Oprogramowanie typu Open Source jest bardzo popularne, jednak ma też swoje wady. Należy względna podatność na różnego rodzaju luki. Jest także jasna strona medalu – w wypadku opublikowania tego typu podatności – zazwyczaj dość szybko pojawiają się poprawki bezpieczeństwa. Tym razem sprawa dotyczy WooComerce
Pilna aktualizacja bezpieczeństwa do WooCommerce 5.5.1
13. lipca opublikowano informację o podatności w WooCommerceChcesz dowiedzieć się, jak założyć sklep na WooCommerce? Obejrzyj kurs zamieszczony na naszym kanale YouTube: https://www.youtube.com/watch?v=FoZ97ZAtxXQ&t=7s WooCommerce to oprogramowanie za pomocą którego uruchomisz sklep internetowy. Jest to dedykowana wtyczka dla WordPress umożliwiająca prowadzenie sprzedaży online. Aby rozpocząć swoją przygodę z e-commerce potrzebujesz 3 rzeczy: domeny, hostingu oraz środowiska umożliwiającego uruchomienie internetowego kanału sprzedaży. WooCommerce jest również znane z doskonałej integracji z innymi narzędziami marketingowymi i analitycznymi. Możesz łatwo połączyć swój...Czym jest WooCommerce? Blocks (wersje 2.5 do 5.5) oraz WooCommerce wersje 3.3 do 5.5.
Wg naszych analiz WooCommerce to Silnik e-commerce nr 1 w Polsce. Najwięcej instalacji sklepów internetowych w naszym kraju działa właśnie na podstawie WooCommerce, dlatego uważamy, że sprawa jest bardzo poważna.
Ukazała się już aktualizacja, więc koniecznie upewnij się, że korzystasz z WooCommerce w wersji minimum 5.5.1.
Na czym polega zagrożenie?
Sprawę zbadał dokładniej Krzysztof Dróżdż – którego być może kojarzysz z naszych webinarów o bezpieczeństwie WordPressWordPress to najczęściej wybierany CMS na świecie. W oparciu o niego powstała niemal połowa istniejących stron internetowych. WordPress jest doceniany przez użytkowników ze względu na prostotę, intuicyjność i łatwość zarządzania. Ze względu na charakter open source, WordPress może być rozwijany i udoskonalany na potrzeby konkretnych, indywidualnych projektów. Jak zacząć korzystać z WordPressa? Aby rozpocząć przygodę z WordPressem, najpierw potrzebujesz hostingu dla WordPress. Hosting zapewnia miejsce na serwerze, gdzie będą przechowywane wszystkie pliki...Czym jest WordPress?. Krzysiek pobrał wersję 5.5.1 i porównał kod z wersją poprzednią, ujawniając, że problemem było wykonanie SQLSQL (ang. Structured Query Language) to język zapytań strukturalnych, który służy do komunikacji z bazami danych. Jest to standardowy język stosowany w systemach zarządzania relacyjnymi bazami danych (RDBMS – Relational Database Management System), takich jak MySQL, PostgreSQL, Oracle, Microsoft SQL Server czy SQLite. SQL umożliwia tworzenie, modyfikowanie i przetwarzanie danych w bazie w sposób przejrzysty i ustandaryzowany. SQL został opracowany w latach 70. XX wieku przez firmę IBM (pierwotnie pod nazwą...Czym jest SQL? bez właściwego pominięcia znaków specjalnych, czyli tzw. escapowania. To narażało sklep na potencjalny atak typu sql injectionSQL Injection (lub wstrzykiwanie SQL) to popularna i groźna technika ataku stosowana przez cyberprzestępców, polegająca na wstrzykiwaniu nieautoryzowanych zapytań SQL do aplikacji internetowej. Zwykle jest to możliwe w przypadku niewłaściwego zabezpieczenia pól formularzy, które pozwalają użytkownikom na bezpośrednie wprowadzenie danych do bazy SQL. Atak ten umożliwia modyfikację lub usunięcie danych, pozyskanie poufnych informacji, a czasami nawet przejęcie pełnej kontroli nad bazą danych. Jak działa SQL Injection? Atak SQL Injection polega...Czym jest SQL Injection?.
Zachęcam do przeczytania wpisu z analizą tej sytuacji na blogu Krzyśka Dróżdża.
Jak sprawdzę swoją wersję WooCommerce?
Po zalogowaniu do kokpitu wybierz Wtyczki, a na liście zobaczysz wtyczkę WooCommerce wraz z aktualną wersją. Jeśli jest starsza niż 5.5.1, powinna pojawić się możliwość aktualizacji.
Czy mój sklep jest zagrożony?
Przy okazji warto wspomnieć, że jeśli korzystasz z naszego hostingu ((polecamy szczególnie hosting dla WooCommerce, gdzie możesz skorzystać z funkcji staging i przetestować na boku aktualizację WooCommerce) i włączysz ochronę SQL Injection w bezpłatnie dostępnym WAFWAF (Web Application Firewall) to rodzaj firewalla, który chroni aplikacje internetowe przed różnego rodzaju atakami sieciowymi i zagrożeniami, takimi jak ataki XSS (Cross-Site Scripting), SQL injection, ataki DDoS (Distributed Denial of Service), oraz inne ataki na poziomie aplikacji internetowej. Główne cechy i funkcje WAF obejmują: Filtrowanie ruchu sieciowego: WAF monitoruje ruch sieciowy do i z aplikacji internetowych, identyfikując i blokując niebezpieczne żądania, które mogą stanowić zagrożenie dla bezpieczeństwa aplikacji. Ochrona...Czym jest WAF? – ryzyko powodzenia tego rodzaju ataków drastycznie spada, a sam WAF jest w stanie wychwycić sporo tego rodzaju incydentów, zanim dotrą one do Twojej strony www.
Obojętnie z jakiego serwera korzystasz i bez względu na WAF’a – koniecznie upewnij się, że Twój WooCommerce to wersja min. 5.5.1. WAF obniża ryzyko ataku SQJ injection, ale nie jest w stanie wykluczyć go całkowicie.
