Schwere Sicherheitslücke in Woocommerce: Shop-Betreiber sollten dringend updaten
Sicherheistforscher haben am 13. Juli 2021 eine kritische Sicherheitslücke in Woocommerce und Woocommerce Blocks entdeckt. Mehr als 90 Versionen des Shopping-Plugins für WordPress sind von der SQL-Injection-Lücke betroffen. Nachdem das Open-Source-Projekt über das Problem informiert wurde, hat das Team Sicherheitspatches für sämtliche betroffenen Versionen veröffentlicht. Nutzerinnen und Nutzer sind dazu angehalten, auf die jeweils neuste Unterversion ihrer jeweiligen Woocommerce-Installation upzudaten. Das Update schließt die jetzt entdeckte Sicherheitslücke. Grundsätzlich empfehlen die Woocommerce-Macher Nutzerinnen und Nutzern älterer Release-Versionen jedoch gleich den Umstieg auf die aktuelle Version 5.5.1.
Wie stark die Sicherheitslücke bereits ausgenutzt wurde, ist derzeit noch unklar. Das Woocommerce-Team untersucht die Frage derzeit noch. Nach Angaben des ursprünglichen Entdeckers könnte die Lücke zwar durchaus schon von Kriminellen ausgenutzt worden sein, der auf WordPress-Sicherheit spezialisierte Anbieter Wordfence hat nach Unternehmensangaben jedoch bislang nur „extrem begrenzte Beweise“ dafür gefunden. Alle zum jetzigen Zeitpunkt von Wordfence aufgedeckten Angriffe scheinen von nur drei unterschiedlichen IP-Adressen auszugehen.
Woocommerce-Sicherheitslücke: So erkennt ihr Angriffe
Falls ihr glaubt, dass eure Seite betroffen sein könnte, solltet ihr nach Ansicht von Wordfence eure Log-Files nach Anfragen auf /wp-json/wc/store/products/collection-data oder est_route=/wc/store/products/collection-data untersuchen. Außerdem sollen auch Abfrage-Strings, die %2525 enthalten, ein guter Indikator dafür sein, dass ein Angriff stattgefunden hat. Solltet ihr betroffen sein, empfiehlt das Woocommerce-Team dringend die Änderung des Administrator-Passworts nach dem Einspielen des Sicherheits-Updates.
Welche Daten ein Angreifer erbeutet haben könnte, hängt von dem jeweiligen Ziel ab. Nach Ansicht der Woocommerce-Macher könnten sich darunter aber auch Bestellinformationen und Kundendaten befinden.
Vielen Dank für diese nützliche Info.
Um die Sache noch etwas übersichtlicher zu gestalten, würde ich vorschlagen unter „Entwicklung & Design“ einen Tag namens „WordPress“ anzulegen. Das würde mir sehr helfen.
Ich nehme alles zurück. Man hat bereits die Möglichkeit die WordPress-Posts zu filtern indem man über „CMS“ und im Anschluss „WordPress“ geht.
trotzdem danke