WooCommerce : mise à jour importante pour corriger une faille de sécurité critique

WooCommerce, l’une des extensions les plus téléchargées sur WordPress pour créer son site e-commerce, a imposé à ses utilisateurs une mise à jour de sécurité après la découverte d’une vulnérabilité critique qui aurait pu exposer 5 millions de sites e-commerce au vol de données.

Benjamin Bueno CEO Textone & WordPress Pirate
Benjamin Bueno

Expert Cybersécurité

28 juillet, 2021
WooCommerce, l’une des extensions les plus téléchargées sur WordPress pour créer son site e-commerce, a imposé à ses utilisateurs une mise à jour de sécurité après la découverte d’une vulnérabilité critique qui aurait pu exposer 5 millions de sites e-commerce au vol de données.

Une faille de sécurité découverte dans le plugin WooCommerce

WooCommerce est l’un des plugins les plus célèbres de WordPress. Cette extension disponible en open source depuis 2011 permet aux utilisateurs de WordPress de créer facilement leur boutique en ligne. 

Il y a quelques jours, WooCommerce a découvert une faille de sécurité critique dans plus de 90 versions du plugin. Avec plus de 5 millions d’installations, cette faille de sécurité aurait pu avoir un impact très grave si elle n’avait pas été aperçue ou corrigée. D’autant plus que le bug concerné affecte également, selon WooCommerce, le plugin WooCommerce Blocks, dédié à l’affichage des produits et articles sur les pages de site e-commerce. Ainsi, les versions 3.3 à 5.5 de WooCommerce et 2.5 à 5.5 de WooCommerce Blocks sont concernés par la faille de sécurité. 

D’après Patchstack, une entreprise qui protège les sites WordPress contre les failles de sécurité des plugins, le score de gravité de cette vulnérabilité est de 8,2 sur 10 ! Cette faille de sécurité permettrait en effet aux pirates et hackers d’injecter du code malveillant dans une requête SQL sans avoir besoin de s’authentifier. Autrement dit, les hackers pourraient entrer dans le code de la boutique en ligne et obtenir des informations critiques sur le magasin, le commerçant, les commandes et les clients, voire même les données bancaires !

Une prime de 500$ sera attribuée au chercheur en sécurité à l’origine de la découverte de la faille de sécurité. Celui-ci fait partie du programme de sécurité HackerOne de WooCommerce. Il a identifié la faille de sécurité le 13 juillet dernier.

demandez la réparation de votre site à un expert

Votre site web redirige vers des pages malveillantes, comme des sites de rencontre ou des publicités pour de faux produits ?

La page d’accueil a été modifiée ou a été remplacée par une autre page, comme une page à caractère islamique avec message de rançon ? 

 Un code erreur apparait à la place de votre page d’accueil ? 

Les pages de votre site internet sont anormalement lentes ? 

Votre site web mine des crypto monnaies à votre insu ?

 

Pour confirmer que votre site a bien été piraté et trouver une solution, faites appel à nos experts. 

WordPress Piraté vous propose ses services de protection et de réparation de votre site web piraté. Faites-nous confiance et confiez-nous la protection de votre site pour éviter les attaques malveillantes !

Comment protéger ses données WooCommerce ?

mettre à jour WooCommerce
mettre-a-jour-WooCommerce

WooCommerce a corrigé cette faille de sécurité dans sa dernière version des deux plugins (WooCommerce et WooCommerce Blocks), la version 5.5.1. Tous les sites hébergés sur WordPress.com et WordPress VIP ont, à ce jour, déjà reçu le correctif. Pour les autres boutiques en ligne exploitant les plugins WooCommerce et WooCommerce Blocks, les corrections sont en cours de déploiement. Tous les administrateurs du plugin ont d’ailleurs été avertis de cette faille de sécurité dès sa découverte par WooCommerce. Si vous n’avez pas encore reçu le correctif, la meilleure chose à faire est de télécharger la dernière version de WooCommerce et de WooCommerce Blocks, puis de changer tous les mots de passe par sécurité. 

Quoi qu’il en soit, des traces de tentatives de piratage exploitant cette faille ont été relevées, en provenance des adresses IP suivantes : 107.173.148.66, 84.17.37.76 et 122.161.49.71. Il est donc important d’effectuer au plus vite la mise à jour de la dernière version de ces deux plugins, si vous êtes concerné ! 

N’hésitez pas à continuer à suivre l’actualité WordPress : nous vous tiendrons au courant des conséquences de cette faille de sécurité si de nouvelles informations sont disponibles.

Benjamin Bueno CEO Textone & WordPress Pirate
Benjamin Bueno

26 août 2021

Articles du même sujet

Nos experts français assurent un support et une prestation de qualité.

je demande de l’AIDE

Recevoir un devis
Demander un devis pour réparer un site

inscrivez vous a la newsletter

Nous vous enverrons des informations utiles et de qualité pour apprendre ainsi à mieux protéger votre site.
newsletter pour actualité WorPress

Partager cet article