WordPress eklentilerindeki diğer kişilerin WordPress sitenizi kurcalamasına izin verebilecek güvenlik açıkları her zaman kötü haberdir.
Yürüttüğünüz tek şey, müşteri hesapları olmayan ve adlar ve e-posta adresleri gibi kişisel bilgileri toplamayan veya işlemeyen temel bir kurulum olsa bile…
…Başka birinin içeriğinizle uğraştığını, sahte bağlantıları teşvik ettiğini veya sizin adınıza sahte haberler yayınladığını bilmek bile yeterince endişe verici.
Ancak, sitenizdeki çevrimiçi ödemeleri desteklemek için kullandığınız eklentilerdeki güvenlik açıkları, tamamen başka bir endişe düzeyidir.
Ne yazık ki, popüler e-ödeme platformu WooCommerce henüz bildirilmiş kullanıcılar aşağıdaki gibidir:
2023 tarihinde, WooCommerce Payments içinde, kötüye kullanılması durumunda etkilenen mağazalara yetkisiz yönetici erişimine izin verebilecek bir güvenlik açığı keşfedildi. Etkilenen hizmetleri derhal devre dışı bıraktık ve sorunu WordPress.com, Pressable ve [WordPress VIP] üzerinde barındırılan tüm web siteleri için hafiflettik.
Neyse ki, hata, İsviçreli bir güvenlik araştırmacısı tarafından yürütülen resmi olarak onaylanmış bir sızma testinin parçası olarak bulundu ve WooCommerce, kusuru kendileri öğrenmeden önce kimsenin çözemediğinden emin görünüyor:
Güvenlik açığı bildirilir bildirilmez, herhangi bir verinin açığa çıkıp çıkmadığını veya güvenlik açığından yararlanılıp yararlanılmadığını belirlemek için bir araştırma başlattık. Şu anda güvenlik açığının kendi güvenlik testi programımızın dışında kullanıldığına dair bir kanıtımız yok. Bir düzeltme gönderdik ve WooCommerce Payments 4.8.0 ila 5.6.1 çalıştıran siteleri yamalı sürümlere otomatik güncellemek için WordPress.org Eklenti Ekibi ile birlikte çalıştık. Güncelleme şu anda mümkün olduğu kadar çok mağazaya otomatik olarak dağıtılıyor.
Parolaları değiştirmek ya da değiştirmemek?
İlginç bir şekilde, WooCommerce, saldırganlar bu güvenlik açığını bulup kullansalar bile, oturum açma parolalarınız hakkında çalabilecekleri tek bilginin sözde olacağını öne sürüyor. tuzlu şifre karmalarıve böylece şirket şunu yazdı: "şifrenizin güvenliğinin ihlal edilmiş olması pek olası değil".
Sonuç olarak, standart WordPress şifre yönetim sistemini kullandığınız ve WooCommerce'in kefil olamayacağı şifreleri ele almanın alternatif bir yolunu kullanmadığınız sürece, yönetici şifrenizi değiştirmeden kurtulabileceğinize dair ilginç bir tavsiye sunuyor. ve [b] aynı parolayı birden çok hizmette kullanma alışkanlığınız yok.
Sorduğumuz için bizi bağışlayın, ama siz şifreleri herhangi bir site arasında paylaşmayın, yönetici hesabı şifresini e-ticaret sisteminize paylaşmak şöyle dursun, değil mi?
Ancak, şirket sizden "WordPress/WooCommerce veritabanınızda depolanan tüm özel veya gizli verileri değiştirin[e]", özellikle kimlik doğrulama belirteçleri, oturum tanımlama bilgileri veya API anahtarları gibi veriler dahil olmak üzere - tarayıcınızın (veya diğer yazılımların) anında erişim elde etmek için gelecekteki web isteklerine ekleyebileceği, esasen geçici parolalara verilen jargon adları.
Bu "yarı zamanlı parolalar", sizi gerçek birincil parolanızı her biriyle paylaşmaya zorlamadan, sunucunun sizin ve önceden yetkilendirilmiş uygulamalarınıza güvenilebilmesi için yeterince yakın bir zamanda tam oturum açma sürecinden geçtiğinizi anlamasına olanak tanır. sizin adınıza programatik isteklerde bulunacak olan uygulama veya tarayıcı sekmesi.
Genellikle kimlik doğrulama belirteçlerini, her seferinde yazmanıza gerek kalmadan kullanabilmeleri için diğer uygulamalara kopyalayıp yapıştırmanız gerektiğinden, bunlar genellikle düz metin biçiminde depolanır, sizinki gibi tuzlanmış ve karma biçimde değil birincil şifre.
Basitçe söylemek gerekirse, hesabınıza yönetici düzeyinde erişimi olan suçlular birincil parolanızın gerçek metnini alamasalar da genellikle herhangi bir kimlik doğrulamasının düz metnini elde edebilirler (ve eğer böyle bir şans verilirse alacaklardır). hesabınız için oluşturduğunuz jetonlar.
"Doğrulama belirteci" süreci, bir ofis binasındaki resepsiyonu geçmek için tam fotoğraflı bir kimlik göstermek zorunda kalmaya benzer, ardından size istediğiniz kadar içeri ve dışarı kaydırmanıza izin verecek bir erişim kartı verilir. ve sadece sınırlı bir süre için de olsa binanın içinde dolaşmak.
Birisi fotoğraflı kimliğinizi çalarsa, tıpkı size benzemediği sürece bu onlara pek bir fayda sağlamayacaktır, çünkü bunu sunarken ayrıntılar dikkatle incelenecektir.
Ancak, siz binanın içindeyken giriş kartınızı ele geçirirlerse, siz olduğunuz kisvesi altında gizlice dolaşabilirler, çünkü giriş kartını almanın nispeten zor olması, bunun güvenilir bir yol olduğu varsayıldığı anlamına gelir. en azından geçici olarak sizi tanımlamanın.
Ne yapalım?
- WooCommerce Payments WordPress eklentisinin yamalı bir sürümüne sahip olup olmadığınızı kontrol edin. Şirket, WordPress, Pressable ve WordPress VIP tarafından barındırılan sitelerin sizin için zaten güncellenmiş olması gerektiğini iddia ediyor, ancak yine de kontrol etmenizi öneririz. Nasıl kontrol edileceğine (ve gerekirse nasıl yama yapılacağına) ilişkin talimatlar WooCommerce'de bulunabilir. geliştirici blogu. Şirketin 4.8.x'ten 5.6.x'e kadar resmi olarak desteklenen dokuz (!) ürün sürümünün her birinin kendi güncellemesi vardır.
- Sitenizdeki tüm yöneticilerin şifrelerini değiştirmelerini sağlayın. WooCommerce, şifrenizi değiştirmeseniz bile sorun yaşamamanız gerektiğini önerir, çünkü saldırganların önce çalınan şifre karmalarını kırması gerekir. Ancak parola karmalarınızın en başta açığa çıkma riski altında olmaması gerekiyordu, bu nedenle bunları şimdi değiştirmek mantıklı bir önlemdir. Siber suçluların çalınan sağlamaları hemen kırmak zorunda olmadığını unutmayın. Hesaplandıkları parolaları değiştirerek bu karmaları geçersiz kılmaya başlamadan önce yalnızca bir veya daha fazlasını kırmaları gerekir.
- Mevcut tüm Ödeme Ağ Geçidi ve WooCommerce API anahtarlarını iptal edin. WooCoomerce'de açıklandığı gibi yeni anahtarlar oluşturun. belgeleme, böylece tehlikeye atılmış herhangi bir kimlik doğrulama verisi, onu almış olabilecek dolandırıcılar için işe yaramaz.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. Buradan Erişin.
- Kaynak: https://nakedsecurity.sophos.com/2023/03/24/woocommerce-payments-plugin-for-wordpress-has-an-admin-level-hole-patch-now/
