image

Duizenden webshops door kritiek lek in WooCommerce Payments over te nemen

vrijdag 24 maart 2023, 07:35 door Redactie, 2 reacties
Laatst bijgewerkt: 24-03-2023, 16:00

Duizenden webwinkels zijn door een kritieke kwetsbaarheid in WooCommerce Payments over te nemen. De ontwikkelaar heeft inmiddels een beveiligingsupdate uitgebracht, die bij webshops gehost via WordPress.com automatisch wordt geïnstalleerd. WooCommerce is een plug-in om van WordPress-sites een webwinkel te maken. De plug-in is op meer dan vijf miljoen WordPress-sites geïnstalleerd.

Voor WooCommerce zijn ook weer allerlei plug-ins beschikbaar, waaronder WooCommerce Payments. Deze plug-in maakt het mogelijk om verschillende soorten betalingen in webwinkels te faciliteren. Meer dan vijfhonderdduizend webshops maken er gebruik van. Een kritieke kwetsbaarheid in versie 5.6.1 en eerder maakt het mogelijk voor een ongeauthenticeerde aanvaller om volledige toegang tot het beheerdersaccount te krijgen en zo de website over te nemen. Dat meldt securitybedrijf Wordfence.

De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Gisteren verscheen versie 5.6.2 waarin het probleem is verholpen. In de beschrijving wordt alleen gesproken over "security update". Ook Wordfence wil vanwege de impact nog geen details geven. Uit de versiecijfers van WooCommerce Payments blijkt echter dat een groot aantal webshops een kwetsbare versie draait. Beheerders wordt dan ook met klem aangeraden naar de nieuwste versie te updaten.

Update

De update wordt op alle websites die WooCommerce Payments 4.8.0 tot en met 5.6.1 draaien en op WordPress.com worden gehost automatisch geïnstalleerd, zo meldt de ontwikkelaar. Voor websites die ergens anders worden gehost moet de betreffende beheerder de patch installeren.

Reacties (2)
24-03-2023, 11:59 door Anoniem
Scan eens hier: https://hackertarget.com/wordpress-security-scan/
en via retire.js.

Onbegrijpelijk wel een gelikte site laten ontwerpen voor een duzendje of wat,
en later het onderhoud en updaten vergeten, vanwege beknibbelen op nodige beveiligingskosten.

Maar ja je geeft mensen de beslissingsbevoegdheid, die er geen verstand van hebben
en die er verstand van hebben hebben vaak niets te beslissen. (net als bij politieke netwerken vaak).

De rekening voor al dit soort tekortkomingen zit later altijd onder in de zak.
24-03-2023, 13:43 door Anoniem
Onbegrijpelijk wel een gelikte site laten ontwerpen voor een duzendje of wat,
en later het onderhoud en updaten vergeten, vanwege beknibbelen op nodige beveiligingskosten..

Het overkomt me nog regelmatig. Klanten die een webshop willen en denken dat alles dan vanzelf gaat. Die ik echt uit moet leggen, bijvoorbeeld, dat ze zelf die pakketjes naar de post moeten brengen en dat die postzegel dan geld kost. Maar ook dat ze zelf hun hele systeem moeten bijhouden. Als het inderdaad een project van een paar duizend is, dan krijgen ze zeker waar voor hun geld, want het hele start assortiment zet ik er ook voor ze in. Saai routinewerk, maar het is als wanneer je een auto aflevert en de tank vol zit. Het hoort erbij.

Vaak blijft het echter bij een, overigens altijd gratis, adviesgesprek. Men heeft te vaak gouden bergen ergens vaag gelezen, en begrijpt niet waar men aan begint. Soms verandert het plan dan naar dropshipping. Alleen al omdat dat zo lekker engels klinkt. En opnieuw omdat het dan lijkt dat je inderdaad niks meer zelf hoeft te doen. Terwijl je dan juist eigenlijk enkel het reclamerisico van de leverancier overneemt. En je dus erg goed moet zijn in marketing en traffic trekken. Waarbij de meesten dan niks anders kunnen bedenken dan op social media wat te adverteren (want dat lijkt goedkoop), of dat alles vanzelf gaat als je maar nummer 1 in Google staat. Adverteren bij de twee groten die juist er alles aan doen om al die opgelegde boetes terug te verdienen voor hun aandeelhouders en precies weten wat voor traffic ze moeten sturen om hun eigen inkomsten te maximaliseren. Eén keer raaien wie er dan de vogel voor de kat gaat zijn.

Dan helemaal aan het eind komt ook nog security en privacy aan de beurt. Je gaat gegevens van klanten in de database krijgen. Ook dat komt uitgebreid aan de beurt, in mijn gratis adviesgesprekken. Als er dan nog plek is in de spons.

Er valt veel af op die manier, maar de leukies doe ik meer dan graag. Ook regelmatig even updaten. Of nog leuker als ze dat graag zelf leren.

De rest wil nog wel eens, qua sitebouw, in handen vallen van Garage L&B. Open einde contracten met vette tarieven. Met overigens ook alle security en privacy risicos in de doos met dure strik erom. Garage L&B is trouwens een heel oud Haags geintje. Want dat staat voor list en bedrog. Tot dat daar iemand echt een garage opende die zo heette. En als men dan vroeg waar L&B voor stond zei die man voor "Leuk en Betaalbaar"!

Websites maken is eigenlijk een hondje laten adopteren. Eerst even kijken of de adoptant beseft waar die aan begint. Anders is het zielig voor niet alleen het hondje, maar soms voor het halve internet. Weet die waar die aan begint, dan is leuk en betaalbaar eigenlijk altijd een logisch gevolg. En dan zijn de kunstjes die je kunt leveren het mooiste vak van de wereld.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.