חור אבטחה קריטי התגלה בווקומרס - כל מה שצריך לדעת

ב- 13 ביולי 2021 זוהה חור אבטחה קריטי הנוגעת לתוסף ווקומרס(WooCommerce) בוורדפרס ול- ווקומרס בלוקס(WooCommerce Blocks), ונחשפה על ידי חוקר האבטחה באמצעות תוכנית האבטחה HackerOne של ווקומרס/אוטומאטיק.
מידע עבור חור אבטחה קריטי זה אומת על ידי מפתחי ווקומרס רק היום בבלוג שלהם, עם יציאת עדכון התיקון לחורש האבטחה בגרסה 5.5.1.

יש לי חנות ווקומרס, מה אני עושה?

עדכוני תוספים אוטומטיים יצאו כעת לכל החנויות המריצות גרסאות מושפעות של כל תוסף מהתוספים הבעייתים, אך ווקומרס וגם אנו ממליצים בחום לוודא כי אתה משתמש בגירסה העדכנית ביותר של התוספים המושפעים. עבור התוסף ווקומרס יש לוודא שאת/ה מריצים את הגרסה החדשה ביותר שזו 5.5.1 או המספר הגבוה ביותר. אם אתה מפעיל גם בלוקי ווקומרס, עליך להשתמש בגרסה 5.5.1 ולעדכן את התוסף ווקומרס אל 5.5.1.

חור האבטחה משפיע על אתרים עם התוסף ווקומרס המשתמשים בגרסאות התוסף הבאות - 3.3 עד 5.5 וכן אם התוסף שלכם נמצא בגרסאות הנ"ל מומלץ לבצע עדכון אל 5.5.1 או חדשות יותר.

לדברי ווקומרס הם הוציאו עדכון המכיל את העדכון עבור תיקון חור האבטחה גם לגרסאות ישנות יותר תוכלו להוריד את העדכון האבטחה ידנית כאן

תוכלו לראות כאן לדוגמה בגרסה 4.4 שהם הוציאו תיקון אבטחה ידני עבור הבעיה מאתמול -

הורדת גרסה מאובטחת יותר של ווקומרס

אם אינכם רוצים לעדכן אל 5.5.1 ואתם משתמשים בגרסא ישנה יותר ווקומרס הוציאו בעמוד הזה גרסאות ידניות עם עדכון אבטחה לגרסאות בהם התגלתה הבעיה.

אנו בכל אופן ממליצים לשמור על תוספים/תבניות מועדכנות על מנת לצמצם את חורי האבטחה והסיכונים האפשריים.

האם נתונים כלשהם נפגעו?

חקירת ווקומרס בנושא פגיעות זו והאם הנתונים נפגעו נמשכת. ווקומרס תשתף מידע נוסף עם בעלי האתרים כיצד לחקור את הפגיעות האבטחתית באתר שלהם, אותה יפרסמו בבלוג שלהם. אם חנות הושפעה, המידע החשוף יהיה ספציפי לאותו אתר, אך יכול לכלול מידע על הזמנות, לקוחות ומינהל.

האם ווקומרס עדיין בטוח לשימוש?

לדברי ווקומרס מפוסט הבלוג שלהם בעניין הם אומרים ש- כן.

אירועים כאלה אינם נדירים, אך לרוע המזל קורים לפעמים. לדברי ווקומרס היא תמיד מנסה להגיב באופן מיידי ולפעול בשקיפות מלאה.

מאז שנודע לווקומרס על הפגיעה, הצוות שלהם עבד מסביב לשעון על מנת להבטיח כי תיקון יצא בגרסה 5.5.1.

אם יש לכם חששות או שאלות נוספות בנוגע לנושא זה, צוות מהנדסים של ווקומרס מזמין אותכם לפנות אליו - לפתוח כרטיס תמיכה לווקומרס.

האם אהבתם את המאמר?

אודות המחבר Dean

שמי דין חלק מתחביביי, הם ציור, עריכת ווידיאו ובדיקות QA עבור חלק מבתי התוכנה הגדולים ביותר עבור ספקי אחסון אתרים.

שווה לקרוא

אבטחה

למה צריך תעודת SSL?

  • Dean
  • 3 דקות

למה צריך תעודת SSL? מהם היתרונות של שימוש בתעודת SSL? אבטחה תמיד הייתה גורם חשוב לדאגה בעת הגלישה באינטרנט. במשך זמן רב, האינטרנט נחשב למערב פרוע דיגיטלי: כל אדם היה צריך להשגיח על עצמם והיו מעט...

אבטחה

חור אבטחה בוורדפרס

  • Dean
  • 3 דקות

וורדפרס 4.7 חור אבטחה "הזרקת תוכן" רק לאחרונה, ספק האבטחה Sucuri חשף "פגיעות הזרקת תוכן" חמורה בממשק ה- API של WordPress REST שמאפשר להאקרים מרוחקים לא מורשים לשנות את התוכן של כל דף או פוסט באתר אינטרנט של...

אבטחה

אבטחה משופרת עבור אחסון וורדפרס מנוהל

  • Dean
  • 7 דקות

וורדפרס היא מערכת ניהול תוכן פופלרית מאוד בישראל ובעולם, עם זאת, עם המצוינות עדיין מגיע מקום לטעויות. אנו במייהוסט דואגה לתכונות אבטחה משופרת עבור אחסון וורדפרס מנוהל....