WooCommerce'de 13 Temmuz 2021'de Tespit Edilen Kritik Güvenlik Açığı - Bilmeniz Gerekenler

Son Güncelleme: 23 Temmuz 2021

13 Temmuz 2021'de, WooCommerce ve WooCommerce Blocks özellik eklentisiyle ilgili kritik bir güvenlik açığı tespit edildi ve güvenlik araştırmacısı Josh tarafından HackerOne güvenlik programımız aracılığıyla sorumlu bir şekilde açıklandı.

Sorunu öğrendikten sonra, ekibimiz derhal kapsamlı bir araştırma yaptı, ilgili tüm kod tabanlarını denetledi ve etkilenen her sürüm (90'dan fazla sürüm) için sorunu gidermek üzere güvenlik açığı bulunan mağazalara otomatik olarak dağıtılan bir yama oluşturdu.

Bir WooCommerce mağazam var - hangi işlemleri yapmalıyım?

WooCommerce 5.5.1'e yönelik otomatik yazılım güncellemeleri, her bir eklentinin etkilenen sürümlerini çalıştıran tüm mağazalarda 14 Temmuz 2021'de yayınlanmaya başladı, ancak yine de en son sürümü kullandığınızdan emin olmanızı şiddetle öneririz. WooCommerce için bu, 5.5.2 * veya sürüm şubenizde mümkün olan en yüksek sayıdır . Ayrıca WooCommerce Blocks kullanıyorsanız, bu eklentinin 5.5.1 sürümünü kullanıyor olmalısınız.

Önemli : WooCommerce 5.5.2'nin 23 Temmuz 2021'de yayımlanmasıyla birlikte yukarıda bahsedilen otomatik güncelleme işlemine son verilmiştir.

Yamalı bir sürüme güncelledikten sonra şunları da öneririz:

• Özellikle aynı şifreleri birden fazla web sitesinde tekrar kullanıyorlarsa, sitenizdeki herhangi bir Yönetici kullanıcısının şifrelerini güncelleme
• Sitenizde kullanılan herhangi bir Payment Gateway ve WooCommerce API anahtarını döndürme.

Aşağıda bu adımlar hakkında daha fazla bilgi bulunmaktadır.

* WooCommerce 5.5.2, 23 Temmuz 2021'de yayımlandı. Bu sürümde yer alan düzeltmeler, son güvenlik açığıyla ilgisizdir.

Sürümümün güncel olup olmadığını nasıl anlarım?

Aşağıdaki tablo, hem WooCommerce hem de WooCommerce Blokları için yamalı sürümlerin tam listesini içerir. Bu listede olmayan bir WooCommerce veya WooCommerce Blokları sürümü çalıştırıyorsanız, lütfen sürüm şubenizdeki en yüksek sürüme hemen güncelleyin.

Web sitem neden otomatik güncellemeyi almadı?

Siteniz birkaç nedenden dolayı otomatik olarak güncellenmemiş olabilir, bunlardan birkaçı büyük olasılıkla şunlardır: Etkilenen sürümden önceki bir sürümü çalıştırıyorsunuz (WooCommerce 3.3'ün altında), sitenizde otomatik güncellemeler açıkça devre dışı bırakıldı, dosya sisteminiz salt okunurdur veya güncellemeyi engelleyen potansiyel olarak çakışan uzantılar vardır.

Her durumda (etkilenmediğiniz ilk örnek hariç), sürüm dalınızdaki en yeni yamalı sürüme (örn. 5.5.2, 5.4.2, 5.3.1, vb.) manuel olarak güncellemeyi denemeniz gerekir. yukarıdaki tablo.

Herhangi bir veri tehlikeye girdi mi?

Mevcut mevcut kanıtlara dayanarak, herhangi bir istismarın sınırlı olduğuna inanıyoruz.

Bir mağaza etkilenmişse, ifşa edilen bilgiler o sitenin ne sakladığına özel olacaktır ancak sipariş, müşteri ve yönetim bilgilerini içerebilir.

Mağazamın istismar edilip edilmediğini nasıl kontrol edebilirim?

Bu güvenlik açığının doğası ve WordPress'in (ve dolayısıyla WooCommerce) web isteklerinin işlenmesine izin vermenin son derece esnek yolu nedeniyle, bir açıktan yararlanmayı onaylamanın kesin bir yolu yoktur. Web sunucunuzun erişim günlüklerini inceleyerek (veya bunun için web barındırıcınızdan yardım alarak) bazı istismar girişimlerini tespit edebilirsiniz. Aralık 2019 ile şu an arasında görülen aşağıdaki biçimlerdeki istekler, büyük olasılıkla bir istismar girişimini gösteriyor:

• REQUEST_URI normal ifadeyle eşleşen /\/wp-json\/wc\/store\/products\/collection-data.*%25252.*/
• REQUEST_URI normal ifadeyle eşleşen /.*\/wc\/store\/products\/collection-data.*%25252.*/ (bu ifadenin verimli olmadığını/çoğu günlük kaydı ortamında çalışmasının yavaş olduğunu unutmayın)
• /wp-json/wc/store/products/collection-data veya /?rest_route=/wc/store/products/collection-data için herhangi bir GET olmayan (POST veya PUT) istek

Bu güvenlik açığından yararlandığını gördüğümüz istekler, %98'den fazlası listede ilk sırada yer alan aşağıdaki IP adreslerinden gelmektedir. Erişim günlüklerinizde bu IP adreslerinden herhangi birini görürseniz, güvenlik açığından yararlanıldığını varsaymalısınız:

• 137.116.119.175
• 162.158.78.41
• 103.233.135.21

Hangi şifreleri değiştirmem gerekiyor?

Karma olduğu için şifrenizin güvenliğinin ihlal edilmiş olması pek olası değildir.

WordPress kullanıcı şifreleri tuzlar kullanılarak hashlenir, bu da sonuçta elde edilen hash değerinin kırılmasının çok zor olduğu anlamına gelir. Bu tuzlu karma yaklaşımı, bir yönetici kullanıcı olarak parolanızı ve ayrıca müşteriler de dahil olmak üzere sitenizdeki diğer kullanıcıların parolalarını korur. Veritabanınızda depolanan parolanızın karma sürümüne bu güvenlik açığı aracılığıyla erişilmiş olabilir, ancak karma değeri ayırt edilemez olmalı ve yine de parolalarınızı yetkisiz kullanıma karşı korumalıdır.

Bu, sitenizin kullanıcılar için standart WordPress şifre yönetimini kullandığını varsayar. Sitenize yüklediğiniz eklentilere bağlı olarak, daha az güvenli yollarla saklanan parolalarınız veya diğer hassas bilgileriniz olabilir.

Sitenizdeki Yönetici kullanıcılardan herhangi biri aynı parolaları birden çok web sitesinde yeniden kullanmış olabilirse, kimlik bilgilerinin başka bir yerde ele geçirilmesi ihtimaline karşı bu parolaları güncellemenizi öneririz.

Ayrıca WordPress/WooCommerce veritabanınızda depolanan özel veya gizli verileri değiştirmenizi öneririz. Bu, belirli mağaza yapılandırmanıza bağlı olarak API anahtarlarını, ödeme ağ geçitleri için genel/özel anahtarları ve daha fazlasını içerebilir.

Bir uzantı geliştiricisi veya hizmet sağlayıcısı olarak WooCommerce satıcılarımızı uyarmalı mıyız?

Herhangi bir canlı WooCommerce mağazası veya satıcısı ile çalışıyorsanız, bu sorun hakkında bilgi sahibi olduklarından emin olmak ve/veya mağazalarını güvenli bir sürüme güncellemek için onlarla birlikte çalışmanızı öneririz.

WooCommerce API'sine dayanan bir uzantı oluşturduysanız veya bir SaaS hizmeti sunuyorsanız, satıcıların hizmetinize bağlanmak için anahtarları sıfırlamasına yardımcı olmanızı öneririz.

Bir mağaza sahibi olarak müşterilerimi uyarmalı mıyım?

Müşterilerinizi uyarıp uyarmamak nihayetinde size kalmış. Müşterileri bilgilendirme veya şifre gibi şeyleri sıfırlama yükümlülükleriniz, site altyapınız, sizin ve müşterilerinizin coğrafi olarak nerede bulunduğu, sitenizin hangi verileri topladığı ve sitenizin güvenliğinin ihlal edilip edilmediği gibi ayrıntılara bağlı olarak değişecektir.

Müşterilerinizi korumak için yapabileceğiniz en önemli eylem, WooCommerce sürümünüzü bu güvenlik açığı için düzeltme eklenmiş bir sürüme güncellemektir.

Güncellemeden sonra şunları öneririz:

• Özellikle aynı şifreleri birden fazla web sitesinde yeniden kullanıyorsanız, sitenizdeki herhangi bir Yönetici kullanıcısının şifrelerini güncelleme
• Sitenizde kullanılan herhangi bir Payment Gateway ve WooCommerce API anahtarını döndürme.

Mağaza sahibi olarak, müşterilerinizin şifrelerini sıfırlamak gibi ek önlemler alıp almamak sizin kararınızdır. WordPress (ve dolayısıyla WooCommerce) kullanıcı şifreleri, tuzlar kullanılarak hashlenir, bu da sonuçta elde edilen hash değerinin kırılmasının çok zor olduğu anlamına gelir. Bu tuzlanmış hash yaklaşımı, müşterilerinizin şifreleri de dahil olmak üzere sitenizdeki tüm kullanıcı şifrelerine uygulanır.

WooCommerce'i kullanmak hala güvenli mi?

Evet.

Bunun gibi olaylar nadirdir, ancak ne yazık ki bazen olur. Niyetimiz her zaman anında yanıt vermek ve tam bir şeffaflık içinde çalışmaktır.

Güvenlik açığının öğrenilmesinden bu yana ekip, bir düzeltmenin yapıldığından ve kullanıcılarımızın bilgilendirildiğinden emin olmak için gece gündüz çalıştı.

Platform güvenliğine devam eden yatırımımız, sorunların büyük çoğunluğunu önlememize izin veriyor - ancak mağazaları etkileyebilecek nadir durumlarda, hızlı bir şekilde düzeltmeye, proaktif olarak iletişim kurmaya ve WooCommerce Topluluğu ile işbirliği içinde çalışmaya çalışıyoruz.

Ya hala sorularım varsa?

Bu konuyla ilgili başka endişeleriniz veya sorularınız varsa, Mutluluk Mühendisleri ekibimiz yardıma hazırdır - bir destek bileti açın.