E -ticaret WordPress siteniz kod enjeksiyon saldırılarına karşı savunmasız mı?

Bu ay, siteleri WordPress’te çalışan e -ticaret perakendecilerine kötü haberler getiriyor: Çok popüler eklentiler çok tehlikeli zayıflıklara sahip. Japonya’da büyük bir pazar payı olan Welcart, bilgisayar korsanlarının kredi kartı bilgileri çalmasına ve web sitelerine zarar vermesine izin verir. Haber, elbette, Welcart’ı mahvedmesine rağmen, WP’nin popülaritesi üzerinde fazla bir etkisi olmayacaktı. E -ticaret için WordPress ve iyi sitelerin (ve güvenli) birçok örneği seçmek için hala birçok neden var. Aynı şekilde, hiç kimse WP’nin güvenli olmadığını suçlamıyor. Bununla birlikte, güvenlik açığı, eklentilerin ve temaların ve hatta çok popüler olan sızıntı ve veri hacklemesine karşı savunmasız olabileceğini vurgular.
Bu makalede, yeni keşfedilen güvenlik açığını açıklayacağız, son zamanlarda ortaya çıkan bazı benzer sorunları göreceğiz ve WP e -ticaretinin güvenliği hakkında bize neler iletebileceklerini keşfedeceğiz. Welcart, Welcart’a karşı savunmasız buldu, Batı’da biraz bilinen bir eklenti, ancak Japonya’da büyük bir pazar payı var. Bu eklenti, e -ticaret mağazası sahipleri için alışveriş sepeti işlevleri ve çeşitli ödeme seçenekleri sunan birçok yararlı özellik sağlar. Bu, resmi WP mağazasından 20.000’den fazla indirilmesine neden oldu. Ne yazık ki, Welcart görünür kadar güvenli değil. Bir blog yazısında, WordFence’in güvenlik araştırma firması, teorik olarak bilgisayar korsanlarının siteye sızmasına izin veren Welcart’ta güvenlik açığı bulduklarını açıkladı. Vurgulanması gerekse de, “vahşi doğada” bildirilen böyle bir tehdit yoktur, tehdit gerçek ve gerçektir.
Hata derhal OSWAP tarafından ciddi olarak kategorize edildi ve eklenti yayıncısı Coline Inc. eklentilerini yamaya taşıdı. Ekim ayında piyasaya sürülen 1.9.36 Welcart sürümünde, site güvenli bildirildi. Ancak, hikayenin bittiği yer bu değildir. Coline takdir edilmesi gerekse de, bu güvenlik deliğini kapatmak için çok hızlı hareket ettiği için, birçok web sitesini haftalarca çok savunmasız hale getirir. Buna ek olarak, bu, ana eklentinin kırılganlığının ortaya çıkması için çok kötü bir zamandır, ancak sadece tatil sezonunun neredeyse geldiği için değil, aynı zamanda WordPress sitesine karşı fidye yazılımı geçen yıl endişe verici bir şekilde atladığı için. Yeni hatanın ayrıntıları bulunan ve e -ticaret sitelerinin kod enjeksiyon saldırılarından nasıl güvence altına alınacağına dair birkaç ders toplamak için kullanın. Technians olmayanlar için açıklanan saldırının böyle çalışması budur. Welcart eklentisi aslında WP tarafından kullanılanlardan tamamen farklı bir çerez koleksiyonu kullanır. Genellikle, bu çerezden hiçbir şey tehlikeli değildir – bu çerez kullanıcı oturumunu izlemek için kullanılır. Daha spesifik olarak, Welcart get_cookie işlevini kullanarak usces_cookie adlı bir çerez çağırır. Eklenti, çerez içerik kodunu kırmak için usces_unserialize kullanır ve kullanıcıya gönderilen çerezleri okumasını sağlar.
İşte işler tehlikeli hale geliyor. Araştırmacılar, daha sonra seri olmadıktan sonra PHP nesneleri enjekte edecek USCES_COOKIE parametresini ayarlamanın mümkün olduğunu buldular. Bu sorun, dinamik uygulama güvenliği test protokolü tarafından veya uygulama daha da kötüleşmeden önce güvenlik açığını tespit etmek için sürekli olarak tarandığında alınmalıdır (ve yapılacaktır), ancak bu, Welcart çerez sisteminde doğru bir şekilde yapılmaz gibi görünüyor. Bununla birlikte, bilgisayar korsanları bu deliği WP sitelerine tehlikeli PHP nesneleri yüklemek için kullanabilir ve bu nesne yüklendikten sonra, aynı siteye tehlikeli bir kod enjekte etmenin bir yolu olarak kullanılabilir. OSWAP’ın dediği gibi, “PHP, nesne serileştirmeye izin verdiğinden, saldırgan geçici seri dizisini savunmasız savunmasız çağrılara sürdürebilir ve bu işlevi kullanarak PHP nesnelerinin enjeksiyonu ile sonuçlanabilir.” Ardından PHP tablo sitesi bir istek yapın. PHP, bilmeyenler için, çoğu WP sitesinin arkasındaki veritabanı sistemleridir ve müşteriler ve ürünler hakkında hassas verileri saklar. Bu nedenle, saldırgan ada, adrese ve hatta bireysel müşteri kredi kartı bilgilerine erişebilir. Eklentilerle ilgili sorunlar elbette bu en son güvenlik açığının önemini veya etkisini abartmak mümkündür. Bununla birlikte, bu, çok daha geniş bir noktayı tanımlamak için kullanılabilir-tüm e-ticaret sahiplerinin eklentileri seçip yüklerken dikkatli olmaları ve sürekli olarak güncellendiğinden emin olmaları gerekir.
WordPress eklentisi, aslında bilgisayar korsanlarının siteye mantıksız erişim elde etmeleri için çok “rahat” bir yol haline geldi. Bu yılın Eylül ayında, ICEgram’ın e -posta aboneleri ve bülten eklentisinde bulunan önemli bir kusurun 100.000’den fazla bireysel WordPress web sitesini etkilediği bulundu. Eklenti birkaç nedenden dolayı savunmasızdır. Bunlardan biri, birçoğunun WP’nin diğer sitelerle iletişim kurmasına izin vermek için tasarlanmasıdır. Çoğu kişi çevrimiçi pazarda ihtiyaç duydukları ürünleri aramaya başlar ve sonuç olarak WP’yi böyle bir pazarla entegre eden eklenti çok popülerdir. Ne yazık ki, bilgileri çıkarmak için aynı pazar olarak gizlenen bilgisayar korsanlarına karşı da savunmasızdırlar. Güvenlik açığının ikinci nedeni, eklentinin genellikle yapımcı tarafından tutulması veya site sahibinin eski olarak işaretlendikten sonra uzun süre bırakmasıdır. En yaygın siber alan suçlarından biri, şu anda eklentilere karşı başlatılan tüm saldırıların yarısından fazlasını kapsayan XSS saldırısıdır. XSS saldırıları, kötü komut dosyaları doğrudan modası geçmiş bir eklenti koduna enjekte edildiğinde gerçekleşir ve şimdi sızan WordPress sitesine bilgisayar korsanlarına erişim sağlar. Kullanılmayan veya bu şekilde kullanılmayan veya eski olan temaların tehlikelerinin yanı sıra, birçok e -ticaret mağazası sahibi sitelerinde rutin denetimler yapmak ve artık ihtiyaç duymadıkları eklentileri ve temaları kaldırmak için zaman ayırmaz.

Alt çizginin hepsi söylenir, eklentilerden veya temalardan kaçınmamalısınız. Ancak, birçok e -ticaret mağazası sahibi için WP’nin benzersiz değerinin bir parçasıdır. Örneğin mağazanızı geliştirmek için birçok WordPress teması vardır ve Welcart gibi eklentiler, e -ticaret perakendecileri için çok yararlı olan bir dizi araç ve hizmet sunar. Bununla birlikte, kırılganlığın keşfi son zamanlarda eve dikkatle adım atmanın önemini getirdi. Bir eklenti birçok kez indirildiği için, güvenli bir şekilde düşünmeyin, yeni bir hack kaynağı olmadığını doğrulamak için hızlı bir çevrimiçi arama aramak için zaman ayırın. Aynı şekilde, yüklediğiniz eklentilerin ve temaların üç aylık denetiminde planlama ve kullanmadığınızı silin. Ve son olarak, eklentilerin sitenizi geliştirmenin tek yolu olduğunu varsaymayın. Ayrıca, sizi bilgisayar korsanlarına karşı savunmasız hale getirebilecek üçüncü taraf eklentilerine güvenmeden satışlarınızı artırmak için takip edilebilecek birçok web sitesi uygulaması da vardır.

admin

WordPress vs. Drupal – 2021’de hangisi daha iyi?(Lehte ve aleyhte olanlar)

WordPress vs. Drupal – 2021’de hangisi daha iyi?(Lehte ve aleyhte olanlar)

WordPress etki alanınızı nasıl değiştirirsiniz (SEO avantajlarını korumak)

WordPress etki alanınızı nasıl değiştirirsiniz (SEO avantajlarını korumak)

WordPress içeriğinin erozyonu (kavga mı yoksa görmezden geliyor mu?)

WordPress içeriğinin erozyonu (kavga mı yoksa görmezden geliyor mu?)

Wix vs WordPress: Hangisini bir web sitesi oluşturmayı seçmelisiniz?

Wix vs WordPress: Hangisini bir web sitesi oluşturmayı seçmelisiniz?

WordPress Performans Sorunlarına Bağlı Şeylerin Kontrol Listesi

WordPress Performans Sorunlarına Bağlı Şeylerin Kontrol Listesi

Popüler konuları tartışmak için 9 En İyi WordPress Forum eklentisi

Popüler konuları tartışmak için 9 En İyi WordPress Forum eklentisi

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir