με μια ενημέρωση ασφαλείας που είναι πλέον υποχρεωτική για εκατοντάδες χιλιάδες δημοφιλή ηλεκτρονικά καταστήματα.
Δείτε επίσης: WordPress Houzez theme: Κρίσιμα bugs θέτουν σε κίνδυνο sites
Αυτή η ενημέρωση επιλύει ένα βασικό ελάττωμα ασφαλείας, που επιτρέπει ακόμη και σε μη πιστοποιημένους επιτιθέμενους να αποκτήσουν πρόσβαση ως διαχειριστές σε ευάλωτα καταστήματα. Ο Michael Mazzolini της GoldNetwork αποκάλυψε πρόσφατα ένα σφάλμα που επηρεάζει τις εκδόσεις 4.8.0 και άνω του WooCommerce Payments, τονίζοντας τη σημασία που έχει για τους χρήστες να ενημερώνουν τακτικά το λογισμικό τους.
Το WordFence λέει ότι οι μη επιβεβαιωμένοι εισβολείς μπορούν να εκμεταλλευτούν το σφάλμα για να “πλαστοπροσωπήσουν έναν διαχειριστή και να καταλάβουν πλήρως έναν ιστότοπο χωρίς να απαιτείται αλληλεπίδραση με τον χρήστη ή social engineering“, ενώ το Patchstack προειδοποιεί ότι επειδή “αυτή η ευπάθεια δεν απαιτεί έλεγχο ταυτότητας, είναι πολύ πιθανό να αξιοποιηθεί μαζικά πολύ σύντομα».
Η ομάδα του WooCommerce κυκλοφόρησε μια ενημερωμένη έκδοση ασφαλείας για την επιδιόρθωση αυτού του κρίσιμου σφάλματος. Μέχρι στιγμής, δεν υπάρχουν ενδείξεις ότι έχει γίνει στόχος ή έχει γίνει κατάχρηση από κακόβουλους παράγοντες.
“Αυτή τη στιγμή δεν έχουμε αποδείξεις ότι η ευπάθεια έγινε αντικείμενο εκμετάλλευσης πέρα από τον εντοπισμό της στο δικό μας πρόγραμμα δοκιμών ασφαλείας. Δεν πιστεύουμε ότι κανένα κατάστημα ή δεδομένα πελατών παραβιάστηκε ως αποτέλεσμα αυτής της ευπάθειας“, δήλωσε ο Beau Lebens, Επικεφαλής Μηχανικής στο WooCommerce.
Δείτε ακόμα: Fuser-master: Βάζει σε κίνδυνο τους ιστότοπους του WordPress
“Απενεργοποιήσαμε αμέσως τις επηρεαζόμενες υπηρεσίες και μετριάσαμε το πρόβλημα για όλους τους ιστότοπους που φιλοξενούνται στο WordPress.com, στο Pressable και στο WPVIP.“
Για όσους διαχειρίζονται μια εγκατάσταση βασισμένη στο WordPress στους δικούς τους διακομιστές, η μη αυτόματη ενημέρωση του WooCommerce είναι απλή:
- Από τον πίνακα ελέγχου διαχειριστή του WP, κάντε κλικ στο στοιχείο μενού Προσθήκες και αναζητήστε το WooCommerce Payments στη λίστα προσθηκών σας.
- Ο αριθμός έκδοσης θα πρέπει να εμφανίζεται στη στήλη Περιγραφή δίπλα στο όνομα της προσθήκης. Εάν αυτός ο αριθμός ταιριάζει με οποιαδήποτε από τις επιδιορθωμένες εκδόσεις που αναφέρονται παρακάτω, δεν απαιτείται περαιτέρω ενέργεια.
- Εάν μια νέα έκδοση είναι διαθέσιμη για λήψη, θα πρέπει να δείτε μια ειδοποίηση που σας καθοδηγεί να ενημερώσετε το WooCommerce Payments — προχωρήστε και κάντε τη.
Ενημερωμένες εκδόσεις WooCommerce Payments: 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2 και 5.6.2.
Αφού ασφαλίσουν τα καταστήματα, οι διαχειριστές θα πρέπει να αξιολογούν κάθε νέο χρήστη διαχειριστή και να διερευνούν κάθε αμφισβητήσιμη δημοσίευση που προστίθεται στον ιστότοπο.
Σε περίπτωση οποιασδήποτε ύποπτης δραστηριότητας, θα πρέπει να αλλάξετε γρήγορα όλους τους κωδικούς πρόσβασης διαχειριστή και να εναλλάξετε τα κλειδιά της πύλης πληρωμών και του API του WooCommerce ως ένα πρόσθετο επίπεδο προστασίας.
Δείτε επίσης: 75.000 WordPress sites επηρεάζονται από κρίσιμα flaws στο plugin LearnPress
Το WooCommerce είναι μια δωρεάν πλατφόρμα εμπορίου ηλεκτρονικών προϊόντων που ενσωματώνεται στο WordPress. Αναλαμβάνει να καλύψει τις ανάγκες ενός ηλεκτρονικού καταστήματος προσφέροντας μια πληθώρα από επεκτάσεις και θέματα που βοηθούν να ξεχωρίσει η επιχείρησή σας. Βελτιώνει επίσης τις πωλήσεις προσφέροντας ευκολία και προσαρμοστικότητα στη διαχείριση της πώλησης online.
