Oprogramowanie typu Open Source jest bardzo popularne, jednak ma też swoje wady. Należy względna podatność na różnego rodzaju luki. Jest także jasna strona medalu – w wypadku opublikowania tego typu podatności – zazwyczaj dość szybko pojawiają się poprawki bezpieczeństwa. Tym razem sprawa dotyczy WooComerce

Pilna aktualizacja bezpieczeństwa do WooCommerce 5.5.1

13. lipca opublikowano informację o podatności w WooCommerce Blocks (wersje 2.5 do 5.5) oraz WooCommerce wersje 3.3 do 5.5.

Wg naszych analiz WooCommerce to Silnik e-commerce nr 1 w Polsce. Najwięcej instalacji sklepów internetowych w naszym kraju działa właśnie na podstawie WooCommerce, dlatego uważamy, że sprawa jest bardzo poważna.

Ukazała się już aktualizacja, więc koniecznie upewnij się, że korzystasz z WooCommerce w wersji minimum 5.5.1.

Na czym polega zagrożenie?

Sprawę zbadał dokładniej Krzysztof Dróżdż – którego być może kojarzysz z naszych webinarów o bezpieczeństwie WordPress. Krzysiek pobrał wersję 5.5.1 i porównał kod z wersją poprzednią, ujawniając, że problemem było wykonanie SQL bez właściwego pominięcia znaków specjalnych, czyli tzw. escapowania. To narażało sklep na potencjalny atak typu sql injection.
Zachęcam do przeczytania wpisu z analizą tej sytuacji na blogu Krzyśka Dróżdża.

Jak sprawdzę swoją wersję WooCommerce?

Po zalogowaniu do kokpitu wybierz Wtyczki, a na liście zobaczysz wtyczkę WooCommerce wraz z aktualną wersją. Jeśli jest starsza niż 5.5.1, powinna pojawić się możliwość aktualizacji.

jak sprawdzić wersję WoocCommerce - screenshot z listy pluginów WordPress
Stara wersja WooCommerce – koniecznie uruchom aktualizację

Czy mój sklep jest zagrożony?

Przy okazji warto wspomnieć, że jeśli korzystasz z naszego hostingu ((polecamy szczególnie hosting dla WooCommerce, gdzie możesz skorzystać z funkcji staging i przetestować na boku aktualizację WooCommerce) i włączysz ochronę SQL Injection w bezpłatnie dostępnym WAF – ryzyko powodzenia tego rodzaju ataków drastycznie spada, a sam WAF jest w stanie wychwycić sporo tego rodzaju incydentów, zanim dotrą one do Twojej strony www.

Obojętnie z jakiego serwera korzystasz i bez względu na WAF’a – koniecznie upewnij się, że Twój WooCommerce to wersja min. 5.5.1. WAF obniża ryzyko ataku SQJ injection, ale nie jest w stanie wykluczyć go całkowicie.

Artur Pajkert z kubkiem cyber_Folks
>
Artur Pajkert
Od 18 lat dzieli się wiedzą i poradami w sprawach e-marketingu i hostingu, jako menedżer, autor publikacji, prelegent, bloger, wykładowca akademicki.

Dodaj komentarz

Twój adres e-mail nie będzie opublikowany.

Polecane dla Ciebie

Szukasz dalej?