Crédit : DrDrawer/ Shutterstock
WooCommerce, un plug-in populaire pour l’exécution de WordPress- basées sur des boutiques en ligne, consiste en une vulnérabilité importante qui pourrait permettre à des attaquants de prendre le contrôle de sites Web. Les détails techniques sur la vulnérabilité n’ont en fait pas encore été publiés, mais l’équipe WooCommerce a lancé des mises à jour et les assaillants pourraient faire de l’ingénierie inverse.
» Ce que nous savons pour le moment est limité, ce que nous comprenons, c’est que la vulnérabilité permet une prise de contrôle administrative non authentifiée de sites », ont déclaré des scientifiques de la société de sécurité Web Sucuri dans un article de blog. » Il est recommandé aux administrateurs de sites Web utilisant ce plugin de publier le correctif le plus rapidement possible et de rechercher toute activité suspecte sur leurs sites Web WordPress, telle que toute action administrative effectuée à partir d’adresses IP non reconnues. «
WooCommerce est un service ouvert -plate-forme de commerce électronique source construite sur WordPress qui est détenue et conservée par Automattic, la société qui est également derrière WordPress elle-même. Le plug-in WooCommerce Payments, qui comprend la vulnérabilité, compte actuellement plus de 500 000 configurations actives.
Le Les développeurs de WooCommerce ont annoncé que les sites hébergés sur WordPress.com, Pressable et WPVIP – les services d’hébergement WordPress gérés – ont été instantanément mis à niveau. Tous les autres sites doivent appliquer immédiatement la mise à niveau pour leur variante particulière, s’ils ne disposent pas de mises à jour automatisées.
La vulnérabilité affecte toutes les variantes de WooCommerce Payments depuis la version 4.8.0, qui a été publiée à fin septembre. Automattic a lancé les variantes corrigées suivantes : 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2 et 5.6.2.
Lorsque WooCommerce a été mis à niveau vers une version corrigée, les administrateurs doivent examiner leurs sites pour détecter tout utilisateur ou message administrateur inattendu. Si une activité suspecte est détectée, les concepteurs de WooCommerce conseillent de modifier les mots de passe de tous les utilisateurs administrateurs sur le site Web, en plus des secrets d’API pour WooCommerce et des entrées de paiement.
« Les mots de passe des utilisateurs WordPress sont hachés à l’aide de sels, ce qui implique que la valeur de hachage résultante est vraiment difficile à déchiffrer « , ont déclaré les concepteurs de WooCommerce. » Cette approche de hachage salé protège votre mot de passe en tant qu’utilisateur administrateur, ainsi que les mots de passe de tous les autres utilisateurs de votre site, composés de clients. Bien qu’il soit possible que la version hachée de votre mot de passe conservée dans votre base de données ait été accessible via cette vulnérabilité , la valeur de hachage doit être indiscernable et toujours protéger vos mots de passe contre toute utilisation non autorisée. «
Cependant, il convient de noter que cela n’utilise que les hachages de mots de passe stockés à l’aide du système d’authentification de base de WordPress. D’autres plug-ins peuvent utiliser des qualifications, des jetons et des clés API qui sont conservés dans la base de données sans hachage. Les administrateurs doivent évaluer les astuces qu’ils ont éventuellement dans leur base de données et les faire pivoter.
» Vous pouvez également prendre l’étape supplémentaire de modifier les sels dans votre fichier wp-config. php si vous souhaitez prendre une sécurité supplémentaire « , ont déclaré les scientifiques de Sucuri.
Aucun signe que la vulnérabilité de WooCommerce a été exploitée
WooCommerce a déclaré qu’il ne pense pas que cette vulnérabilité a été utilisée pour compromettre les données des magasins ou des clients, mais les commerçants souhaitera peut-être suivre l’évolution de cet incident. La vulnérabilité a été signalée indépendamment via le programme de primes de bogues d’Automattic sur HackerOne. Bien que les détails techniques n’aient pas encore été révélés, ils le seront probablement dans 2 semaines sur la base de la politique de divulgation.
Les chercheurs de Sucuri ont actuellement souligné que la vulnérabilité était très probablement dans un fichier appelé class-platform -session de paiement. php, qui semble en fait avoir été entièrement éliminé dans la version couverte. Il est pour cette raison possible pour les pirates expérimentés de découvrir la vulnérabilité et comment l’exploiter par eux-mêmes puisqu’ils savent où chercher.
Les sites Web WordPress ont en fait traditionnellement été une cible attrayante pour les attaquants, avec de nombreuses vulnérabilités exploité au fil des années dans la plate-forme elle-même, en plus de ses nombreux plug-ins et thèmes tiers.
Toute l’actualité en temps réel, est sur L’Entrepreneur