Duizenden webshops door kritiek lek in WooCommerce Payments over te nemen
Duizenden webwinkels zijn door een kritieke kwetsbaarheid in WooCommerce Payments over te nemen. De ontwikkelaar heeft inmiddels een beveiligingsupdate uitgebracht, die bij webshops gehost via WordPress.com automatisch wordt geïnstalleerd. WooCommerce is een plug-in om van WordPress-sites een webwinkel te maken. De plug-in is op meer dan vijf miljoen WordPress-sites geïnstalleerd.
Voor WooCommerce zijn ook weer allerlei plug-ins beschikbaar, waaronder WooCommerce Payments. Deze plug-in maakt het mogelijk om verschillende soorten betalingen in webwinkels te faciliteren. Meer dan vijfhonderdduizend webshops maken er gebruik van. Een kritieke kwetsbaarheid in versie 5.6.1 en eerder maakt het mogelijk voor een ongeauthenticeerde aanvaller om volledige toegang tot het beheerdersaccount te krijgen en zo de website over te nemen. Dat meldt securitybedrijf Wordfence.
De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Gisteren verscheen versie 5.6.2 waarin het probleem is verholpen. In de beschrijving wordt alleen gesproken over "security update". Ook Wordfence wil vanwege de impact nog geen details geven. Uit de versiecijfers van WooCommerce Payments blijkt echter dat een groot aantal webshops een kwetsbare versie draait. Beheerders wordt dan ook met klem aangeraden naar de nieuwste versie te updaten.
Update
De update wordt op alle websites die WooCommerce Payments 4.8.0 tot en met 5.6.1 draaien en op WordPress.com worden gehost automatisch geïnstalleerd, zo meldt de ontwikkelaar. Voor websites die ergens anders worden gehost moet de betreffende beheerder de patch installeren.
en via retire.js.
Onbegrijpelijk wel een gelikte site laten ontwerpen voor een duzendje of wat,
en later het onderhoud en updaten vergeten, vanwege beknibbelen op nodige beveiligingskosten.
Maar ja je geeft mensen de beslissingsbevoegdheid, die er geen verstand van hebben
en die er verstand van hebben hebben vaak niets te beslissen. (net als bij politieke netwerken vaak).
De rekening voor al dit soort tekortkomingen zit later altijd onder in de zak.
en later het onderhoud en updaten vergeten, vanwege beknibbelen op nodige beveiligingskosten..
Het overkomt me nog regelmatig. Klanten die een webshop willen en denken dat alles dan vanzelf gaat. Die ik echt uit moet leggen, bijvoorbeeld, dat ze zelf die pakketjes naar de post moeten brengen en dat die postzegel dan geld kost. Maar ook dat ze zelf hun hele systeem moeten bijhouden. Als het inderdaad een project van een paar duizend is, dan krijgen ze zeker waar voor hun geld, want het hele start assortiment zet ik er ook voor ze in. Saai routinewerk, maar het is als wanneer je een auto aflevert en de tank vol zit. Het hoort erbij.
Vaak blijft het echter bij een, overigens altijd gratis, adviesgesprek. Men heeft te vaak gouden bergen ergens vaag gelezen, en begrijpt niet waar men aan begint. Soms verandert het plan dan naar dropshipping. Alleen al omdat dat zo lekker engels klinkt. En opnieuw omdat het dan lijkt dat je inderdaad niks meer zelf hoeft te doen. Terwijl je dan juist eigenlijk enkel het reclamerisico van de leverancier overneemt. En je dus erg goed moet zijn in marketing en traffic trekken. Waarbij de meesten dan niks anders kunnen bedenken dan op social media wat te adverteren (want dat lijkt goedkoop), of dat alles vanzelf gaat als je maar nummer 1 in Google staat. Adverteren bij de twee groten die juist er alles aan doen om al die opgelegde boetes terug te verdienen voor hun aandeelhouders en precies weten wat voor traffic ze moeten sturen om hun eigen inkomsten te maximaliseren. Eén keer raaien wie er dan de vogel voor de kat gaat zijn.
Dan helemaal aan het eind komt ook nog security en privacy aan de beurt. Je gaat gegevens van klanten in de database krijgen. Ook dat komt uitgebreid aan de beurt, in mijn gratis adviesgesprekken. Als er dan nog plek is in de spons.
Er valt veel af op die manier, maar de leukies doe ik meer dan graag. Ook regelmatig even updaten. Of nog leuker als ze dat graag zelf leren.
De rest wil nog wel eens, qua sitebouw, in handen vallen van Garage L&B. Open einde contracten met vette tarieven. Met overigens ook alle security en privacy risicos in de doos met dure strik erom. Garage L&B is trouwens een heel oud Haags geintje. Want dat staat voor list en bedrog. Tot dat daar iemand echt een garage opende die zo heette. En als men dan vroeg waar L&B voor stond zei die man voor "Leuk en Betaalbaar"!
Websites maken is eigenlijk een hondje laten adopteren. Eerst even kijken of de adoptant beseft waar die aan begint. Anders is het zielig voor niet alleen het hondje, maar soms voor het halve internet. Weet die waar die aan begint, dan is leuk en betaalbaar eigenlijk altijd een logisch gevolg. En dan zijn de kunstjes die je kunt leveren het mooiste vak van de wereld.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.