2min

Om de veiligheid van webwinkels te garanderen, heeft Automattic, het bedrijf dat WordPress beheert, de gedwongen installatie aangekondigd van een beveiligingsupdate op honderdduizenden websites die gebruik maken van WooCommerce Payments.

De update verhelpt een kritieke kwetsbaarheid ontdekt door Michael Mazzolini van GoldNetwork, waardoor niet-geauthenticeerde aanvallers beheerderstoegang kunnen krijgen tot kwetsbare online winkels. Het WooCommerce team heeft de bug inmiddels gepatcht in recent uitgebrachte beveiligingsupdates.

Volgens WordFence kan deze kwetsbaarheid worden misbruikt door hackers om zich voor te doen als een beheerder en een online winkel volledig over te nemen zonder interactie met de gebruiker of social engineering. Deze bug zal naar verwachting binnen de kortste keren massaal worden uitgebuit, aldus Patchstack.

WooCommerce

“We hebben onmiddellijk de getroffen diensten gedeactiveerd en het probleem beperkt voor alle websites die worden gehost op WordPress.com, Pressable en WPVIP”, aldus Beau Lebens, Head of Engineering bij WooCommerce. Kwetsbare WooCommerce online shops die worden gehost op WordPress.com worden momenteel bijgewerkt, en de shops die al zijn bijgewerkt om de kwetsbaarheid te verhelpen.

Admins die een WordPress-installatie op hun servers hosten, zullen WooCommerce handmatig moeten bijwerken via de volgende procedure: Klik in het dashboard van WP Admin op het menu-item Plugins en zoek in de lijst met plugins naar WooCommerce Payments.

Als er een nieuwe versie van WooCommerce Payments beschikbaar is, verschijnt er een bericht dat de beheerder vraagt WooCommerce Payments bij te werken.

Zorgvuldigheid is vereist

Na het beveiligen van hun winkels wordt beheerders aangeraden te controleren op nieuw toegevoegde beheerdersgebruikers en verdachte berichten op hun websites. Als er aanwijzingen voor onverwachte activiteiten worden gevonden, moeten beheerders onmiddellijk alle beheerderswachtwoorden bijwerken en de API-sleutels van de Payment Gateway en WooCommerce roteren.

Ook moeten ze alle privé of geheime gegevens die zijn opgeslagen in de WordPress/WooCommerce database wijzigen. De WooCommerce Payments plugin heeft meer dan 500.000 actieve installaties en biedt winkelklanten eenvoudig te configureren en te beheren betaalkassa’s.

Tip: Moederbedrijf WordPress neemt ActivityPub plugin over