חור אבטחה קריטי התגלה בווקומרס - כל מה שצריך לדעת

ב- 13 ביולי 2021 זוהה חור אבטחה קריטי הנוגעת לתוסף ווקומרס(WooCommerce) בוורדפרס ול- ווקומרס בלוקס(WooCommerce Blocks), ונחשפה על ידי חוקר האבטחה באמצעות תוכנית האבטחה HackerOne של ווקומרס/אוטומאטיק.
מידע עבור חור אבטחה קריטי זה אומת על ידי מפתחי ווקומרס רק היום בבלוג שלהם, עם יציאת עדכון התיקון לחורש האבטחה בגרסה 5.5.1.

יש לי חנות ווקומרס, מה אני עושה?

עדכוני תוספים אוטומטיים יצאו כעת לכל החנויות המריצות גרסאות מושפעות של כל תוסף מהתוספים הבעייתים, אך ווקומרס וגם אנו ממליצים בחום לוודא כי אתה משתמש בגירסה העדכנית ביותר של התוספים המושפעים. עבור התוסף ווקומרס יש לוודא שאת/ה מריצים את הגרסה החדשה ביותר שזו 5.5.1 או המספר הגבוה ביותר. אם אתה מפעיל גם בלוקי ווקומרס, עליך להשתמש בגרסה 5.5.1 ולעדכן את התוסף ווקומרס אל 5.5.1.

חור האבטחה משפיע על אתרים עם התוסף ווקומרס המשתמשים בגרסאות התוסף הבאות - 3.3 עד 5.5 וכן אם התוסף שלכם נמצא בגרסאות הנ"ל מומלץ לבצע עדכון אל 5.5.1 או חדשות יותר.

לדברי ווקומרס הם הוציאו עדכון המכיל את העדכון עבור תיקון חור האבטחה גם לגרסאות ישנות יותר תוכלו להוריד את העדכון האבטחה ידנית כאן

תוכלו לראות כאן לדוגמה בגרסה 4.4 שהם הוציאו תיקון אבטחה ידני עבור הבעיה מאתמול -

הורדת גרסה מאובטחת יותר של ווקומרס

אם אינכם רוצים לעדכן אל 5.5.1 ואתם משתמשים בגרסא ישנה יותר ווקומרס הוציאו בעמוד הזה גרסאות ידניות עם עדכון אבטחה לגרסאות בהם התגלתה הבעיה.

אנו בכל אופן ממליצים לשמור על תוספים/תבניות מועדכנות על מנת לצמצם את חורי האבטחה והסיכונים האפשריים.

האם נתונים כלשהם נפגעו?

חקירת ווקומרס בנושא פגיעות זו והאם הנתונים נפגעו נמשכת. ווקומרס תשתף מידע נוסף עם בעלי האתרים כיצד לחקור את הפגיעות האבטחתית באתר שלהם, אותה יפרסמו בבלוג שלהם. אם חנות הושפעה, המידע החשוף יהיה ספציפי לאותו אתר, אך יכול לכלול מידע על הזמנות, לקוחות ומינהל.

האם ווקומרס עדיין בטוח לשימוש?

לדברי ווקומרס מפוסט הבלוג שלהם בעניין הם אומרים ש- כן.

אירועים כאלה אינם נדירים, אך לרוע המזל קורים לפעמים. לדברי ווקומרס היא תמיד מנסה להגיב באופן מיידי ולפעול בשקיפות מלאה.

מאז שנודע לווקומרס על הפגיעה, הצוות שלהם עבד מסביב לשעון על מנת להבטיח כי תיקון יצא בגרסה 5.5.1.

אם יש לכם חששות או שאלות נוספות בנוגע לנושא זה, צוות מהנדסים של ווקומרס מזמין אותכם לפנות אליו - לפתוח כרטיס תמיכה לווקומרס.

האם אהבתם את המאמר?

אודות המחבר Dean

שמי דין חלק מתחביביי, הם ציור, עריכת ווידיאו ובדיקות QA עבור חלק מבתי התוכנה הגדולים ביותר עבור ספקי אחסון אתרים.

שווה לקרוא

אבטחה

חדש: הקשחת אבטחה בקליק בWordPress Manager

  • Dean
  • 6 דקות

רוצים הקשחת אבטחה בקליק? בWordPress Manager של מייהוסט כמו שחלק מכם כבר יודעים, אנו עובדים בשיתוף פעולה צמוד בשנים האחרונות עם Cloudlinux OS ומוצרי Imunify360, Imunify Mail. אך מה שאתם לא יודעים, הדבר זהה גם עם Softaculous ...

אבטחה

חדש: שירות הגברת אבטחה והקשחת אתר וורדפרס

  • Dean
  • 4 דקות

אנו במייהוסט אחסון אתרים, מציגים שירות חדש אשר לקוחותינו יכולים לרכוש, שירות מהפכי בארץ ובעולם, השירות החדש הינו שירות הגברת אבטחה והקשחת אתר וורדפרס. השירות הגברת אבטחת וורדפרס והקשחת אתר הוורדפרס שלכם חשובה בהחלט...

אבטחה

חור אבטחה בוורדפרס

  • Dean
  • 3 דקות

וורדפרס 4.7 חור אבטחה "הזרקת תוכן" רק לאחרונה, ספק האבטחה Sucuri חשף "פגיעות הזרקת תוכן" חמורה בממשק ה- API של WordPress REST שמאפשר להאקרים מרוחקים לא מורשים לשנות את התוכן של כל דף או פוסט באתר אינטרנט של...