Luka bezpieczeństwa w Woocommerce
Aby zaradzić luce w zabezpieczeniach, 10 czerwca 2024 r. wypuściliśmy ważną poprawkę bezpieczeństwa dla WooCommerce (wersje 8.8.5 i 8.9.3). Twój sklep wymaga natychmiastowej aktualizacji do najnowszej wersji WooCommerce. W przypadku wykorzystania tej luki możliwe jest umożliwienie złym podmiotom manipulowania łączem do witryny internetowej w celu wstrzyknięcia szkodliwej zawartości.
Co muszę zrobić?
Jeśli Twoja wersja WooCommerce została już zaktualizowana do wersji 8.9.3 (lub jeśli włączone są automatyczne aktualizacje), nie są wymagane żadne dalsze działania. Jeśli nie, musisz zaktualizować go ręcznie.
Jak zaktualizować:
1. Zaloguj się do panelu administracyjnego WP swojego sklepu i przejdź do Wtyczek.
2. Znajdź WooCommerce na liście zainstalowanych wtyczek i rozszerzeń. Powinieneś zobaczyć alert z informacją: „Dostępna jest nowa wersja WooCommerce”.
3. Kliknij łącze Aktualizuj teraz wyświetlane w tym alercie, aby zaktualizować do wersji 8.9.3.
Jeśli nie widzisz powiadomienia o nowej wersji, ręcznie sprawdź numer wersji. Jeśli nie możesz natychmiast zaktualizować WooCommerce, powinieneś wyłączyć przypisywanie zamówień. Tę lukę można wykorzystać tylko wtedy, gdy włączone jest przypisywanie zamówień.
Jaka jest luka?
Badacz bezpieczeństwa pierwotnie zgłosił nam tę lukę w ramach programu HackerOne Bug Bounty firmy Automattic. Luka ta może pozwolić na wykonanie skryptów między witrynami — rodzaj ataku, w którym zły aktor manipuluje łączem, aby umieścić na stronie złośliwą treść (za pomocą kodu takiego jak JavaScript). Może to mieć wpływ na każdą osobę, która kliknie link, w tym na klienta, sprzedawcę lub administratora sklepu.
Czy dane mojego sklepu zostały naruszone?
Nie są nam znane żadne exploity wykorzystujące tę lukę.
Co jeszcze mogę zrobić, aby mój sklep był bezpieczny?
Zawsze zachęcamy sprzedawców do utrzymywania wysokich standardów bezpieczeństwa. Obejmuje to stosowanie silnych haseł, uwierzytelnianie dwuskładnikowe, uważne monitorowanie transakcji i korzystanie z najnowszej, bezpiecznej wersji WooCommerce (oraz wszelkich innych rozszerzeń i wtyczek zainstalowanych w Twojej witrynie). Przeczytaj więcej o najlepszych praktykach w zakresie bezpieczeństwa.
Używam wersji WooCommerce starszej niż 8.8.0; czy ma to wpływ na mój sklep?
Luka dotyczy każdej witryny, na której działają następujące wersje WooCommerce — szczególnie jeśli w sklepie jest włączona funkcja przypisywania zamówień (jest ona domyślnie włączona).
• 8.8.0
• 8.8.1
• 8.8.2
• 8.8.3 • 8.8.4
• 8.9.0
• 8.9.1
• 8.9.2
Jeśli używasz wcześniejszej, stabilnej, zaktualizowanej wersji WooCommerce, nie ma to wpływu na Twój sklep.
Skąd mam wiedzieć, czy mój sklep jest bezpieczny?
Jeśli korzystasz z najnowszej, załatanej wersji WooCommerce (wersja 8.9.3, a także backportowana 8.8.5), Twój sklep jest bezpieczny. Nasz poradnik dla programistów wyjaśnia, jak sprawdzić status wersji WooCommerce w Twoim sklepie i zawiera inne szczegóły związane z aktualizacją. Zachęcamy do włączenia automatycznych aktualizacji, aby zapewnić aktualność wersji wtyczek i zapewnić automatyczne otrzymywanie wszystkich przyszłych aktualizacji zabezpieczeń.
Zawsze dążymy do przejrzystej i terminowej komunikacji z naszą społecznością. Jeśli masz jakiekolwiek pytania dotyczące tego problemu, skontaktuj się z naszym zespołem WPmonitoring w celu pomocy z aktualizacją.