Automattic, perusahaan di belakang sistem manajemen konten WordPress, memasang paksa pembaruan keamanan di ratusan ribu situs web yang menjalankan Pembayaran WooCommerce yang sangat populer untuk toko online.
Tambalan tersebut mengatasi kerentanan kritis yang memungkinkan penyerang yang tidak diautentikasi mendapatkan akses admin ke toko yang rentan.
Cacat ini dilaporkan oleh Michael Mazzolini dari GoldNetwork, dan memengaruhi Pembayaran WooCommerce 4.8.0 dan lebih tinggi.
WordFence kata penyerang yang tidak diautentikasi dapat mengeksploitasi bug untuk “menyamar sebagai administrator dan sepenuhnya mengambil alih situs web tanpa memerlukan interaksi pengguna atau rekayasa sosial”, sementara Patchstack memperingatkan bahwa karena “kerentanan ini tidak memerlukan autentikasi, kemungkinan besar kerentanan ini akan segera dieksploitasi secara massal.”
Tim WooCommerce menambalnya dalam pembaruan keamanan dikeluarkan lebih awal hari ini dan mengatakan belum menemukan bukti bahwa bug kritis ini ditargetkan atau dieksploitasi di alam liar.
“Saat ini kami tidak memiliki bukti bahwa kerentanan dieksploitasi selain mengidentifikasinya dalam program pengujian keamanan kami sendiri. Kami tidak yakin ada toko atau data pelanggan yang disusupi sebagai akibat dari kerentanan ini,” dikatakan Beau Lebens, Kepala Teknik di WooCommerce.
“Kami segera menonaktifkan layanan yang terkena dampak dan memitigasi masalah untuk semua situs web yang dihosting di WordPress.com, Pressable, dan WPVIP.”
Pembaruan keamanan diluncurkan ke beberapa situs yang rentan
Toko online WooCommerce yang rentan yang dihosting di WordPress.com sedang dalam proses pembaruan atau telah diperbarui untuk menambal kerentanan.
“Kami mengirimkan perbaikan dan bekerja dengan Tim Plugin WordPress.org untuk memperbarui situs secara otomatis yang menjalankan Pembayaran WooCommerce 4.8.0 hingga 5.6.1 ke versi yang ditambal. Pembaruan saat ini sedang diluncurkan secara otomatis ke sebanyak mungkin toko,” Lebens ditambahkan.
Admin yang menghosting instalasi WordPress di server mereka sendiri harus memperbarui WooCommerce secara manual menggunakan prosedur berikut:
- Dari dasbor WP Admin Anda, klik Plugin item menu dan mencari Pembayaran WooCommerce dalam daftar plugin Anda.
- Nomor versi harus ditampilkan di Keterangan kolom di sebelah nama plugin. Jika nomor ini cocok dengan salah satu versi tambalan yang tercantum di bawah ini, tidak diperlukan tindakan lebih lanjut.
- Jika versi baru tersedia untuk diunduh, Anda akan melihat pemberitahuan yang memandu Anda perbarui Pembayaran WooCommerce – silakan lanjutkan dan lakukan.
Versi Pembayaran WooCommerce yang ditambal: 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2, dan 5.6.2.
Periksa tanda-tanda kompromi
Setelah mengamankan toko mereka, admin disarankan untuk memeriksa pengguna admin yang baru ditambahkan, dan postingan mencurigakan yang ditambahkan ke situs web mereka.
Jika Anda menemukan bukti aktivitas yang tidak terduga, Anda harus segera memperbarui semua kata sandi admin dan memutar Gerbang Pembayaran dan kunci API WooCommerce.
“Kami juga menyarankan untuk mengubah data pribadi atau rahasia apa pun yang disimpan di database WordPress/WooCommerce Anda. Ini mungkin termasuk kunci API, kunci publik/pribadi untuk gateway pembayaran, dan banyak lagi, tergantung pada konfigurasi toko khusus Anda,” kata Lebens.
“Kami mendorong siapa pun yang mendukung atau mengembangkan untuk pedagang WooCommerce lainnya untuk membagikan informasi ini dan untuk memastikan bahwa klien mereka yang menginstal Pembayaran WooCommerce menggunakan versi terbaru dari Pembayaran WooCommerce.”
Plugin WordPress ini memiliki lebih dari 500.000 instalasi aktif dan dapat digunakan untuk menyediakan pelanggan toko dengan konfigurasi yang mudah dan mengelola checkout pembayaran.
