13 Temmuz 2021’de WooCommerce’de kritik güvenlik açığı tespit edildi – bilmeniz gerekiyor
Son güncellendi: 23 Temmuz 2021 13 Temmuz 2021’de WooCommerce ve WooCommerce Block Feature eklentisi ile ilgili kritik güvenlik açığı, Hackerone Güvenlik Programımız aracılığıyla Josh Güvenlik Araştırmacıları tarafından tanımlanmış ve açıklanmıştır. Sorunu bildikten sonra, ekibimiz derhal kapsamlı bir soruşturma gerçekleştirdi, ilgili tüm kod tabanlarını denetledi ve savunmasız mağazalara otomatik olarak uygulanan etkilenen her versiyon (90+ sürüm) için sorunları düzeltmek için yamalar yaptı. Bir woocommerce dükkanım var – hangi eylemi yapmalıyım? WooCommerce 5.5.1 için otomatik yazılım güncellemeleri, 14 Temmuz 2021’de her eklentiden etkilenen sürümü çalıştıran tüm mağazalara başlatılmaya başladı, ancak yine de en son sürümü kullandığınızdan emin olmanızı şiddetle tavsiye ediyoruz. WooCommerce için bu 5.5.2 * veya serbest bırakma dalınızdaki en yüksek sayıdır. WooCommerce bloğunu da çalıştırırsanız, eklentiden 5.5.1 sürümünü kullanmanız gerekir.
Önemli: 23 Temmuz 2021’de WooCommerce 5.5.2’nin piyasaya sürülmesiyle, yukarıda belirtilen otomatik yenileme süreci durduruldu. Yamalı sürüme güncellendikten sonra:
Sitenizdeki her yönetici kullanıcısı için şifreleri güncelleyin, özellikle birkaç web sitesinde aynı şifreyi yeniden kullanırlarsa
Sitenizde kullanılan her ödeme ağ geçidini ve Woocommerce API anahtarını oynatın.
Aşağıdaki adımlar hakkında daha fazla bilgi var. * Woocommerce 5.5.2 23 Temmuz 2021’de piyasaya sürüldü. Bu sürümde yer alan iyileştirme son güvenlik açığı ile ilgili değildi.
En son sürümümün olup olmadığını nasıl anlarım? Aşağıdaki tablo, WooCommerce ve WooCommerce blokları için yamalı versiyonların eksiksiz bir listesini içermektedir. Bu listede olmayan WooCommerce sürümünü veya WooCommerce bloğunu çalıştırırsanız, lütfen yayın dalınızdaki en yüksek sürüme güncelleyin. > 3.3.6
2.5.16
td> 2.6.2
3.5.9
2.7.2
/td>
3.7.2
3.8 .2
3.9.4
>
4.1.2
3.3.1
tr>
4.3.4
3.5.1
4.4.2
3.6.1
4.5.3
3.7 .2
< 4.6.3
3.8.1
3.9.1
4.8.1
4.0 .1
4.1.1
5.0.1
> 5.1.1
5.3.1 5.4.2
4.6.1
5.5.1
4.7 .1
5.5.2
4.8.1
4.9.2
5.0. 1
5.1. 1
5.2.1 <5.2.1
/td>
> Web sitem neden otomatik güncellemeler almıyor?
Siteniz birkaç nedenden dolayı otomatik olarak güncellenemeyebilir, bazıları büyük olasılıkla: Etkilenen sürümden önce sürümü çalıştırırsınız (WooCommerce 3.3 altında), otomatik güncellemeler sitenizde açıkça devre dışı bırakılmıştır, dosya sisteminiz sadece okunurdur, Veya güncellemeleri önleyen çatışma potansiyeline sahip bir uzantı var. Her durumda (etkilenmediğiniz ilk örnek hariç), serbest bırakma dalınızdaki en son yama sürümüne manuel olarak güncellemeye çalışmalısınız (Örnek 5.5 .2, 5.4.2, 5.3.1, vb.), Yukarıdaki tabloda belirtildiği gibi. Geri ihlal edilmiş veri var mı? Mevcut kanıtlara dayanarak, her sömürünün sınırlı olduğundan eminiz. Bir mağaza etkilenirse, açık bilgiler Site tarafından depolananlara özgü olacaktır, ancak siparişleri, müşteri ve idari bilgileri içerebilir. Mağazamın sömürülüp sömürülmediğini nasıl kontrol edebilirim? Bu güvenlik açığının doğası ve WordPress'e (ve dolayısıyla WooCommerce) Web isteklerini yerine getirmesine izin veren çok esnek bir yol nedeniyle, sömürüyü onaylamanın kesin bir yolu yoktur. Web sunucunuzun günlük erişimini inceleyerek bazı sömürü çabalarını tespit edebilirsiniz (veya bunu yapmak için web ana bilgisayarınızdan yardım alabilirsiniz). Aralık 2019 ile şimdi çabalardan yararlanma olasılığı arasında aşağıdaki formattaki talepler görülmektedir:
Request_uri Normal İfade eşleştirme //wp-json/wc/store/products/collection-data.*%25252.
Request_uri Normal ifadeyi eşleştirme /.*/wc/store/products/collection-data.*%25252. )/wp-json/wc/mağaza/ürün/toplama veri veya/? rest_route =/wc/store/ürün/toplama-veriler
Bu güvenlik açığından yararlandığını gördüğümüz istek, listedeki ilkinden% 98'den fazla olan aşağıdaki IP adresinden geliyor. Erişim günlüğünüzde bu IP adreslerinden birini görürseniz, güvenlik açığının kullanılması gerektiğini düşünmelisiniz:
137,116,119,175
162.158.78.41
103,233.135.21
Hangi şifreyi değiştirmem gerekiyor? Şifrenizin vurularak sızması olası değildir. WordPress kullanıcı şifreleri tuz kullanılarak nefret edilir, yani ortaya çıkan karma değerinin çözülmesi çok zordur. Bu tuzlu karma yaklaşımı, şifrenizi yönetici kullanıcısı olarak ve ayrıca sitenizdeki müşteriler de dahil olmak üzere diğer kullanıcı şifrelerini korur. Veritabanınızda depolanan şifrenizin karma sürümünün bu güvenlik açığı ile erişilmiş olabileceği bir olasılık olsa da, karma değerinin görülmemesi ve yine de şifrenizi yetkisiz kullanımdan koruması gerekir.
Bu, sitenizin kullanıcılar için standart WordPress şifre yönetimi kullandığını varsayar. Sitenize yüklediğiniz eklentiye bağlı olarak, güvensiz bir şekilde depolanan bir şifreniz veya diğer hassas bilgileriniz olabilir. Sitenizdeki yönetici kullanıcılarından biri, birkaç web sitesinde aynı şifreyi yeniden kullanmış olabilirse, kimlik bilgileri başka bir yere sızdıysa şifreyi güncellemenizi öneririz. Ayrıca WordPress/WooCommerce veritabanınızda saklanan kişisel veya gizli verileri değiştirmenizi öneririz. Bu, özel mağaza yapılandırmanıza bağlı olarak yangın, ödeme ağ geçitleri için genel/özel anahtar ve daha fazlası için bir anahtar olabilir. Bir uzantı geliştiricisi veya servis sağlayıcısı olarak, Woocommerce tüccarlarımıza mı anlatmalıyız? Bir mağaza veya Wooocommerce tüccarıyla doğrudan çalışıyorsanız, bu sorunu bildiklerinden emin olmak ve/veya mağazalarını güvenli bir versiyona güncellemek için onlarla çalışmanızı öneririz. Bir uzantı oluşturduysanız veya WooCommerce API'sına dayanan bir SaaS hizmeti sunduysanız, tüccarların hizmetinize bağlanmak için anahtarı yeniden ayarlamasına yardımcı olmanızı öneririz. Bir mağaza sahibi olarak müşterilerime söylemeli miyim? Sonunda müşterilerinize hatırlatıyor musunuz? Müşterilere söyleme veya şifreler gibi şeyleri yeniden düzenleme yükümlülüğünüz, site altyapınız, müşterilerinizin coğrafi olarak bulunduğu, siteniz tarafından hangi verilerin toplandığı ve sitenizin sızılıp sızmadığı gibi ayrıntılara bağlı olarak değişecektir.
Müşterilerinizi korumak için yapabileceğiniz en önemli eylem, Woocommerce sürümünüzü bu güvenlik açığı için iyileştirmelerle yamalı sürümüne güncellemektir. Güncelleme yaptıktan sonra: Sitenizdeki her yönetici kullanıcısı için şifreleri güncelleme, özellikle aynı şifreyi birkaç web sitesinde yeniden kullanırsanız
Sitenizde kullanılan her ödeme ağ geçidini ve Woocommerce API anahtarını oynatın.
Bir mağaza sahibi olarak, sonunda kararınız, müşteri şifrenizi sıfırlama gibi ek önlemler almak isteyip istemediğinizdir. WordPress kullanıcı şifreleri (ve dolayısıyla wooCommerce) tuz kullanır, yani ortaya çıkan karma değerinin çözülmesi çok zordur. Bu tuzlu karma yaklaşımı, müşterinizin şifresi de dahil olmak üzere sitenizdeki tüm kullanıcı şifrelerine uygulanır.
WooCommerce kullanımı hala güvenli mi? Evet. Bunun gibi olaylar nadirdir, ancak maalesef bazen olur. Niyetimiz her zaman hemen yanıt vermek ve tam şeffaflık ile çalışmaktır. Güvenlik açığı incelediğinden, ekip onarımların yapılmasını sağlamak için her zaman çalıştı ve kullanıcılarımıza söylendi. Platformun güvenliğine sürdürülebilir yatırımımız, sorunların çoğunu önlememize izin veriyor - ancak mağazalar üzerinde bir etkiye sahip olma potansiyeline sahip nadir bir durumda, bunu hızlı bir şekilde düzeltmeye, proaktif olarak iletişim kurmaya ve woocommerce ile işbirliği yapmaya çalışıyoruz. toplum.
