Varnostne luknje v vtičnikih WordPress, ki bi drugim ljudem omogočile brskanje po vašem spletnem mestu WordPress, so vedno slaba novica.
Tudi če izvajate samo osnovno nastavitev, ki nima računov strank in ne zbira ali obdeluje osebnih podatkov, kot so imena in e-poštni naslovi ...
… dovolj zaskrbljujoče je že samo dejstvo, da se nekdo drug ubada z vašo vsebino, promovira lažne povezave ali objavlja lažne novice pod vašim imenom.
Toda varnostne luknje v vtičnikih, ki jih uporabljate za podporo spletnih plačil na vašem spletnem mestu, so povsem druga stopnja skrbi.
Na žalost priljubljena platforma za e-plačila WooCommerce pravkar obveščeni uporabniki kot sledi:
2023. marca 03 je bila v plačilih WooCommerce odkrita ranljivost, ki bi lahko, če bi bila izkoriščena, dovolila nepooblaščen skrbniški dostop do prizadetih trgovin. Takoj smo deaktivirali prizadete storitve in ublažili težavo za vsa spletna mesta, ki gostujejo na WordPress.com, Pressable in [WordPress VIP].
Na srečo se zdi, da je bil hrošč odkrit kot del uradno odobrenega testa prodora, ki ga je izvedel švicarski varnostni raziskovalec, in WooCommerce se zdi prepričan, da nihče drug ni ugotovil napake, preden so zanjo izvedeli sami:
Takoj ko je bila ranljivost prijavljena, smo začeli preiskavo, da bi ugotovili, ali so bili kakršni koli podatki razkriti ali je bila ranljivost izkoriščena. Trenutno nimamo dokazov, da bi bila ranljivost uporabljena zunaj našega programa varnostnega testiranja. Poslali smo popravek in sodelovali z ekipo za vtičnike WordPress.org pri samodejnem posodabljanju spletnih mest, ki izvajajo plačila WooCommerce od 4.8.0 do 5.6.1, na popravljene različice. Posodobitev se trenutno samodejno uvaja v čim več trgovin.
Spremeniti gesla ali ne?
Zanimivo je, da WooCommerce predlaga, da tudi če bi napadalci našli in izkoristili to ranljivost, bi bili edini podatki o vaših prijavnih geslih, ki bi jih lahko ukrasli, ti. soljene zgoščene vrednosti gesel, zato je podjetje to zapisalo "malo verjetno je, da je bilo vaše geslo ogroženo".
Posledično ponuja nenavaden nasvet, da se lahko izognete, ne da bi spremenili skrbniško geslo, dokler [a] uporabljate standardni sistem za upravljanje gesel WordPress in ne kakršen koli alternativni način ravnanja z gesli, za katerega WooCommerce ne more jamčiti , in [b] nimate navade uporabljati istega gesla v več storitvah.
Oprostite nam, ker vas sprašujemo, ampak vi ne delite gesel med nobenimi spletnimi mesti, kaj šele, da bi delili geslo skrbniškega računa z vašim sistemom e-trgovine, kajne?
Vendar vas podjetje k temu poziva »spremenite vse zasebne ali skrivne podatke, shranjene v vaši zbirki podatkov WordPress/WooCommerce«, vključno s podatki, kot so žetoni za preverjanje pristnosti, sejni piškotki ali ključi API – žargonska imena, ki so v bistvu začasna gesla, ki jih vaš brskalnik (ali druga programska oprema) lahko doda prihodnjim spletnim zahtevam za takojšen dostop.
Ta »gesla za krajši delovni čas« so na voljo, da strežniku omogočijo, da sklepa, da ste pred kratkim šli skozi celoten postopek prijave, da lahko zaupate vam in vašim vnaprej odobrenim aplikacijam, ne da bi vas prisilili, da svoje dejansko primarno geslo delite z vsakim aplikacijo ali zavihek brskalnika, ki bo v vašem imenu izvajal programske zahteve.
Ker morate na splošno kopirati in prilepiti žetone za preverjanje pristnosti v druge aplikacije, tako da jih lahko uporabljajo, ne da bi jih morali vsakič vnesti, so običajno shranjeni v obliki navadnega besedila, ne v obliki soljenega in zgoščenega, kot je vaša primarno geslo.
Preprosto povedano, čeprav kriminalci s skrbniškim dostopom do vašega računa ne morejo pridobiti dejanskega besedila vašega primarnega gesla, se običajno lahko (in bodo, če bodo imeli priložnost) pridobiti odprto besedilo katere koli avtentikacije žetonov, ki ste jih ustvarili za svoj račun.
Postopek »žetona za preverjanje pristnosti« je podoben temu, da bi morali pokazati polno osebno izkaznico s fotografijo, da bi prišli mimo recepcije v poslovni stavbi, nato pa dobite kartico za dostop, ki vam omogoča, da povlečete nazaj in nazaj, kolikor želite, in se gibati znotraj stavbe, čeprav le za omejen čas.
Če nekdo ukrade vaš osebni dokument s fotografijo, mu to ne bo koristilo, razen če je videti tako kot vi, saj bodo podrobnosti skrbno pregledane, ko ga predloži.
Če pa dobijo vašo kartico za dostop, medtem ko ste v stavbi, se lahko prikradejo pod krinko, da ste vi, saj primerjalna težava pridobitve kartice za dostop pomeni, da se domneva, da je to zanesljiv način. da bi vas vsaj začasno identificirali.
Kaj storiti?
- Preverite, ali imate popravljeno različico vtičnika WooCommerce Payments WordPress. Podjetje trdi, da bi morala biti spletna mesta, ki jih gostijo WordPress, Pressable in WordPress VIP, že posodobljena za vas, vendar priporočamo, da vseeno preverite. Navodila o tem, kako preveriti (in kako popraviti, če je potrebno), lahko najdete na WooCommerce blog za razvijalce. Vsaka od devetih (!) uradno podprtih različic izdelka podjetja, od 4.8.x do 5.6.x, ima svojo posodobitev.
- Prosite vse skrbnike na vašem spletnem mestu, da spremenijo svoja gesla. WooCommerce predlaga, da bi morali biti v redu, tudi če ne spremenite gesla, ker bi morali napadalci najprej razbiti vse ukradene zgoščene vrednosti gesel. Toda zgoščene vrednosti vaših gesel sploh ne bi smele biti izpostavljene tveganju, zato je njihova sprememba zdaj smiseln previdnostni ukrep. Ne pozabite, da spletnim kriminalcem ni treba takoj razbiti ukradenih zgoščencev. Razbiti morajo le enega ali več od njih, preden se lotite razveljavitve teh zgoščenih vrednosti s spremembo gesel, iz katerih so bili izračunani.
- Prekličite vse trenutne ključe Payment Gateway in WooCommerce API. Ustvarite nove ključe, kot je razloženo v WooCoomerce Dokumentacija, tako da so vsi ogroženi podatki za preverjanje pristnosti neuporabni za prevarante, ki so jih morda pridobili.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- Platoblockchain. Web3 Metaverse Intelligence. Razširjeno znanje. Dostopite tukaj.
- vir: https://nakedsecurity.sophos.com/2023/03/24/woocommerce-payments-plugin-for-wordpress-has-an-admin-level-hole-patch-now/