WordPress içerik yönetim sisteminin arkasındaki şirket olan Automattic, çevrimiçi mağazalar için son derece popüler olan WooCommerce Ödemelerini çalıştıran yüzbinlerce web sitesine zorla bir güvenlik güncellemesi yüklüyor.
Düzeltme eki, kimliği doğrulanmamış saldırganların güvenlik açığı bulunan mağazalara yönetici erişimi sağlamasına olanak tanıyan kritik bir güvenlik açığını giderir.
Bu kusur, GoldNetwork’ten Michael Mazzolini tarafından bildirildi ve WooCommerce Payments 4.8.0 ve sonraki sürümlerini etkiliyor.
WordFence, kimliği doğrulanmamış saldırganların “bir yöneticinin kimliğine bürünerek ve herhangi bir kullanıcı etkileşimi veya sosyal mühendislik gerektirmeden bir web sitesini tamamen ele geçirmek” için hatadan yararlanabileceğini söylerken Patchstack, “bu güvenlik açığı kimlik doğrulama gerektirmediği için büyük olasılıkla toplu çok yakında sömürüldü.”
WooCommerce Ekibi, bugün erken saatlerde yayınlanan güvenlik güncellemelerinde yama yaptı ve bu kritik hatanın hedef alındığına veya vahşi ortamda istismar edildiğine dair herhangi bir kanıt bulamadığını söyledi.
Mühendislik Başkanı Beau Lebens, “Şu anda, güvenlik açığının kendi güvenlik testi programımızda tanımlamanın ötesinde istismar edildiğine dair hiçbir kanıtımız yok. Bu güvenlik açığı nedeniyle herhangi bir mağaza veya müşteri verisinin tehlikeye atıldığına inanmıyoruz” dedi. WooCommerce.
“Etkilenen hizmetleri hemen devre dışı bıraktık ve sorunu WordPress.com, Pressable ve WPVIP’de barındırılan tüm web siteleri için hafiflettik.”
Güvenlik güncelleştirmesi bazı savunmasız sitelere yayılıyor
WordPress.com’da barındırılan savunmasız WooCommerce çevrimiçi mağazaları, güvenlik açığını gidermek için güncellenme sürecindedir veya zaten güncellenmiştir.
Lebens, “WooCommerce Payments 4.8.0 – 5.6.1 çalıştıran siteleri otomatik olarak yamalı sürümlere güncellemek için bir düzeltme gönderdik ve WordPress.org Eklenti Ekibi ile birlikte çalıştık. Güncelleme şu anda otomatik olarak mümkün olduğu kadar çok mağazaya dağıtılıyor.” katma.
Kendi sunucularında bir WordPress kurulumuna ev sahipliği yapan yöneticilerin, aşağıdaki prosedürü kullanarak WooCommerce’i manuel olarak güncellemesi gerekecektir:
- WP Yönetici kontrol panelinizden, Eklentiler menü öğesi ve arayın WooCommerce Ödemeleri eklenti listenizde.
- Sürüm numarası ekranda görüntülenmelidir. Tanım eklenti adının yanındaki sütun. Bu sayı, aşağıda listelenen yamalı sürümlerden herhangi biriyle eşleşirse, başka bir işlem gerekmez.
- İndirilebilecek yeni bir sürüm varsa, sizi yönlendiren bir bildirim görmelisiniz. WooCommerce Payments’ı güncelle – lütfen devam edin ve öyle yapın.
Yamalı WooCommerce Payments sürümleri: 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2 ve 5.6.2.
Uzlaşma belirtileri olup olmadığını kontrol edin
Mağazalarının güvenliğini sağladıktan sonra, yöneticilere yeni eklenen yönetici kullanıcıları ve web sitelerine eklenen şüpheli gönderileri kontrol etmeleri önerilir.
Beklenmeyen etkinlik olduğuna dair herhangi bir kanıt bulursanız, tüm yönetici parolalarını hemen güncellemeli ve Payment Gateway ile WooCommerce API anahtarlarını değiştirmelisiniz.
Lebens, “WordPress/WooCommerce veritabanınızda depolanan tüm özel veya gizli verileri de değiştirmenizi öneririz. Bu, belirli mağaza yapılandırmanıza bağlı olarak API anahtarlarını, ödeme ağ geçitleri için genel/özel anahtarları ve daha fazlasını içerebilir.”
“Diğer WooCommerce satıcılarını destekleyen veya onlar için geliştirme yapan herkesi bu bilgileri paylaşmaya ve WooCommerce Payments yüklü müşterilerinin WooCommerce Payments’ın en güncel sürümünü kullandığından emin olmaya teşvik ediyoruz.”
Bu WordPress eklentisinin 500.000’den fazla aktif kurulumu vardır ve mağaza müşterilerine yapılandırması ve yönetimi kolay ödeme kontrolü sağlamak için kullanılabilir.