Une faille de sécurité découverte dans le plugin WooCommerce
WooCommerce est l’un des plugins les plus célèbres de WordPress. Cette extension disponible en open source depuis 2011 permet aux utilisateurs de WordPress de créer facilement leur boutique en ligne.
Il y a quelques jours, WooCommerce a découvert une faille de sécurité critique dans plus de 90 versions du plugin. Avec plus de 5 millions d’installations, cette faille de sécurité aurait pu avoir un impact très grave si elle n’avait pas été aperçue ou corrigée. D’autant plus que le bug concerné affecte également, selon WooCommerce, le plugin WooCommerce Blocks, dédié à l’affichage des produits et articles sur les pages de site e-commerce. Ainsi, les versions 3.3 à 5.5 de WooCommerce et 2.5 à 5.5 de WooCommerce Blocks sont concernés par la faille de sécurité.
D’après Patchstack, une entreprise qui protège les sites WordPress contre les failles de sécurité des plugins, le score de gravité de cette vulnérabilité est de 8,2 sur 10 ! Cette faille de sécurité permettrait en effet aux pirates et hackers d’injecter du code malveillant dans une requête SQL sans avoir besoin de s’authentifier. Autrement dit, les hackers pourraient entrer dans le code de la boutique en ligne et obtenir des informations critiques sur le magasin, le commerçant, les commandes et les clients, voire même les données bancaires !
Une prime de 500$ sera attribuée au chercheur en sécurité à l’origine de la découverte de la faille de sécurité. Celui-ci fait partie du programme de sécurité HackerOne de WooCommerce. Il a identifié la faille de sécurité le 13 juillet dernier.
demandez la réparation de votre site à un expert
Votre site web redirige vers des pages malveillantes, comme des sites de rencontre ou des publicités pour de faux produits ?
La page d’accueil a été modifiée ou a été remplacée par une autre page, comme une page à caractère islamique avec message de rançon ?
Un code erreur apparait à la place de votre page d’accueil ?
Les pages de votre site internet sont anormalement lentes ?
Votre site web mine des crypto monnaies à votre insu ?
Pour confirmer que votre site a bien été piraté et trouver une solution, faites appel à nos experts.
WordPress Piraté vous propose ses services de protection et de réparation de votre site web piraté. Faites-nous confiance et confiez-nous la protection de votre site pour éviter les attaques malveillantes !
Comment protéger ses données WooCommerce ?
WooCommerce a corrigé cette faille de sécurité dans sa dernière version des deux plugins (WooCommerce et WooCommerce Blocks), la version 5.5.1. Tous les sites hébergés sur WordPress.com et WordPress VIP ont, à ce jour, déjà reçu le correctif. Pour les autres boutiques en ligne exploitant les plugins WooCommerce et WooCommerce Blocks, les corrections sont en cours de déploiement. Tous les administrateurs du plugin ont d’ailleurs été avertis de cette faille de sécurité dès sa découverte par WooCommerce. Si vous n’avez pas encore reçu le correctif, la meilleure chose à faire est de télécharger la dernière version de WooCommerce et de WooCommerce Blocks, puis de changer tous les mots de passe par sécurité.
Quoi qu’il en soit, des traces de tentatives de piratage exploitant cette faille ont été relevées, en provenance des adresses IP suivantes : 107.173.148.66, 84.17.37.76 et 122.161.49.71. Il est donc important d’effectuer au plus vite la mise à jour de la dernière version de ces deux plugins, si vous êtes concerné !
N’hésitez pas à continuer à suivre l’actualité WordPress : nous vous tiendrons au courant des conséquences de cette faille de sécurité si de nouvelles informations sont disponibles.
26 août 2021
Actualité WordPress
