Automattic, công ty đứng sau hệ thống quản lý nội dung WordPress, buộc phải cài đặt bản cập nhật bảo mật trên hàng trăm nghìn trang web chạy Thanh toán WooC Commerce rất phổ biến cho các cửa hàng trực tuyến.
Bản vá giải quyết một lỗ hổng nghiêm trọng có thể cho phép những kẻ tấn công không được xác thực có quyền truy cập của quản trị viên vào các cửa hàng dễ bị tấn công.
Lỗ hổng này đã được báo cáo bởi Michael Mazzolini của GoldNetwork và nó ảnh hưởng đến Thanh toán WooC Commerce 4.8.0 trở lên.
WordFence cho biết những kẻ tấn công không được xác thực có thể khai thác lỗi này để "mạo danh quản trị viên và chiếm hoàn toàn một trang web mà không cần bất kỳ tương tác nào của người dùng hoặc kỹ thuật xã hội", trong khi Patchstack cảnh báo rằng vì "lỗ hổng này không yêu cầu xác thực nên rất có khả năng nó sẽ tấn công hàng loạt". khai thác rất sớm."
Nhóm WooC Commerce đã vá lỗi này trong các bản cập nhật bảo mật được phát hành vào đầu ngày hôm nay và cho biết họ không tìm thấy bất kỳ bằng chứng nào cho thấy lỗi nghiêm trọng này đang được nhắm mục tiêu hoặc khai thác ngoài thực tế.
"Tại thời điểm này, chúng tôi không có bằng chứng nào cho thấy lỗ hổng đã bị khai thác ngoài việc xác định nó trong chương trình kiểm tra bảo mật của riêng chúng tôi. Chúng tôi không tin rằng bất kỳ dữ liệu khách hàng hoặc cửa hàng nào bị xâm phạm do lỗ hổng này", Beau Lebens, Trưởng phòng Kỹ thuật tại cho biết . Thương mại điện tử.
"Chúng tôi đã ngay lập tức hủy kích hoạt các dịch vụ bị ảnh hưởng và giảm thiểu sự cố cho tất cả các trang web được lưu trữ trên WordPress.com, Pressable và WPVIP."
Các cửa hàng trực tuyến WooC Commerce dễ bị tổn thương được lưu trữ trên WordPress.com đang trong quá trình cập nhật hoặc đã được cập nhật để vá lỗ hổng.
"Chúng tôi đã gửi bản sửa lỗi và làm việc với Nhóm plugin WordPress.org để tự động cập nhật các trang web chạy WooC Commerce Payments 4.8.0 đến 5.6.1 thành các phiên bản đã vá lỗi. Bản cập nhật hiện đang được tự động triển khai tới nhiều cửa hàng nhất có thể," Lebens thêm.
Quản trị viên lưu trữ cài đặt WordPress trên máy chủ của riêng họ sẽ phải cập nhật WooC Commerce theo cách thủ công bằng quy trình sau:
Các phiên bản Thanh toán WooC Commerce đã vá: 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2 và 5.6.2.
Sau khi đảm bảo an toàn cho cửa hàng của mình, quản trị viên nên kiểm tra người dùng quản trị mới được thêm vào và các bài đăng đáng ngờ được thêm vào trang web của họ.
Nếu tìm thấy bất kỳ bằng chứng nào về hoạt động không mong muốn, bạn nên cập nhật ngay lập tức tất cả mật khẩu quản trị viên và xoay các khóa API Cổng thanh toán và WooC Commerce.
"Chúng tôi cũng khuyên bạn nên thay đổi mọi dữ liệu riêng tư hoặc bí mật được lưu trữ trong cơ sở dữ liệu WordPress/WooC Commerce của bạn. Điều này có thể bao gồm khóa API, khóa công khai/riêng tư cho cổng thanh toán, v.v., tùy thuộc vào cấu hình cửa hàng cụ thể của bạn", Lebens nói.
"Chúng tôi khuyến khích bất kỳ ai hỗ trợ hoặc phát triển cho những người bán WooC Commerce khác chia sẻ thông tin này và để đảm bảo rằng những khách hàng của họ đã cài đặt Thanh toán WooC Commerce đang sử dụng phiên bản cập nhật nhất của Thanh toán WooC Commerce."
Plugin WordPress này có hơn 500.000 lượt cài đặt đang hoạt động và có thể được sử dụng để cung cấp cho khách hàng của cửa hàng tính năng dễ định cấu hình và quản lý thanh toán.
Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.